多租户组织可选策略模板
由管理员控制其资源是多租户组织协作的指导原则。 每个租户到租户关系都需要跨租户访问设置。 租户管理员为多租户组织内的合作伙伴租户显式配置跨租户访问合作伙伴配置和标识同步设置。
为帮助将同质跨租户访问设置应用于多租户组织中的合作伙伴租户,每个租户的管理员都可以配置专用于多租户组织的可选跨租户访问设置模板。 本文介绍了如何使用模板预配置跨租户访问设置,以应用到新加入多租户组织的任何合作伙伴租户。
自动生成跨租户访问设置
在多租户组织中,每对租户都必须具有双向跨租户访问设置,以便进行合作伙伴配置和标识同步。 这些设置为启用信任以及共享用户和应用程序提供了基础策略框架。
当你的租户加入新的多租户组织时,或者当合作伙伴租户加入你现有的多租户组织时,如果扩大后的多租户组织中具有并非之前便存在的其他合作伙伴租户,系统将以未配置状态自动生成对这些租户的跨租户访问设置。 在未配置状态下,这些跨租户访问设置通过默认设置传递。
默认的跨租户访问设置适用于尚未创建组织特定自定义设置的所有外部租户。 通常,这些设置配置为不受信任。 例如,可能会禁用多重身份验证和合规设备声明的跨租户信任,并且可能禁止 B2B 直接连接或 B2B 协作中的用户和组共享。
另一方面,在多租户组织中,跨租户访问设置通常应该是可信的。 例如,可能会启用多重身份验证和合规设备声明的跨租户信任,并且可能允许 B2B 直接连接或 B2B 协作中的用户和组共享。
虽然自动生成多租户组织合作伙伴租户的跨租户访问设置本身不会更改任何身份验证或授权策略行为,但它允许组织按租户轻松自定义多租户组织中合作伙伴租户的跨租户访问设置。
多租户组织组建时的策略模板
如前所述,在多租户组织中,跨租户访问设置通常应该是可信的。 例如,可能会启用多重身份验证和合规设备声明的跨租户信任,并且可能允许 B2B 直接连接或 B2B 协作中的用户和组共享。
虽然根据上一部分自动生成的跨租户访问设置可以保证每个多租户组织合作伙伴租户都存在跨租户访问设置,但对多租户组织合作伙伴租户的跨租户访问设置的进一步维护是逐租户进行的。
若要在多租户组织组建时减少管理员的工作量,可以选择使用策略模板来抢先配置跨租户访问设置。 这些模板设置会在你的租户加入一个多租户组织时应用于所有外部多租户组织合作伙伴租户,以及在任何合作伙伴租户加入你的现有多租户组织时应用于这些新合作伙伴租户。
通过在合作伙伴租户加入多租户组织时启用或配置可选策略模板,可提前修改相应的跨租户访问设置,以实现合作伙伴配置和标识同步。
例如,对于具有三个租户(A、B 和 C)的预期多租户组织,请考虑管理员的操作。
- 所有三个租户的管理员都启用并配置各自的可选策略模板,以便为多重身份验证和合规设备声明启用跨租户信任,并允许在 B2B 直接连接和 B2B 协作中共享用户和组。
- 管理员 A 创建多租户组织,并将租户 B 和 C 作为挂起的租户添加到该多租户组织。
- 管理员 B 加入该多租户组织。 根据租户 A 策略模板设置,对合作伙伴租户 B 的租户 A 中的跨租户访问设置进行了修改。 反之亦然,根据租户 B 策略模板设置,对合作伙伴租户 A 的租户 B 中的跨租户访问设置进行了修改。
- 管理员 C 加入该多租户组织。 根据租户 A(和 B)策略模板设置,对合作伙伴租户 C 的租户 A(和 B)中的跨租户访问设置进行了修改。 类似地,根据租户 C 策略模板设置,对合作伙伴租户 A 和 B 的租户 C 中的跨租户访问设置进行了修改。
- 在组建这一由三个租户构成的多租户组织后,便已提前配置该多租户组织中所有租户对的跨租户访问设置。
总之,通过配置可选策略模板,可以跨多租户组织同质地初始化跨租户访问设置,同时保持最大灵活性,以便根据需要按租户自定义跨租户访问设置。
若要停止使用策略模板,可以将其重置为其默认状态。 有关详细信息,请参阅配置多租户组织模板。
策略模板范围和其他属性
若要为管理员提供进一步的可配置性,可以选择何时根据策略模板修改跨租户访问设置。 例如,当租户加入多租户组织时,可以选择为以下租户应用策略模板:
| 租户 | 说明 |
|---|---|
| 仅新的合作伙伴租户 | 跨租户访问设置自动生成的租户 |
| 仅现有合作伙伴租户 | 已具有跨租户访问设置的租户 |
| 所有合作伙伴租户 | 新合作伙伴租户和现有合作伙伴租户 |
| 无合作伙伴租户 | 有效地禁用了策略模板 |
在此上下文中,新合作伙伴是指尚未为其配置跨租户访问设置的租户,而现有合作伙伴是指已为其配置跨租户访问设置的租户。 此范围是使用跨租户访问合作伙伴配置模板上的 templateApplicationLevel 属性和跨租户访问标识同步模板上的 templateApplicationLevel 属性指定的。
最后,在模板属性值的解释方面,null 的任何模板属性值都不会影响目标跨租户访问设置中的相应属性值,而定义的模板属性值会导致目标跨租户访问设置中的相应属性值根据模板进行修改。 下表说明模板属性值如何应用于相应的跨租户访问设置值。
| 模板值 | 初始合作伙伴设置值 (加入多租户组织之前) |
最终合作伙伴设置值 (加入多租户组织之后) |
|---|---|---|
null |
<合作伙伴设置值> | <合作伙伴设置值> |
| <模板值> | <任何值> | <模板值> |
Microsoft 365 管理中心使用的策略模板
在 Microsoft 365 管理中心中组建多租户组织时,管理员同意以下多租户组织模板设置:
- 标识同步设置为允许用户同步到此租户
- 跨租户访问设置为自动兑换入站和出站用户邀请
这是通过将相应的三个模板属性值设置为 true 来实现的:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
有关详细信息,请参阅在 Microsoft 365 中加入或退出多租户组织。
多租户组织拆解时的跨租户访问设置
目前,没有支持拆解多租户组织的等效策略模板功能。 当合作伙伴租户退出多租户组织时,每个租户管理员必须重新检查并相应地修改退出多租户组织的合作伙伴租户的跨租户访问设置。
退出多租户组织的合作伙伴租户必须重新检查并相应地修改所有以前的多租户组织合作伙伴租户的跨租户访问设置,并考虑重置跨租户访问设置的两个策略模板。