Konfigurera principmallar för flera klientorganisationer med hjälp av Microsoft Graph API
I den här artikeln beskrivs hur du konfigurerar en principmall för din organisation med flera klientorganisationer.
Förutsättningar
- Licensinformation finns i Licenskrav.
- Säkerhetsadministratörens roll är att konfigurera övergripande åtkomstinställningar och mallar för organisationen med flera klienter.
- Rolladministratör med särskilda rättigheter för att ge samtycke till nödvändiga behörigheter.
Partnermall för åtkomstprincip för flera klientorganisationer
partnerkonfiguration för åtkomst mellan klientorganisationer hanterar förtroendeinställningar och automatiska inställningar för användarmedgivande mellan partnerklientorganisationer. Du kan till exempel använda de här inställningarna för att lita på anspråk för multifaktorautentisering för inkommande användare från målpartnerklientorganisationen. Med mallen i ett okonfigurerat tillstånd kommer partnerkonfigurationer för partnerklienter i den flertenantorganisationen inte att ändras, och alla förtroendeinställningar kommer att föras vidare från standardinställningarna. Men om du konfigurerar mallen ändras partnerkonfigurationer som motsvarar principmallen.
Konfigurera inkommande och utgående automatisk inlösen
Om du vill ange vilka inställningar för förtroende och automatiskt användarmedgivande som ska tillämpas på din principmall använder du Update multiTenantOrganizationPartnerConfigurationTemplate API. Om du skapar eller ansluter till en organisation med flera klientorganisationer med hjälp av administrationscentret för Microsoft 365 hanteras den här konfigurationen automatiskt.
Begäran
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Inaktivera mallen för befintliga partner
Om du bara vill använda den här mallen för nya medlemmar i flera organisationer och exkludera befintliga partner anger du parametern templateApplicationLevel endast till nya partner.
Begäran
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Inaktivera mallen helt
Om du vill inaktivera mallen helt anger du parametern templateApplicationLevel till null.
Begäran
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Återställa mallen
Om du vill återställa mallen till standardtillståndet (neka allt förtroende och automatiskt användarmedgivande) använder du multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Synkroniseringsmall mellan klienter
Principen för identitetssynkronisering styr synkronisering mellan hyresgäster, som gör att du kan dela användare och grupper mellan hyresgäster i din organisation. Du kan använda de här inställningarna för att tillåta inkommande användarsynkronisering. Med mallen i ett okonfigurerat tillstånd kommer inte identitetssynkroniseringsprincipen för partnerklienter i den multitenanta organisationen att ändras. Men om du konfigurerar mallen ändras identitetssynkroniseringsprincipen som motsvarar principmallen.
Konfigurera inkommande användarsynkronisering
Om du vill tillåta inkommande användarsynkronisering i principmallen använder du Update multiTenantOrganizationIdentitySyncPolicyTemplate API. Om du skapar eller ansluter till en organisation med flera klientorganisationer med hjälp av administrationscentret för Microsoft 365 hanteras den här konfigurationen automatiskt.
Begäran
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Inaktivera mallen för befintliga partner
Om du bara vill använda den här mallen för nya medlemmar i flera organisationer och exkludera befintliga partner anger du parametern templateApplicationLevel endast till nya partner.
Begäran
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Inaktivera mallen helt
Om du vill inaktivera mallen helt anger du parametern templateApplicationLevel till null.
Begäran
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Återställa mallen
Om du vill återställa mallen till standardtillståndet (neka inkommande synkronisering) använder du multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.
Begäran
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings