Volitelné šablony zásad pro víceklientských organizací
Správci, kteří zůstávají pod kontrolou svých prostředků, je hlavním principem spolupráce ve víceklientských organizacích. Pro každou relaci mezi tenanty se vyžaduje nastavení přístupu mezi tenanty. Správci tenantů explicitně konfigurují konfigurace partnerů pro přístup mezi tenanty a nastavení synchronizace identit pro partnerské tenanty v rámci víceklientských organizací.
Aby bylo možné použít homogenní nastavení přístupu mezi tenanty u partnerských tenantů ve víceklientských organizacích, může správce každého tenanta nakonfigurovat volitelné šablony nastavení přístupu mezi tenanty vyhrazené pro víceklientských organizací. Tento článek popisuje, jak použít šablony k předkonfigurování nastavení přístupu mezi tenanty, která se použijí pro každého partnerského tenanta, který se nově připojí k víceklientové organizaci.
Automatické generování nastavení přístupu mezi tenanty
V rámci víceklientských organizací musí mít každý pár tenantů obousměrné nastavení přístupu mezi tenanty, a to jak pro konfiguraci partnera, tak synchronizaci identit. Tato nastavení poskytují základní architekturu zásad pro povolení důvěryhodnosti a sdílení uživatelů a aplikací.
Když se váš tenant připojí k nové organizaci s více tenanty nebo když se partnerový tenant připojí k vaší stávající organizaci s více tenanty, nastavení přístupu mezi tenanty k jiným partnerským tenantům ve zvětšené víceklientských organizacích, pokud ještě neexistují, se automaticky vygenerují v nekonfigurovaném stavu. V nekonfigurovaném stavu tato nastavení přístupu mezi tenanty procházejí výchozími nastaveními.
Výchozí nastavení přístupu mezi tenanty platí pro všechny externí tenanty, pro které jste nevytvořili přizpůsobená nastavení specifická pro organizaci. Tato nastavení jsou obvykle nakonfigurovaná tak, aby byla nedůvěryhodná. Například vztahy důvěryhodnosti mezi tenanty pro vícefaktorové ověřování a vyhovující deklarace identity zařízení můžou být zakázané a sdílení uživatelů a skupin v přímém připojení B2B nebo spolupráci B2B může být zakázáno.
Ve víceklientských organizacích se naopak očekává, že nastavení přístupu mezi tenanty bude důvěřovat. Například vztahy důvěryhodnosti mezi tenanty pro vícefaktorové ověřování a deklarace identity zařízení vyhovující předpisům můžou být povolené a sdílení uživatelů a skupin v přímém připojení B2B nebo spolupráci B2B.
I když automatické generování nastavení přístupu mezi tenanty pro víceklientských partnerských tenantů a samotných nemění chování zásad ověřování ani autorizace, umožňuje vaší organizaci snadno přizpůsobit nastavení přístupu mezi tenanty pro partnerské tenanty v rámci víceklientských organizací na základě jednotlivých tenantů.
Šablony zásad ve vytváření víceklientských organizací
Jak jsme popsali dříve, u víceklientských organizací se obvykle očekává, že nastavení přístupu mezi tenanty důvěřují. Například vztahy důvěryhodnosti mezi tenanty pro vícefaktorové ověřování a deklarace identity zařízení vyhovující předpisům můžou být povolené a sdílení uživatelů a skupin v přímém připojení B2B nebo spolupráci B2B.
I když automatické generování nastavení přístupu mezi tenanty v předchozí části zaručuje existenci nastavení přístupu mezi tenanty pro každého tenanta partnera s více tenanty, další údržba nastavení přístupu mezi tenanty pro tenanty pro víceklientských partnerských tenantů se provádí individuálně na základě jednotlivých tenantů.
Pokud chcete snížit zatížení správců v době vytváření víceklientských organizací, můžete volitelně použít šablony zásad pro preemptivní konfiguraci nastavení přístupu mezi tenanty. Tato nastavení šablon se použijí v době, kdy se váš tenant připojí k víceklientové organizaci ke všem externím tenantům partnerů pro víceklientských organizací, a také v době, kdy se ke stávající organizaci s více tenanty připojí k takovému novému tenantovi partnera.
Povolení nebo konfigurace volitelných šablon zásad se v době připojení partnerského tenanta k víceklientové organizaci předem změní odpovídající nastavení přístupu mezi tenanty pro konfiguraci partnera i synchronizaci identit.
Představte si například akce správců pro očekávanou víceklientovou organizaci se třemi tenanty, A, B a C.
- Správci všech tří tenantů povolují a konfigurují příslušné volitelné šablony zásad tak, aby umožňovaly vztahy důvěryhodnosti mezi tenanty pro vícefaktorové ověřování a vyhovující deklarace identity zařízení a povolily sdílení uživatelů a skupin v přímém připojení B2B a spolupráci B2B.
- Správce A vytvoří víceklientovou organizaci a přidá tenanty B a C jako čekající tenanty do víceklientských organizací.
- Správce B se připojí k organizaci s více tenanty. Nastavení přístupu mezi tenanty v tenantovi A pro partnerského tenanta B se mění podle nastavení šablony zásad tenanta A. Naopak se mění nastavení přístupu mezi tenanty v tenantovi B pro partnerského tenanta A podle nastavení šablony zásad tenanta B.
- Správce C se připojí k organizaci s více tenanty. Nastavení přístupu mezi tenanty v tenantech A (a B) pro partnerského tenanta C se mění podle nastavení šablon zásad tenanta A (a B). Podobně se mění nastavení přístupu mezi tenanty v tenantovi C pro partnerské tenanty A a B podle nastavení šablony zásad tenanta C.
- Po vytvoření této víceklientové organizace tří tenantů se předem nakonfigurovalo nastavení přístupu mezi tenanty všech párů tenantů ve víceklientských organizacích.
Stručně řečeno, konfigurace volitelných šablon zásad umožňuje homogenní inicializaci nastavení přístupu mezi tenanty v rámci víceklientských organizací a současně zachovat maximální flexibilitu přizpůsobení nastavení přístupu mezi tenanty podle potřeby pro jednotlivé tenanty.
Pokud chcete šablony zásad přestat používat, můžete je obnovit do výchozího stavu. Další informace najdete v tématu Konfigurace víceklientských šablon organizace.
Rozsah šablony zásad a další vlastnosti
Pokud chcete správcům poskytnout další konfigurovatelnost, můžete zvolit, kdy se nastavení přístupu mezi tenanty upraví podle šablon zásad. Můžete se například rozhodnout použít šablony zásad pro následující tenanty, když se tenant připojí k organizaci s více tenanty:
| Tenant | Popis |
|---|---|
| Pouze nové partnerské tenanty | Tenanti, jejichž nastavení přístupu mezi tenanty se automaticky vygeneruje |
| Pouze existující partnerské tenanty | Tenanti, kteří už mají nastavení přístupu mezi tenanty |
| Všichni klienti partnerů | Nové partnerské tenanty i stávající partnerské tenanty |
| Žádní klienti partnerů | Šablony zásad jsou efektivně zakázané. |
V tomto kontextu noví partneři odkazují na tenanty, pro které jste ještě nenakonfigurovali nastavení přístupu mezi tenanty, zatímco stávající partneři odkazují na tenanty, pro které jste už nakonfigurovali nastavení přístupu mezi tenanty. Toto nastavení rozsahu je určeno templateApplicationLevel vlastností v šabloně konfigurace partnera pro přístup mezi tenanty a templateApplicationLevel vlastností v šabloně synchronizace identit přístupu mezi tenanty.
A konečně, pokud jde o interpretaci hodnot vlastností šablony, žádná hodnota null vlastnosti šablony nemá žádný vliv na odpovídající hodnotu vlastnosti v cílových nastaveních přístupu mezi tenanty, zatímco definovaná hodnota vlastnosti šablony způsobí, že odpovídající hodnota vlastnosti v cílových nastaveních přístupu mezi tenanty bude změněna v souladu se šablonou. Následující tabulka ukazuje, jak se hodnoty vlastností šablony aplikují na odpovídající hodnoty nastavení přístupu mezi tenanty.
| Hodnota šablony | Hodnota počátečního nastavení partnera (Před připojením k víceklientských organizacím) |
Hodnota konečného nastavení partnera (Po připojení k víceklientských organizacích) |
|---|---|---|
null |
<Hodnota nastavení partnera> | <Hodnota nastavení partnera> |
| <Hodnota šablony> | <libovolná hodnota> | <Hodnota šablony> |
Šablony zásad používané Centrum pro správu Microsoftu 365
Při vytvoření víceklientských organizací ve Centrum pro správu Microsoftu 365 správce souhlasí s následujícími nastaveními šablony organizace s více tenanty:
- Synchronizace identit je nastavená tak, aby uživatelům umožňovala synchronizaci s tímto tenantem.
- Přístup mezi tenanty je nastavený tak, aby automaticky uplatnil pozvánky uživatelů pro příchozí i odchozí
Toho dosáhnete nastavením odpovídajících tří hodnot vlastností šablony na true:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Další informace najdete v tématu Připojení nebo opuštění víceklientských organizací v Microsoftu 365.
Nastavení přístupu mezi tenanty v době demontáže víceklientských organizací
V současné době neexistuje žádná ekvivalentní funkce šablony zásad podporující demontáž víceklientské organizace. Když partnerový tenant opustí organizaci s více tenanty, musí každý správce tenanta rekontaminovat a odpovídajícím způsobem změnit nastavení přístupu mezi tenanty pro partnerského tenanta, který opustil víceklientských organizací.
Partner tenant, který opustil víceklientských organizací, musí rekontaminovat a odpovídajícím způsobem změnit nastavení přístupu mezi tenanty pro všechny bývalé tenanty partnerů pro víceklientských organizací a zvážit resetování dvou šablon zásad pro nastavení přístupu mezi tenanty.