使用 Microsoft Graph API,設定多租用戶組織原則範本
本文將說明如何設定多租用戶組織的原則範本。
必要條件
跨租用戶存取原則合作夥伴範本
跨租用戶合作夥伴設定可處理合作夥伴租用戶之間的信任設定與自動使用者同意設定。 例如,您可以透過這類設定,針對來自目標合作夥伴租用戶之輸入使用者信任其多重要素驗證宣告。 若範本處於未設定狀態,則不會修改多租用戶組織內合作夥伴租用戶的合作夥伴設定,且所有信任設定都會遵照預設設定。 然而,若已設定範本,則會根據原則範本修改合作夥伴設定。
設定輸入與輸出自動兌換
若要指定要套用至原則範本的信任設定和自動使用者同意設定,請使用 Update multiTenantOrganizationPartnerConfigurationTemplate API。 若使用 Microsoft 365 系統管理中心建立或加入多租用戶組織,則此設定會自動處理完畢。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
停用現有合作夥伴的範本
若要將此範本僅套用至新多租用戶組織成員,並排除現有的合作夥伴,請將 templateApplicationLevel 參數設定為僅限新合作夥伴。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
完全停用範本
若要完全停用範本,請將 templateApplicationLevel 參數設為 null。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
重設範本
若要將範本重設回其預設狀態,即拒絕所有信任和自動使用者同意,請使用 multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API。
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
跨租用戶同步處理範本
身分識別同步處理原則會控管跨租用戶同步處理,協助您在組織內跨租用戶共享使用者與群組。 您可以使用這些設定來允許輸入使用者同步處理。 若範本處於未設定狀態,則不會修改多租用戶組織內合作夥伴租用戶的身分識別同步處理原則。 然而,若已設定範本,則會根據原則範本修改身分識別同步處理原則。
設定輸入使用者同步
若要在原則範本中允許輸入使用者同步處理,請使用 Update multiTenantOrganizationIdentitySyncPolicyTemplate API。 若使用 Microsoft 365 系統管理中心建立或加入多租用戶組織,則此設定會自動處理完畢。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
停用現有合作夥伴的範本
若要將此範本僅套用至新多租用戶組織成員,並排除現有的合作夥伴,請將 templateApplicationLevel 參數設定為僅限新合作夥伴。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
完全停用範本
若要完全停用範本,請將 templateApplicationLevel 參數設為 null。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
重設範本
若要將範本重設回其預設狀態,即拒絕輸入同步處理,請使用 multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API。
要求
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings