Optionele beleidssjablonen voor meerdere tenants
Beheerders die de controle over hun resources behouden, vormen een leidraad voor samenwerking met meerdere tenants in de organisatie. Instellingen voor toegang tussen tenants zijn vereist voor elke tenant-naar-tenantrelatie. Tenantbeheerders configureren expliciet configuraties voor partnertoegang tussen tenants en instellingen voor identiteitssynchronisatie voor partnertenants binnen de multitenant-organisatie.
De beheerder van elke tenant kan optionele sjablonen voor toegangsinstellingen voor meerdere tenants configureren die zijn toegewezen aan de multitenant-organisatie om homogene instellingen voor meerdere tenants toe te passen op partnertenant-tenants. In dit artikel wordt beschreven hoe u sjablonen gebruikt voor het vooraf configureren van instellingen voor toegang tussen tenants die worden toegepast op een partnertenant die nieuw lid wordt van de multitenant-organisatie.
Automatische generatie van toegangsinstellingen voor meerdere tenants
Binnen een multitenant-organisatie moet elk paar tenants bidirectionele toegangsinstellingen voor meerdere tenants hebben, voor zowel partnerconfiguratie als identiteitssynchronisatie. Deze instellingen bieden het onderliggende beleidsframework voor het inschakelen van vertrouwen en voor het delen van gebruikers en toepassingen.
Wanneer uw tenant deelneemt aan een nieuwe multitenant-organisatie, of wanneer een partnertenant deelneemt aan uw bestaande multitenant-organisatie, worden instellingen voor toegang tussen tenants voor meerdere tenants in de uitgebreide multitenant-organisatie, als deze nog niet bestaan, automatisch gegenereerd in een niet-geconfigureerde status. In een niet-geconfigureerde status worden deze instellingen voor toegang tussen tenants doorgegeven aan de standaardinstellingen.
De standaardinstellingen voor toegang tussen tenants zijn van toepassing op alle externe tenants waarvoor u geen organisatiespecifieke aangepaste instellingen hebt gedefinieerd. Deze instellingen zijn doorgaans geconfigureerd om niet-vertrouwd te zijn. Zo kunnen vertrouwensrelaties tussen tenants voor meervoudige verificatie en compatibele apparaatclaims worden uitgeschakeld en kunnen gebruikers- en groepsdeling in B2B-directe verbinding of B2B-samenwerking niet worden toegestaan.
In multitenant-organisaties daarentegen worden instellingen voor toegang tussen tenants doorgaans vertrouwd. Zo kunnen crosstenantvertrouwensrelaties voor meervoudige verificatie en compatibele apparaatclaims worden ingeschakeld en kunnen gebruikers- en groepsdeling in B2B direct connect of B2B-samenwerking zijn toegestaan.
Hoewel de automatische generatie van toegangsinstellingen voor meerdere tenants voor tenants voor partnertenant-tenants binnen meerdere tenants op zichzelf geen verificatie- of autorisatiebeleidsgedrag wijzigt, kan uw organisatie eenvoudig de instellingen voor toegang tussen tenants voor partnertenants in de multitenant-organisatie per tenant aanpassen.
Beleidssjablonen bij de formatie van meerdere tenants
Zoals eerder beschreven, worden in multitenant-organisaties instellingen voor toegang tussen tenants doorgaans vertrouwd. Zo kunnen crosstenantvertrouwensrelaties voor meervoudige verificatie en compatibele apparaatclaims worden ingeschakeld en kunnen gebruikers- en groepsdeling in B2B direct connect of B2B-samenwerking zijn toegestaan.
Hoewel automatische generatie van instellingen voor crosstenant-toegang, per vorige sectie, garandeert het bestaan van instellingen voor meerdere tenanttoegang voor elke tenantpartnertenant van meerdere tenants, wordt het onderhoud van de instellingen voor toegang tussen tenants voor tenants voor meerdere tenants afzonderlijk uitgevoerd, op basis van tenants.
Als u de werkbelasting voor beheerders op het moment van de vorming van meerdere tenants wilt verminderen, kunt u eventueel beleidssjablonen gebruiken voor de preventieve configuratie van instellingen voor toegang tussen tenants. Deze sjablooninstellingen worden toegepast op het moment dat uw tenant lid wordt van een multitenant-organisatie aan alle tenants van externe partnerpartner en op het moment dat een partnertenant deelneemt aan uw bestaande multitenant-organisatie aan een dergelijke nieuwe partnertenant.
Inschakelen of configureren van de optionele beleidssjablonen, op het moment dat een partnertenant lid wordt van een multitenant-organisatie, wijzigt u de overeenkomstige instellingen voor toegang tussen tenants, voor zowel partnerconfiguratie als identiteitssynchronisatie.
Bekijk bijvoorbeeld de acties van de beheerders voor een verwachte multitenant-organisatie met drie tenants, A, B en C.
- De beheerders van alle drie tenants schakelen hun respectieve optionele beleidssjablonen in om meerdere tenantvertrouwensrelaties in te schakelen voor meervoudige verificatie en compatibele apparaatclaims en om het delen van gebruikers en groepen in B2B direct connect en B2B-samenwerking mogelijk te maken.
- Beheerder A maakt de multitenant-organisatie en voegt tenants B en C toe als tenants die in behandeling zijn voor de multitenant-organisatie.
- Beheerder B neemt deel aan de multitenant-organisatie. Instellingen voor toegang tussen tenants in tenant A voor partnertenant B worden gewijzigd volgens de tenant A-beleidssjablooninstellingen. Omgekeerd worden instellingen voor toegang tussen tenants in tenant B voor partnertenant A gewijzigd volgens de instellingen van de tenant B-beleidssjabloon.
- Beheerder C neemt deel aan de multitenant-organisatie. Instellingen voor toegang tussen tenants in tenants A (en B) voor partnertenant C worden gewijzigd, afhankelijk van de beleidssjablooninstellingen voor tenant A (en B). Op dezelfde manier worden instellingen voor toegang tussen tenants in tenant C voor partnertenant A en B gewijzigd, afhankelijk van de beleidssjablooninstellingen voor tenant C.
- Na de vorming van deze multitenant-organisatie van drie tenants zijn de instellingen voor toegang tussen tenants van alle tenantparen in de multitenant-organisatie vooraf geconfigureerd.
Samenvattend kunt u met de configuratie van de optionele beleidssjablonen de toegangsinstellingen voor meerdere tenants homogeen initialiseren in uw multitenant-organisatie, terwijl u de maximale flexibiliteit behoudt om uw instellingen voor meerdere tenanttoegang zo nodig per tenant aan te passen.
Als u de beleidssjablonen niet meer wilt gebruiken, kunt u ze opnieuw instellen op de standaardstatus. Zie Sjablonen voor meerdere tenants configureren voor meer informatie.
Bereik van beleidssjabloon en aanvullende eigenschappen
Als u beheerders meer configureerbaarheid wilt bieden, kunt u kiezen wanneer instellingen voor toegang tussen tenants moeten worden gewijzigd op basis van de beleidssjablonen. U kunt er bijvoorbeeld voor kiezen om de beleidssjablonen voor de volgende tenants toe te passen wanneer een tenant lid wordt van een multitenant-organisatie:
| Tenant | Beschrijving |
|---|---|
| Alleen nieuwe partnertenants | Tenants waarvan de toegangsinstellingen voor meerdere tenants automatisch worden gegenereerd |
| Alleen bestaande partnertenants | Tenants die al toegangsinstellingen voor meerdere tenants hebben |
| Alle partnertenants | Zowel nieuwe partnertenants als bestaande partnertenants |
| Geen partnertenants | Beleidssjablonen worden effectief uitgeschakeld |
In deze context verwijzen nieuwe partners naar tenants waarvoor u nog geen toegangsinstellingen voor meerdere tenants hebt geconfigureerd, terwijl bestaande partners verwijzen naar tenants waarvoor u al toegangsinstellingen voor meerdere tenants hebt geconfigureerd. Dit bereik wordt opgegeven met de templateApplicationLevel eigenschap op de configuratiesjabloon voor partneroverschrijdende tenanttoegang en de templateApplicationLevel eigenschap op de sjabloon voor identiteitssynchronisatie tussen tenants.
Ten slotte heeft een sjablooneigenschapswaarde, wat betreft de interpretatie van sjablooneigenschapswaarden, geen effect op de bijbehorende eigenschapswaarde null in de doelinstellingen voor toegang tot meerdere tenants, terwijl een gedefinieerde eigenschapswaarde ervoor zorgt dat de bijbehorende eigenschapswaarde in de doelinstellingen voor toegang tot meerdere tenants wordt gewijzigd overeenkomstig de sjabloon. In de volgende tabel ziet u hoe sjablooneigenschapswaarden worden toegepast op overeenkomende waarden voor toegang tot meerdere tenants.
| Sjabloonwaarde | Oorspronkelijke waarde voor partnerinstellingen (Voordat u deelneemt aan een multitenant-organisatie) |
Waarde voor uiteindelijke partnerinstellingen (Na deelname aan multitenant org) |
|---|---|---|
null |
<Waarde partnerinstellingen> | <Waarde partnerinstellingen> |
| <Sjabloonwaarde> | <elke waarde> | <Sjabloonwaarde> |
Beleidssjablonen die worden gebruikt door Microsoft 365-beheercentrum
Wanneer een multitenant-organisatie wordt gevormd in Microsoft 365-beheercentrum, gaat een beheerder akkoord met de volgende sjablooninstellingen voor meerdere tenants:
- Identiteitssynchronisatie is zo ingesteld dat gebruikers kunnen synchroniseren met deze tenant
- Toegang tussen tenants is ingesteld om gebruikersuitnodigingen automatisch in te wisselen voor zowel inkomend als uitgaand verkeer
Dit wordt bereikt door de bijbehorende drie sjablooneigenschapswaarden in te stellen op true:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Zie Deelnemen aan of verlaten van een multitenant-organisatie in Microsoft 365 voor meer informatie.
Instellingen voor toegang tussen tenants op het moment van de demontage van multitenant-organisatie
Er is momenteel geen equivalente beleidssjabloonfunctie die ondersteuning biedt voor de demontage van een multitenant-organisatie. Wanneer een partnertenant de multitenant-organisatie verlaat, moet elke tenantbeheerder de toegangsinstellingen voor meerdere tenants opnieuw bekijken en wijzigen voor de partnertenant die de multitenant-organisatie heeft verlaten.
De partnertenant die de multitenant-organisatie heeft verlaten, moet de toegangsinstellingen voor meerdere tenants opnieuw bekijken en wijzigen voor alle voormalige tenants van partners van meerdere tenants en overwegen de twee beleidssjablonen opnieuw in te stellen voor instellingen voor toegang tussen tenants.