Configurare modelli di organizzazione multi-tenant usando l'API Microsoft Graph
Questo articolo descrive come configurare un modello di criteri per un'organizzazione multi-tenant.
Prerequisiti
- Per informazioni sulla licenza, vedere Requisiti relativi alle licenze.
- Ruolo Amministratore della protezione per configurare i modelli e le impostazioni di accesso tra tenant per l'organizzazione multi-tenant.
- Ruolo Amministratore globale per fornire il consenso alle autorizzazioni necessarie.
Modello partner dei criteri di accesso tra tenant
La configurazione del partner di accesso tra tenant gestisce le impostazioni di attendibilità e le impostazioni di consenso utente automatico tra tenant partner. Ad esempio, è possibile usare queste impostazioni per considerare attendibili le attestazioni di autenticazione a più fattori per gli utenti in ingresso dal tenant partner di destinazione. Se il modello si trovo nello stato "non configurato", le configurazioni dei partner per i tenant partner nell'organizzazione multi-tenant non verranno modificate e tutte le impostazioni di attendibilità verranno passate dalle impostazioni predefinite. Tuttavia, se si configura un modello, le configurazioni dei partner verranno modificate in base al modello di criteri.
Configurare il riscatto automatico in ingresso e in uscita
Per specificare le impostazioni di attendibilità e le impostazioni di consenso utente automatico da applicare al modello di criteri, usare l'API Update multiTenantOrganizationPartnerConfigurationTemplate. Se si crea o si aggiunge un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365, questa configurazione viene gestita automaticamente.
Richiedi
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Disabilitare il modello per i partner esistenti
Per applicare questo modello solo ai nuovi membri dell'organizzazione multi-tenant ed escludere i partner esistenti, impostare il parametro templateApplicationLevel solo sui nuovi partner.
Richiedi
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Disabilitare completamente il modello
Per disabilitare completamente il modello, impostare il parametro templateApplicationLevel su Null.
Richiedi
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Reimpostare il modello
Per reimpostare lo stato predefinito del modello (rifiutare tutte le attendibilità e il consenso utente automatico), usare l'API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modello di sincronizzazione tra tenant
I criteri di sincronizzazione delle identità regolano la sincronizzazione tra tenant, che consente di condividere utenti e gruppi tra i tenant dell'organizzazione. È possibile usare queste impostazioni per consentire la sincronizzazione degli utenti in ingresso. Se il modello si trova nello stato "non configurato", i criteri di sincronizzazione delle identità per i tenant partner dell'organizzazione multi-tenant non verranno modificati. Tuttavia, se si configura il modello, i criteri di sincronizzazione delle identità verranno modificati in base al modello di criteri.
Configurare la sincronizzazione degli utenti in ingresso
Per consentire la sincronizzazione degli utenti in ingresso nel modello di criteri, usare l'API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Se si crea o si aggiunge un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365, questa configurazione viene gestita automaticamente.
Richiedi
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Disabilitare il modello per i partner esistenti
Per applicare questo modello solo ai nuovi membri dell'organizzazione multi-tenant ed escludere i partner esistenti, impostare il parametro templateApplicationLevel solo sui nuovi partner.
Richiedi
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Disabilitare completamente il modello
Per disabilitare completamente il modello, impostare il parametro templateApplicationLevel su Null.
Richiedi
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Reimpostare il modello
Per reimpostare lo stato predefinito del modello (rifiutare la sincronizzazione in ingresso), usare l'API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.
Richiedi
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings