Modelli di criteri facoltativi per l'organizzazione multi-tenant
Amministrazione istrator che restano sotto controllo delle proprie risorse è un principio guida per la collaborazione tra organizzazioni multi-tenant. Le impostazioni di accesso tra tenant sono necessarie per ogni relazione tra tenant e tenant. Gli amministratori tenant configurano in modo esplicito le configurazioni partner di accesso tra tenant e le impostazioni di sincronizzazione delle identità per i tenant partner all'interno dell'organizzazione multi-tenant.
Per applicare impostazioni di accesso multi-tenant omogenee ai tenant partner nell'organizzazione multi-tenant, l'amministratore di ogni tenant può configurare modelli facoltativi di impostazioni di accesso cross-tenant dedicati all'organizzazione multi-tenant. Questo articolo descrive come usare i modelli per preconfigurare le impostazioni di accesso tra tenant applicate a qualsiasi tenant partner appena aggiunto all'organizzazione multi-tenant.
Generazione automatica delle impostazioni di accesso tra tenant
All'interno di un'organizzazione multi-tenant, ogni coppia di tenant deve avere impostazioni di accesso bidirezionale tra tenant, sia per la configurazione dei partner che per la sincronizzazione delle identità. Queste impostazioni forniscono il framework dei criteri sottostante per abilitare l'attendibilità e la condivisione di utenti e applicazioni.
Quando il tenant si aggiunge a una nuova organizzazione multi-tenant o quando un tenant partner unisce l'organizzazione multi-tenant esistente, le impostazioni di accesso tra tenant ad altri tenant partner nell'organizzazione multi-tenant ingrandita, se non esistono già, vengono generate automaticamente in uno stato non configurato. In uno stato non configurato, queste impostazioni di accesso tra tenant passano attraverso le impostazioni predefinite.
Le impostazioni di accesso tra tenant predefinite si applicano a tutti i tenant esterni per cui non sono state create impostazioni personalizzate specifiche dell'organizzazione. In genere, queste impostazioni sono configurate per essere non attendibili. Ad esempio, i trust tra tenant per l'autenticazione a più fattori e le attestazioni di dispositivo conformi potrebbero essere disabilitati e la condivisione di utenti e gruppi nella connessione diretta B2B o collaborazione B2B potrebbero non essere consentiti.
Nelle organizzazioni multi-tenant, d'altra parte, è previsto che le impostazioni di accesso tra tenant siano attendibili. Ad esempio, i trust tra tenant per l'autenticazione a più fattori e le attestazioni di dispositivo conformi potrebbero essere abilitati e la condivisione di utenti e gruppi nella connessione diretta B2B o collaborazione B2B potrebbero essere consentiti.
Anche se la generazione automatica delle impostazioni di accesso tra tenant per i tenant partner dell'organizzazione multi-tenant in e di se stessa non modifica il comportamento dei criteri di autenticazione o autorizzazione, consente all'organizzazione di personalizzare facilmente le impostazioni di accesso tra tenant per i tenant partner nell'organizzazione multi-tenant in base al tenant.
Modelli di criteri nella formazione di organizzazioni multi-tenant
Come descritto in precedenza, nelle organizzazioni multi-tenant le impostazioni di accesso tra tenant sono in genere considerate attendibili. Ad esempio, i trust tra tenant per l'autenticazione a più fattori e le attestazioni di dispositivo conformi potrebbero essere abilitati e la condivisione di utenti e gruppi nella connessione diretta B2B o collaborazione B2B potrebbero essere consentiti.
Anche se la generazione automatica delle impostazioni di accesso tra tenant, per ogni sezione precedente, garantisce l'esistenza di impostazioni di accesso tra tenant per ogni tenant partner dell'organizzazione multi-tenant, viene eseguita singolarmente la manutenzione delle impostazioni di accesso tra tenant per i tenant partner dell'organizzazione multi-tenant.
Per ridurre il carico di lavoro per gli amministratori al momento della formazione di organizzazioni multi-tenant, è possibile usare i modelli di criteri per la configurazione preliminare delle impostazioni di accesso tra tenant. Queste impostazioni del modello vengono applicate al momento dell'aggiunta di un'organizzazione multi-tenant a tutti i tenant partner dell'organizzazione multi-tenant esterni, nonché al momento di qualsiasi tenant partner che unisce l'organizzazione multi-tenant esistente a tale nuovo tenant partner.
Abilitazione o configurazione dei modelli di criteri facoltativi, al momento dell'aggiunta di un tenant partner a un'organizzazione multi-tenant, modifica preventivamente le impostazioni di accesso tra tenant corrispondenti, sia per la configurazione dei partner che per la sincronizzazione delle identità.
Si considerino ad esempio le azioni degli amministratori per un'organizzazione multi-tenant prevista con tre tenant, A, B e C.
- Gli amministratori di tutti e tre i tenant abilitano e configurano i rispettivi modelli di criteri facoltativi per abilitare i trust tra tenant per l'autenticazione a più fattori e le attestazioni di dispositivo conformi e consentire la condivisione di utenti e gruppi in Collaborazione B2B diretta e B2B.
- Amministrazione istrator A crea l'organizzazione multi-tenant e aggiunge i tenant B e C come tenant in sospeso all'organizzazione multi-tenant.
