Valfria principmallar för flera klientorganisationer
Administratörer som har kontroll över sina resurser är en vägledande princip för samarbete mellan flera klientorganisationer. Åtkomstinställningar mellan klientorganisationer krävs för varje klient-till-klientrelation. Klientadministratörer konfigurerar uttryckligen partnerkonfigurationer för åtkomst mellan klientorganisationer och inställningar för identitetssynkronisering för partnerklientorganisationer i organisationen med flera klientorganisationer.
För att tillämpa homogena inställningar för åtkomst mellan klientorganisationer för partnerklientorganisationer i organisationen med flera klienter kan administratören för varje klientorganisation konfigurera valfria mallar för inställningar för åtkomst mellan klientorganisationer som är dedikerade till flera klientorganisationer. Den här artikeln beskriver hur du använder mallar för att förkonfigurera åtkomstinställningar mellan klientorganisationer som tillämpas på alla partnerklientorganisationer som nyligen anslutit till organisationen med flera klienter.
Automatisk generering av åtkomstinställningar för flera klientorganisationer
Inom en organisation med flera klienter måste varje klientpar ha dubbelriktade åtkomstinställningar för flera klientorganisationer för både partnerkonfiguration och identitetssynkronisering. De här inställningarna tillhandahåller det underliggande principramverket för att aktivera förtroende och för delning av användare och program.
När din klientorganisation ansluter till en ny organisation med flera klienter, eller när en partnerklientorganisation ansluter till din befintliga organisation för flera klientorganisationer, genereras åtkomstinställningar mellan klientorganisationer till andra partnerklienter i den förstorade flertenantorganisationen, om de inte redan finns, automatiskt i ett okonfigurerat tillstånd. I ett okonfigurerat tillstånd går dessa åtkomstinställningar mellan klientorganisationer igenom standardinställningarna.
Standardinställningarna för åtkomst mellan klientorganisationer gäller för alla externa klienter som du inte har skapat organisationsspecifika anpassade inställningar för. De här inställningarna är vanligtvis konfigurerade för att vara icke-betrodda. Till exempel kan förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk inaktiveras och användar- och gruppdelning i B2B-direktanslutning eller B2B-samarbete kan vara otillåtet.
I organisationer med flera klientorganisationer förväntas å andra sidan åtkomstinställningar mellan klientorganisationer vanligtvis vara betrodda. Till exempel kan förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk aktiveras och användar- och gruppdelning i B2B-direktanslutning eller B2B-samarbete kan tillåtas.
Även om automatisk generering av åtkomstinställningar för flera klientorganisationer för flera klientorganisationer i sig inte ändrar något beteende för autentisering eller auktoriseringsprinciper, gör det det möjligt för din organisation att enkelt anpassa åtkomstinställningarna mellan klientorganisationer för partnerklientorganisationer i organisationen för flera klientorganisationer per klientorganisation.
Principmallar vid organisationsbildning för flera klientorganisationer
Som tidigare beskrivits förväntas åtkomstinställningar för flera klientorganisationer vanligtvis vara betrodda i flera klientorganisationer. Till exempel kan förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk aktiveras och användar- och gruppdelning i B2B-direktanslutning eller B2B-samarbete kan tillåtas.
Även om automatisk generering av åtkomstinställningar för flera klientorganisationer, enligt föregående avsnitt, garanterar förekomsten av åtkomstinställningar mellan klientorganisationer för varje klientorganisationspartner för flera klientorganisationer, utförs ytterligare underhåll av åtkomstinställningarna för flera klientorganisationer för klientorganisationer individuellt, per klientorganisation.
Om du vill minska arbetsbelastningen för administratörer vid tidpunkten för bildandet av flera klientorganisationer kan du välja att använda principmallar för förebyggande konfiguration av åtkomstinställningar mellan klientorganisationer. Dessa mallinställningar tillämpas vid tidpunkten för din klientorganisation ansluter en organisation med flera klienter till alla externa klientorganisationer för flera klientorganisationer samt vid tidpunkten för att en partnerklient ansluter din befintliga flertenantorganisation till en sådan ny partnerklientorganisation.
Aktivering eller konfiguration av valfria principmallar, vid tidpunkten för en partnerklient ansluter till en organisation med flera klienter, ändrar i förebyggande syfte motsvarande åtkomstinställningar mellan klientorganisationer för både partnerkonfiguration och identitetssynkronisering.
Tänk till exempel på administratörernas åtgärder för en förväntad flertenantorganisation med tre klienter, A, B och C.
- Administratörerna för alla tre klientorganisationer aktiverar och konfigurerar sina respektive valfria principmallar för att aktivera förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk och för att tillåta användar- och gruppdelning i B2B-direktanslutning och B2B-samarbete.
- Administratör A skapar organisationen för flera klienter och lägger till klientorganisationer B och C som väntande klienter i organisationen med flera klienter.
- Administratör B ansluter till organisationen med flera klientorganisationer. Åtkomstinställningar mellan klientorganisationer i klient A för partnerklient B ändras enligt inställningar för klientorganisation En principmall. Tvärtom ändras inställningarna för åtkomst mellan klientorganisationer i klient B för partnerklientorganisation A enligt inställningar för principmallen klient B.
- Administratör C ansluter till organisationen med flera klientorganisationer. Åtkomstinställningar mellan klientorganisationer i klientorganisationer A (och B) för partnerklientorganisation C ändras enligt principmallsinställningarna för klientorganisation A (och B). På samma sätt ändras åtkomstinställningar mellan klientorganisationer i klientorganisation C för partnerklienter A och B enligt principmallsinställningarna för klientorganisation C.
- Efter bildandet av den här multitenantorganisationen för tre klientorganisationer har åtkomstinställningarna mellan klientorganisationer för alla klientpar i organisationen för flera klienter konfigurerats i förebyggande syfte.
Sammanfattningsvis gör konfigurationen av valfria principmallar att du på ett homogent sätt kan initiera åtkomstinställningar mellan klientorganisationer i din organisation för flera klienter, samtidigt som du behåller maximal flexibilitet för att anpassa åtkomstinställningarna för flera klientorganisationer efter behov per klientorganisation.
Om du vill sluta använda principmallarna kan du återställa dem till deras standardtillstånd. Mer information finns i Konfigurera mallar för flera klientorganisationer.
Omfång för principmallar och ytterligare egenskaper
För att ge administratörer ytterligare konfigurerbarhet kan du välja när åtkomstinställningar mellan klientorganisationer ska ändras enligt principmallarna. Du kan till exempel välja att tillämpa principmallarna för följande klientorganisationer när en klientorganisation ansluter till en organisation med flera klienter:
Klientorganisation | beskrivning |
---|---|
Endast nya partnerklienter | Klientorganisationer vars åtkomstinställningar mellan klientorganisationer genereras automatiskt |
Endast befintliga partnerklientorganisationer | Klientorganisationer som redan har åtkomstinställningar mellan klientorganisationer |
Alla partnerklientorganisationer | Både nya partnerklientorganisationer och befintliga partnerklienter |
Inga partnerklientorganisationer | Principmallar inaktiveras effektivt |
I det här sammanhanget refererar nya partner till klienter som du ännu inte har konfigurerat åtkomstinställningar för flera klientorganisationer för, medan befintliga partner refererar till klienter som du redan har konfigurerat åtkomstinställningar för flera klientorganisationer för. Det här omfånget templateApplicationLevel
anges med egenskapen för partnerkonfigurationsmallen för åtkomst mellan klientorganisationer och templateApplicationLevel
egenskapen för synkroniseringsmallen för identitetssynkronisering mellan klientorganisationer.
När det gäller tolkning av mallegenskapsvärden påverkar inte mallegenskapens värde null
motsvarande egenskapsvärde i inställningarna för målåtkomst mellan klientorganisationer, medan ett definierat egenskapsvärde för mallen gör att motsvarande egenskapsvärde i inställningarna för åtkomst mellan klientorganisationer ändras i enlighet med mallen. I följande tabell visas hur mallegenskapsvärden tillämpas på motsvarande inställningsvärden för åtkomst mellan klientorganisationer.
Mallvärde | Initialt värde för partnerinställningar (Innan du ansluter till flera klientorganisationer) |
Slutligt värde för partnerinställningar (Efter att ha gått med i organisationen för flera klientorganisationer) |
---|---|---|
null |
<Värde för partnerinställningar> | <Värde för partnerinställningar> |
<Mallvärde> | <valfritt värde> | <Mallvärde> |
Principmallar som används av Administrationscenter för Microsoft 365
När en organisation med flera klientorganisationer bildas i Administrationscenter för Microsoft 365 godkänner en administratör följande inställningar för organisationsmallar för flera klientorganisationer:
- Identitetssynkronisering har angetts så att användare kan synkronisera till den här klientorganisationen
- Åtkomst mellan klientorganisationer är inställd på att automatiskt lösa in användarinbjudningar för både inkommande och utgående
Detta uppnås genom att ange motsvarande tre mallegenskapsvärden till true
:
automaticUserConsentSettings.inboundAllowed
automaticUserConsentSettings.outboundAllowed
userSyncInbound
Mer information finns i Ansluta till eller lämna en organisation med flera klientorganisationer i Microsoft 365.
Åtkomstinställningar mellan klientorganisationer vid tidpunkten för demontering av flera klientorganisationer
För närvarande finns det ingen motsvarande principmallfunktion som stöder demontering av en organisation med flera klientorganisationer. När en partnerklient lämnar organisationen för flera klientorganisationer måste varje klientorganisationsadministratör ompröva och ändra inställningarna för åtkomst mellan klientorganisationer för partnerklientorganisationen som lämnade organisationen för flera klientorganisationer.
Partnerklientorganisationen som lämnade organisationen för flera klientorganisationer måste granska och ändra inställningarna för åtkomst mellan klientorganisationer för alla tidigare klientorganisationer för flera klientorganisationer samt överväga att återställa de två principmallarna för åtkomstinställningar mellan klientorganisationer.