Необязательные шаблоны параметров для многопользовательской организации
Администраторы, сохраняющие контроль над своими ресурсами, являются основополагающим принципом для сотрудничества в мультитенантной организации. Параметры доступа между арендаторами требуются для каждой связи между арендаторами. Администраторы арендаторов специально настраивают конфигурации партнеров по межарендаторскому доступу и параметры синхронизации удостоверений для партнеров-арендаторов внутри мультитенантной организации.
Чтобы помочь применить однородные параметры доступа между клиентами для партнеров в мультитенантной организации, администратор каждого клиента может настроить необязательные шаблоны межтенантного доступа, предназначенные для мультитенантной организации. В этой статье описывается, как использовать шаблоны для предварительной настройки параметров доступа между клиентами, которые применяются к любому клиенту партнера, только что присоединенному к мультитенантной организации.
Автоматическое создание параметров доступа между клиентами
В мультитенантной организации каждая пара клиентов должна иметь двунаправленные параметры доступа между клиентами как для синхронизации конфигурации партнеров, так и для синхронизации удостоверений. Эти параметры обеспечивают основу политики для формирования доверия и совместного использования пользователей и приложений.
Когда ваш клиент присоединяется к новой мультитенантной организации или когда клиент-партнер присоединяется к вашей существующей мультитенантной организации, настройки межтенантного доступа к другим клиентам-партнерам в расширенной мультитенантной организации, если они еще не существуют, создаются автоматически в ненастройном состоянии. В ненастройленном состоянии эти параметры доступа между клиентами передаются через параметры по умолчанию.
Настройки доступа между арендаторами по умолчанию применяются ко всем внешним арендаторам, для которых вы не создали настраиваемые параметры для организации. Как правило, эти параметры настроены как ненадежные. Например, межарендаторские доверительные отношения для многофакторной аутентификации и удовлетворяющие требованиям утверждения устройств могут быть отключены, а совместное использование пользователей и групп в прямом подключении B2B или совместная работа B2B может быть запрещено.
С другой стороны, в мультитенантных организациях параметры доступа между арендаторами обычно считаются надежными. Например, кросс-клиентские отношения доверия для многофакторной аутентификации и претензий совместимых устройств могут быть включены, а совместное использование пользователей и групп в прямом подключении B2B или сотрудничестве B2B может быть разрешено.
Хотя автоматическая генерация параметров межорганизационного доступа для мультитенантных клиентов-партнеров сама по себе не изменяет поведение политики проверки подлинности или авторизации, это позволяет вашей организации легко настраивать параметры доступа для клиентов-партнеров в мультитенантной организации для каждого клиента.
Шаблоны политики при формировании мультитенантной организации
Как описано ранее, в мультитенантных организациях параметры доступа между клиентами обычно считаются доверенными. Например, отношения доверия между клиентами для многофакторной проверки подлинности и совместимых утверждений устройств могут быть включены, а совместное использование пользователей и групп в прямом подключении B2B или совместной работе B2B может быть разрешено.
Хотя автоматическое создание параметров доступа между клиентами в предыдущем разделе гарантирует наличие параметров доступа между клиентами для каждого мультитенантного партнера организации, дальнейшее обслуживание параметров доступа между клиентами для мультитенантных партнеров организации проводится по отдельности.
Чтобы уменьшить рабочую нагрузку для администраторов во время формирования мультитенантной организации, можно при необходимости использовать шаблоны политик для предварительной настройки параметров доступа между клиентами. Эти параметры шаблона применяются во время присоединения клиента к мультитенантной организации ко всем внешним клиентам партнеров мультитенантной организации, а также во время присоединения любого клиента-партнера к существующей мультитенантной организации к такому новому клиенту партнера.
Включение или настройка необязательных шаблонов политик при присоединении арендатора партнера к мультитенантной организации, предварительно настроить соответствующие параметры доступа между клиентами как для конфигурации партнера, так и для синхронизации удостоверений.
Например, рассмотрим действия администраторов для ожидаемой мультитенантной организации с тремя клиентами, A, B и C.
- Администраторы всех трех арендаторов включают и настраивают свои опциональные шаблоны политик, чтобы установить отношения доверия между арендаторами для многофакторной аутентификации и утверждений для совместимых устройств, а также разрешить совместное использование пользователей и групп в B2B прямом подключении и B2B совместной работе.
- Администратор А создает мультитенантную организацию и добавляет арендаторов B и C в качестве ожидающих арендаторов.
- Администратор B присоединяется к мультитенантной организации. Параметры доступа между клиентами в клиенте A для партнера B изменяются в соответствии с параметрами шаблона политики A клиента. Наоборот, параметры доступа между клиентами в клиенте B для партнера A изменяются в соответствии с параметрами шаблона политики клиента B.
- Администратор C присоединяется к многопользовательской организации. Настройки доступа между арендаторами A (и B) для партнёрского арендатора C изменяются в соответствии с настройками шаблона политики арендатора A (и B). Аналогичным образом параметры межтенантного доступа в клиенте C для партнеров A и B изменяются в соответствии с параметрами шаблона политики C клиента.
- После формирования этой мультиарендной организации из трех арендаторов параметры кросс-арендного доступа всех пар арендаторов в мультиарендной организации были предварительно настроены.
В итоге настройка необязательных шаблонов политик позволяет однородно инициализировать параметры доступа между клиентами в мультитенантной организации, сохраняя максимальную гибкость для настройки параметров доступа между клиентами по мере необходимости на основе каждого клиента.
Чтобы остановить использование шаблонов политик, их можно сбросить в состояние по умолчанию. Дополнительные сведения см. в разделе «Настройка шаблонов многотенантной организации»
Область шаблона политики и дополнительные свойства
Чтобы предоставить администраторам дополнительную возможность настройки, вы можете выбрать, когда параметры доступа между клиентами должны быть изменены в соответствии с шаблонами политик. Например, можно применить шаблоны политик для следующих клиентов, когда клиент присоединяется к мультитенантной организации:
| Арендатор | Описание |
|---|---|
| Только новые клиенты партнеров | Арендаторы, у которых параметры межарендного доступа генерируются автоматически. |
| Только существующие клиенты партнеров | Арендаторы, у которых уже есть параметры доступа между арендаторами |
| Все клиенты партнеров | Новые клиенты партнеров и существующие клиенты партнеров |
| Нет клиентов партнеров | Шаблоны политик эффективно отключены |
В этом контексте новые партнеры ссылаются на клиентов, для которых вы еще не настроили параметры доступа между клиентами, а существующие партнеры ссылаются на клиентов, для которых уже настроены параметры доступа между клиентами. Этот диапазон определяется свойством
Наконец, с точки зрения интерпретации значений свойств шаблона любое значение null свойства шаблона не влияет на соответствующее значение свойства в целевых параметрах доступа между клиентами, в то время как определенное значение свойства шаблона приводит к изменению соответствующего значения свойства в целевых параметрах доступа между клиентами в соответствии с шаблоном. В следующей таблице показано, как применяются значения свойств шаблона к соответствующим значениям параметров доступа между клиентами.
| Значение шаблона | Начальное значение параметров партнера (Перед присоединением к многопользовательской организации) |
Окончательное значение настроек партнера (После присоединения к мультитенантной организации) |
|---|---|---|
null |
<Значение параметров партнера> | <Значение параметров партнера> |
| <Значение шаблона> | <любое значение> | <Значение шаблона> |
Шаблоны политик, используемые Центром администрирования Microsoft 365
При создании мультитенантной организации в Центр администрирования Microsoft 365 администратор соглашается со следующими параметрами шаблона многотенантной организации:
- Настроена синхронизация удостоверений, позволяющая пользователям синхронизироваться с этим арендатором.
- Для межтенантного доступа настроено автоматическое принятие приглашений пользователей для входящих и исходящих подключений.
Это достигается путем задания соответствующих трех значений trueсвойств шаблона:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Дополнительные сведения см. в статье "Присоединение или выход из мультитенантной организации" в Microsoft 365.
Настройки доступа между арендаторами при ликвидации многопользовательской организации
В настоящее время нет эквивалентной функции шаблона политики, поддерживающей разделение многопользовательской организации. Когда арендатор партнера покидает мультиарендаторную организацию, каждый администратор арендатора должен повторно пересмотреть и соответствующим образом изменить настройки доступа между арендаторами для партнера, который покинул мультиарендаторную организацию.
Клиент партнера, который покинул мультитенантную организацию, должен повторно изучить и соответствующим образом изменить межарендаторские настройки доступа для всех бывших партнеров мультитенантной организации, а также рассмотреть возможность сброса двух шаблонов политик для межарендаторских настроек доступа.