- Amministrazione istrator B partecipa all'organizzazione multi-tenant. Le impostazioni di accesso tra tenant A per il tenant B del tenant partner vengono modificate in base alle impostazioni del modello di criteri A del tenant. Viceversa, le impostazioni di accesso tra tenant B per il tenant A del tenant A vengono modificate in base alle impostazioni del modello di criteri B del tenant.
- Amministrazione istrator C partecipa all'organizzazione multi-tenant. Le impostazioni di accesso tra tenant nei tenant A (e B) per il tenant partner C vengono modificate, in base alle impostazioni del modello di criteri A (e B) del tenant. Analogamente, le impostazioni di accesso tra tenant nel tenant C per i tenant partner A e B vengono modificate in base alle impostazioni del modello di criteri C del tenant.
- Dopo la formazione di questa organizzazione multi-tenant di tre tenant, le impostazioni di accesso tra tenant di tutte le coppie di tenant nell'organizzazione multi-tenant sono state configurate in modo preemptive.
In sintesi, la configurazione dei modelli di criteri facoltativi consente di inizializzare in modo omogeneo le impostazioni di accesso tra tenant nell'organizzazione multi-tenant, mantenendo al contempo la massima flessibilità per personalizzare le impostazioni di accesso tra tenant in base alle esigenze in base alle esigenze.
Per interrompere l'uso dei modelli di criteri, è possibile ripristinarne lo stato predefinito. Per altre informazioni, vedere Configurare modelli di organizzazione multi-tenant.
Definizione dell'ambito del modello di criteri e proprietà aggiuntive
Per fornire agli amministratori un'ulteriore configurabilità, è possibile scegliere quando le impostazioni di accesso tra tenant devono essere modificate in base ai modelli di criteri. Ad esempio, è possibile scegliere di applicare i modelli di criteri per i tenant seguenti quando un tenant viene aggiunto a un'organizzazione multi-tenant:
| Tenant | Descrizione |
|---|---|
| Solo i nuovi tenant partner | Tenant le cui impostazioni di accesso tra tenant vengono generate automaticamente |
| Solo i tenant partner esistenti | Tenant che dispongono già di impostazioni di accesso tra tenant |
| Tutti i tenant partner | Sia i nuovi tenant partner che i tenant partner esistenti |
| Nessun tenant partner | I modelli di criteri sono effettivamente disabilitati |
In questo contesto, i nuovi partner fanno riferimento ai tenant per i quali non sono ancora state configurate le impostazioni di accesso tra tenant, mentre i partner esistenti fanno riferimento ai tenant per i quali sono già state configurate le impostazioni di accesso tra tenant. Questo ambito viene specificato con la proprietà nel templateApplicationLevel modello di configurazione partner di accesso tra tenant e la templateApplicationLevel proprietà nel modello di sincronizzazione delle identità di accesso tra tenant.
Infine, in termini di interpretazione dei valori delle proprietà del modello, qualsiasi valore della proprietà del modello di non ha alcun effetto sul valore della proprietà corrispondente nelle impostazioni di accesso cross-tenant di destinazione, mentre un valore della proprietà modello definito fa sì che il valore della proprietà corrispondente nelle impostazioni di null accesso tra tenant di destinazione venga modificato in base al modello. La tabella seguente illustra come vengono applicati i valori delle proprietà del modello ai valori delle impostazioni di accesso tra tenant corrispondenti.
| Valore modello | Valore Impostazioni partner iniziale (Prima di partecipare a un'organizzazione multi-tenant) |
Valore Impostazioni partner finale (Dopo l'aggiunta all'organizzazione multi-tenant) |
|---|---|---|
null |
<Valore Impostazioni partner> | <Valore Impostazioni partner> |
| <Valore modello> | <qualsiasi valore> | <Valore modello> |
Modelli di criteri usati da interfaccia di amministrazione di Microsoft 365
Quando un'organizzazione multi-tenant viene formata in interfaccia di amministrazione di Microsoft 365, un amministratore accetta le impostazioni del modello di organizzazione multi-tenant seguenti:
- La sincronizzazione delle identità è impostata per consentire agli utenti di eseguire la sincronizzazione in questo tenant
- L'accesso tra tenant è impostato per riscattare automaticamente gli inviti utente sia in ingresso che in uscita
A tale scopo, impostare i tre valori delle proprietà del modello corrispondenti su true:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Per altre informazioni, vedere Partecipare o lasciare un'organizzazione multi-tenant in Microsoft 365.
Impostazioni di accesso tra tenant al momento del disassembling dell'organizzazione multi-tenant
Attualmente, non esiste alcuna funzionalità di modello di criteri equivalente che supporta il disassembly di un'organizzazione multi-tenant. Quando un tenant partner lascia l'organizzazione multi-tenant, ogni amministratore tenant deve esaminare nuovamente e modificare di conseguenza le impostazioni di accesso tra tenant per il tenant partner che ha lasciato l'organizzazione multi-tenant.
Il tenant partner che ha lasciato l'organizzazione multi-tenant deve esaminare nuovamente e modificare di conseguenza le impostazioni di accesso tra tenant per tutti i tenant partner dell'organizzazione multi-tenant precedenti, nonché valutare la possibilità di reimpostare i due modelli di criteri per le impostazioni di accesso tra tenant.