Поделиться через


Необязательные шаблоны политик мультитенантной организации

Администраторы, оставающиеся под контролем своих ресурсов, являются руководящим принципом для мультитенантной совместной работы организации. Параметры доступа между клиентами требуются для каждой связи между клиентами. Администраторы клиентов явно настраивают конфигурации партнеров по межтенантному доступу и параметры синхронизации удостоверений для клиентов-партнеров в мультитенантной организации.

Чтобы помочь применить однородные параметры доступа между клиентами для партнеров в мультитенантной организации, администратор каждого клиента может настроить необязательные шаблоны межтенантного доступа, предназначенные для мультитенантной организации. В этой статье описывается, как использовать шаблоны для предварительной настройки параметров доступа между клиентами, которые применяются к любому клиенту партнера, только что присоединенному к мультитенантной организации.

Автоматическое создание параметров доступа между клиентами

В мультитенантной организации каждая пара клиентов должна иметь двунаправленные параметры доступа между клиентами как для синхронизации конфигурации партнеров, так и для синхронизации удостоверений. Эти параметры предоставляют базовую платформу политики для включения доверия и совместного использования пользователей и приложений.

Когда клиент присоединяется к новой мультитенантной организации или когда клиент-партнер присоединяется к существующей мультитенантной организации, межтенантному доступу к другим клиентам партнеров в увеличенной мультитенантной организации, если они еще не существуют, автоматически создаются в ненастройном состоянии. В ненастройленном состоянии эти параметры доступа между клиентами передаются через параметры по умолчанию.

Параметры доступа между арендаторами по умолчанию применяются ко всем внешним арендаторам, для которых не были созданы настраиваемые параметры организации. Как правило, эти параметры настроены как ненадежные. Например, отношения доверия между клиентами для многофакторной проверки подлинности и совместимых утверждений устройств могут быть отключены, а совместное использование пользователей и групп в прямом подключении B2B или совместная работа B2B может быть запрещена.

С другой стороны, в мультитенантных организациях параметры доступа между клиентами обычно будут доверять. Например, отношения доверия между клиентами для многофакторной проверки подлинности и совместимых утверждений устройств могут быть включены, а совместное использование пользователей и групп в прямом подключении B2B или совместной работе B2B может быть разрешено.

Хотя автоматическое создание параметров доступа между клиентами для мультитенантных клиентов-партнеров организации не изменяет поведение политики проверки подлинности или авторизации, это позволяет вашей организации легко настраивать параметры доступа между клиентами партнеров в мультитенантной организации на основе каждого клиента.

Шаблоны политик при формировании мультитенантной организации

Как описано ранее, в мультитенантных организациях параметры доступа между клиентами обычно считаются доверенными. Например, отношения доверия между клиентами для многофакторной проверки подлинности и совместимых утверждений устройств могут быть включены, а совместное использование пользователей и групп в прямом подключении B2B или совместной работе B2B может быть разрешено.

Хотя автоматическое создание параметров доступа между клиентами в предыдущем разделе гарантирует наличие параметров доступа между клиентами для каждого мультитенантного партнера организации, дальнейшее обслуживание параметров доступа между клиентами для мультитенантных партнеров организации проводится по отдельности.

Чтобы уменьшить рабочую нагрузку для администраторов во время формирования мультитенантной организации, можно при необходимости использовать шаблоны политик для предварительной настройки параметров доступа между клиентами. Эти параметры шаблона применяются во время присоединения клиента к мультитенантной организации ко всем внешним клиентам партнеров мультитенантной организации, а также во время присоединения любого клиента-партнера к существующей мультитенантной организации к такому новому клиенту партнера.

Включение или настройка необязательных шаблонов политик при присоединении клиента партнера к мультитенантной организации, предварительно изменяя соответствующие параметры доступа между клиентами для синхронизации удостоверений и конфигурации партнеров.

Например, рассмотрим действия администраторов для ожидаемой мультитенантной организации с тремя клиентами, A, B и C.

  • Администраторы всех трех клиентов позволяют и настраивают соответствующие необязательные шаблоны политик, чтобы включить отношения доверия между клиентами для многофакторной проверки подлинности и совместимых утверждений устройств, а также разрешить доступ пользователей и групп в прямом подключении B2B и совместной работе B2B.
  • Администратор А создает мультитенантную организацию и добавляет клиенты B и C в качестве ожидающих клиентов в мультитенантную организацию.
  • Администратор B присоединяется к мультитенантной организации. Параметры доступа между клиентами в клиенте A для партнера B изменяются в соответствии с параметрами шаблона политики A клиента. Наоборот, параметры доступа между клиентами в клиенте B для партнера A изменяются в соответствии с параметрами шаблона политики клиента B.
  • Администратор C присоединяется к мультитенантной организации. Параметры доступа между клиентами A (и B) для клиента C изменяются в соответствии с параметрами шаблона политики A (и B). Аналогичным образом параметры межтенантного доступа в клиенте C для партнеров A и B изменяются в соответствии с параметрами шаблона политики C клиента.
  • После формирования этой мультитенантной организации трех клиентов параметры доступа между клиентами всех пар клиентов в мультитенантной организации предварительно настроены.

В итоге настройка необязательных шаблонов политик позволяет однородно инициализировать параметры доступа между клиентами в мультитенантной организации, сохраняя максимальную гибкость для настройки параметров доступа между клиентами по мере необходимости на основе каждого клиента.

Чтобы остановить использование шаблонов политик, их можно сбросить в состояние по умолчанию. Дополнительные сведения см. в разделе "Настройка многотенантных шаблонов организации".

Область шаблона политики и дополнительные свойства

Чтобы предоставить администраторам дополнительную возможность настройки, вы можете выбрать, когда параметры доступа между клиентами должны быть изменены в соответствии с шаблонами политик. Например, можно применить шаблоны политик для следующих клиентов, когда клиент присоединяется к мультитенантной организации:

Клиент Description
Только новые клиенты партнеров Клиенты, параметры доступа между клиентами которых создаются автоматически
Только существующие клиенты партнеров Клиенты, у которых уже есть параметры доступа между клиентами
Все клиенты партнеров Новые клиенты партнеров и существующие клиенты партнеров
Нет клиентов партнеров Шаблоны политик эффективно отключены

В этом контексте новые партнеры ссылаются на клиентов, для которых вы еще не настроили параметры доступа между клиентами, а существующие партнеры ссылаются на клиентов, для которых уже настроены параметры доступа между клиентами. Этот набор определяется свойством templateApplicationLevel в шаблоне конфигурации партнера для доступа между клиентами и templateApplicationLevel свойством шаблона синхронизации удостоверений доступа между клиентами.

Наконец, с точки зрения интерпретации значений свойств шаблона любое значение null свойства шаблона не влияет на соответствующее значение свойства в целевых параметрах доступа между клиентами, в то время как определенное значение свойства шаблона приводит к изменению соответствующего значения свойства в целевых параметрах доступа между клиентами в соответствии с шаблоном. В следующей таблице показано, как применяются значения свойств шаблона к соответствующим значениям параметров доступа между клиентами.

Значение шаблона Начальное значение параметров партнера
(Перед присоединением к мультитенантной организации)
Окончательное значение параметров партнера
(После присоединения к мультитенантной организации)
null <Значение параметров партнера> <Значение параметров партнера>
<Значение шаблона> <любое значение> <Значение шаблона>

Шаблоны политик, используемые Центр администрирования Microsoft 365

При создании мультитенантной организации в Центр администрирования Microsoft 365 администратор соглашается со следующими параметрами шаблона многотенантной организации:

  • Синхронизация удостоверений настроена, чтобы пользователи могли синхронизироваться с этим клиентом.
  • Для межтенантного доступа настроено автоматическое активация приглашений пользователей для входящих и исходящих подключений.

Это достигается путем задания соответствующих трех значений trueсвойств шаблона:

  • automaticUserConsentSettings.inboundAllowed
  • automaticUserConsentSettings.outboundAllowed
  • userSyncInbound

Дополнительные сведения см. в статье "Присоединение или выход из мультитенантной организации" в Microsoft 365.

Параметры доступа между клиентами во время разбиения мультитенантной организации

В настоящее время нет эквивалентной функции шаблона политики, поддерживающей дизассемблию мультитенантной организации. Когда клиент партнера покидает мультитенантную организацию, каждый администратор клиента должен повторно перераспреждаться и соответствующим образом изменять параметры доступа между клиентами для партнера, который оставил мультитенантную организацию.

Клиент партнера, который покинул мультитенантную организацию, должен повторно изучить и соответствующим образом изменить параметры доступа между клиентами для всех бывших клиентов партнеров мультитенантной организации, а также рассмотреть возможность сброса двух шаблонов политик для параметров доступа между клиентами.

Следующие шаги