Configurer des modèles de stratégie d’organisation multilocataire à l’aide de l’API Microsoft Graph
Cet article explique comment configurer un modèle de stratégie pour votre organisation mutualisée.
Prérequis
- Pour obtenir des informations sur la licence, consultez Conditions de licence.
- Rôle Administrateur de la sécurité permettant de configurer les paramètres et les modèles d’accès entre tenants (locataires) pour l’organisation multitenant.
- Rôle Administrateur général pour consentir aux autorisations requises.
Modèle partenaire de stratégie d’accès interlocataire
La configuration du partenaire d’accès interlocataire gère les paramètres d’approbation et les paramètres de consentement automatique de l’utilisateur entre les locataires partenaires. Par exemple, vous pouvez utiliser ces paramètres pour approuver les revendications d’authentification multifacteur pour les utilisateurs entrants à partir du locataire partenaire cible. Avec le modèle dans un état non configuré, les configurations de partenaires pour les locataires partenaires de l’organisation entre clients ne seront pas modifiées, avec tous les paramètres d’approbation transmis à partir des paramètres par défaut. Toutefois, si vous configurez le modèle, les configurations des partenaires seront modifiées en fonction du modèle de stratégie.
Configurer l’échange automatique entrant et sortant
Pour spécifier les paramètres d’approbation et les paramètres de consentement automatique de l’utilisateur à appliquer à votre modèle de stratégie, utilisez l’API Update multiTenantOrganizationPartnerConfigurationTemplate. Si vous créez ou rejoignez une organisation mutualisée à l’aide du Centre d’administration Microsoft 365, cette configuration est gérée automatiquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Désactiver le modèle pour les partenaires existants
Pour appliquer ce modèle uniquement aux nouveaux membres de l’organisation multilocataire et exclure les partenaires existants, définissez le paramètre templateApplicationLevel sur les nouveaux partenaires uniquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Désactiver complètement le modèle
Pour désactiver complètement le modèle, définissez le paramètre templateApplicationLevel sur null.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Réinitialiser le modèle
Pour réinitialiser le modèle à son état par défaut (refuser toute confiance et tout consentement automatique de l’utilisateur), utilisez l’API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings .
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modèle de synchronisation interlocataire
La stratégie de synchronisation des identités régit la synchronisation interlocataire, qui vous permet de partager des utilisateurs et des groupes entre les locataires de votre organisation. Vous pouvez utiliser ces paramètres pour autoriser la synchronisation des utilisateurs entrants. Avec le modèle dans un état non configuré, la stratégie de synchronisation d’identité pour les locataires partenaires de l’organisation multilocataire ne sera pas modifiée. Toutefois, si vous configurez le modèle, alors la stratégie de synchronisation des identités sera modifiée en fonction du modèle de stratégie.
Configurer la synchronisation des utilisateurs entrants
Pour autoriser la synchronisation des utilisateurs entrants dans le modèle de stratégie, utilisez l’API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Si vous créez ou rejoignez une organisation mutualisée à l’aide du Centre d’administration Microsoft 365, cette configuration est gérée automatiquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Désactiver le modèle pour les partenaires existants
Pour appliquer ce modèle uniquement aux nouveaux membres de l’organisation multilocataire et exclure les partenaires existants, définissez le paramètre templateApplicationLevel sur les nouveaux partenaires uniquement.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Désactiver complètement le modèle
Pour désactiver complètement le modèle, définissez le paramètre templateApplicationLevel sur null.
Requête
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Réinitialiser le modèle
Pour réinitialiser le modèle à son état par défaut (refus de la synchronisation entrante), utilisez l’API multiTenantOrganizationIdentitySyncPolicyTemplate : resetToDefaultSettings.
Requête
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings