多租用戶組織選用原則範本
系統管理員能夠控制其資源,是多租用戶組織共同作業的指導原則。 跨租用戶存取設定都需要租用戶對租用戶的關聯性。 租用戶系統管理員會明確為多租用戶組織內的合作夥伴租用戶設定跨租用戶存取合作夥伴設定和身分識別同步處理設定。
為了協助將同質跨租用戶存取設定套用至多租用戶組織中的合作夥伴租用戶,每個租用戶的系統管理員可以設定專用於多租用戶的跨租用戶存取選用設定範本。 本文說明如何使用範本預先設定套用至任何新加入多租用戶組織的合作夥伴租用戶,用於跨租用戶存取設定。
自動產生跨租用戶存取設定
在多租用戶組織內,每對租用戶都必須有雙向跨租用戶存取設定,才能進行合作夥伴設定和身分識別同步處理。 這些設定提供基礎原則架構,以啟用信任,以及共用使用者和應用程式。
當您的租用戶加入新的多租用戶組織,或當合作夥伴租用戶加入您現有的多租用戶組織時,跨租用戶存取設定會以未設定的狀態自動產生至放大的多租用戶組織中的其他合作夥伴租用戶。 處於未設定狀態,會透過 預設設定 傳遞這些跨租用戶存取設定。
預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部租用戶。 一般而言,這些設定會設定為不受信任。 例如,多重要素驗證和相容裝置宣告的跨租用戶者信任可能會停用,而且 B2B 直接連線中的使用者和群組共用或 B2B 共同作業可能不允許。
另一方面,在多租用戶組織中,跨租用戶存取設定通常預期為信任。 例如,多重要素驗證和相容裝置宣告的跨租用戶者信任可能會啟用,而且 B2B 直接連線中的使用者和群組共用或 B2B 共同作業可能會允許。
雖然自動產生多租用戶組織合作夥伴租用戶的跨租用戶存取設定本身不會變更任何驗證或授權原則行為,但它可以讓貴組織輕鬆按照租用戶自訂多租用戶組織中合作夥伴租用戶的跨租用戶存取設定。
多租用戶組織形成原則範本
如同前述,在多租用戶組織中,跨租用戶存取設定通常預期為信任。 例如,多重要素驗證和相容裝置宣告的跨租用戶者信任可能會啟用,而且 B2B 直接連線中的使用者和群組共用或 B2B 共同作業可能會允許。
雖然會自動產生跨租用戶存取設定,但根據上一節,保證每個多租用戶組織合作夥伴租用戶都有跨租用戶存取設定,卻是以每個租用戶為基礎單獨對多租用戶組織合作夥伴租用戶的跨租用戶存取設定進行進一步維護。
若要在多租用戶組織形成時減少系統管理員的工作負載,您可以選用原則範本來預先設定跨租用戶存取設定。 這些範本設定會在租用戶將多租用戶組織加入所有外部多租用戶組織合作夥伴租用戶,以及任何合作夥伴租用戶將現有多租用戶組織加入至這類新合作夥伴租用戶時套用。
啟用或設定選用原則範本,在合作夥伴租用戶加入多租用戶組織時,先行修改對應 跨租用戶存取設定,以進行合作夥伴設定和身分識別同步處理。
例如,請考慮具有三個租用戶 A、B 和 C 之預期多租用戶組織的系統管理員動作。
- 這三個租用戶的系統管理員會啟用並設定其各自的選用原則範本,以啟用多重要素驗證和相容裝置宣告的跨租用戶信任,並允許在 B2B 直接連線和 B2B 共同作業中共用使用者和群組。
- 系統管理員 A 會建立多租用戶組織,並將租用戶 B 和 C 新增為擱置租用戶至多租用戶組織。
- 系統管理員 B 會加入多租用戶組織。 根據租用戶 A 原則範本設定,會修改租用戶 A 中合作夥伴租用戶 B 的跨租用戶存取設定。 反之亦然,根據租用戶 B 原則範本設定,修改租用戶 B 中合作夥伴租用戶 A 的跨租用戶存取設定。
- 系統管理員 C 會加入多租用戶組織。 根據租用戶 A(和 B) 原則範本設定,修改租用戶 A 和 B 中合作夥伴租用戶 C 的跨租用戶存取設定。 同樣地,根據租用戶 C 原則範本設定,修改合作夥伴租用戶 C 的租用戶 A 和 B 中的跨租用戶存取設定。
- 在形成這個有三個租用戶的多租用戶組織之後,已預先設定多租用戶組織中所有租用戶配對的跨租用戶存取設定。
總之,設定選用原則範本讓您可以在多租用戶組織中統一初始化跨租用戶存取設定,同時保有最大的彈性,根據需要按租用戶自訂跨租用戶存取設定。
若要停止使用原則範本,您可以將它們重設為其預設狀態。 如需詳細資訊,請參閱 設定多租用戶組織範本。
原則範本的範圍和其他屬性
若要為系統管理員提供進一步的可設定性,您可以選擇何時要根據原則範本修改跨租用戶存取設定。 例如,當租用戶加入多租用戶組織時,您可以選擇套用下列租用戶的原則範本:
租用戶 | 描述 |
---|---|
只有新的合作夥伴租用戶 | 已自動產生跨租用戶存取設定的租用戶 |
只有現有的合作夥伴租用戶 | 已經有跨租用戶存取設定的租用戶 |
所有合作夥伴租用戶 | 新的合作夥伴租用戶和現有的合作夥伴租用戶 |
沒有合作夥伴租用戶 | 原則範本已有效停用 |
在此內容中,新的 合作夥伴是指尚未設定跨租用戶存取設定的租用戶,而 現有的 合作夥伴則是指您已設定跨租用戶存取設定的租用戶。 以 templateApplicationLevel
跨租用戶存取 合作夥伴組態範本上的屬性 和 templateApplicationLevel
跨租用戶存取 身分識別同步處理範本 上的屬性來指定這個範圍。
最後,就範本屬性值的解譯而言,null
的任何範本屬性值都不會影響目標跨租用戶存取設定中的對應屬性值,而定義的範本屬性值會導致目標跨租用戶存取設定中的對應屬性值根據範本進行修改。 下表說明如何將範本屬性值套用至對應的跨租用戶存取設定值。
範本值 | 初始合作夥伴設定值 (加入多租用戶組織之前) |
最終合作夥伴設定值 (加入多租用戶組織之後) |
---|---|---|
null |
<合作夥伴設定值> | <合作夥伴設定值> |
<範本值> | <任何值> | <範本值> |
Microsoft 365 系統管理中心使用的原則範本
在 Microsoft 365 系統管理中心形成多租用戶組織時,系統管理員同意下列多租用戶組織範本設定:
- 身分識別同步處理設定為允許使用者同步處理至此租用戶
- 跨租用戶存取權設定為自動兌換輸入和輸出的用戶邀請
這可藉由將對應的三個範本屬性值設定為 true
來達成:
automaticUserConsentSettings.inboundAllowed
automaticUserConsentSettings.outboundAllowed
userSyncInbound
如需詳細資訊,請參閱在 Microsoft 365 中加入或離開多租用戶組織。
多租用戶組織解體時的跨租用戶存取設定
目前,沒有對等的原則範本功能支援多租用戶組織解體。 當合作夥伴租用戶離開多租用戶組織時,每個租用戶系統管理員都必須重新檢查並修改離開多租用戶組織之合作夥伴租用戶的跨租用戶存取設定。
離開多租用戶的合作夥伴租用戶必須重新檢查和修改所有先前多租用戶組織夥伴租用戶的跨租用戶存取設定,並考慮重設跨租用戶存取設定的兩個原則範本。