Konfigurera principmallar för flera klientorganisationer med hjälp av Microsoft Graph API
I den här artikeln beskrivs hur du konfigurerar en principmall för din organisation med flera klientorganisationer.
Förutsättningar
- Licensinformation finns i Licenskrav.
- Rollen Säkerhetsadministratör för att konfigurera åtkomstinställningar och mallar för flera klientorganisationer.
- Global administratörsroll för att samtycka till nödvändiga behörigheter.
Partnermall för åtkomstprincip för flera klientorganisationer
Partnerkonfigurationen för åtkomst mellan klientorganisationer hanterar förtroendeinställningar och automatiska inställningar för användarmedgivande mellan partnerklientorganisationer. Du kan till exempel använda de här inställningarna för att lita på anspråk för multifaktorautentisering för inkommande användare från målpartnerklientorganisationen. Med mallen i ett okonfigurerat tillstånd ändras inte partnerkonfigurationer för partnerklientorganisationer i organisationen med flera klienter, och alla förtroendeinställningar skickas via standardinställningarna. Men om du konfigurerar mallen ändras partnerkonfigurationer som motsvarar principmallen.
Konfigurera inkommande och utgående automatisk inlösen
Om du vill ange vilka förtroendeinställningar och automatiska inställningar för användarmedgivande som ska tillämpas på din principmall använder du API:et Update multiTenantOrganizationPartnerConfigurationTemplate . Om du skapar eller ansluter till en organisation med flera klientorganisationer med hjälp av Administrationscenter för Microsoft 365 hanteras den här konfigurationen automatiskt.
Begär
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Inaktivera mallen för befintliga partner
Om du bara vill tillämpa den här mallen på nya medlemmar i flera organisationer och exkludera befintliga partner anger du parametern templateApplicationLevel endast till nya partner.
Begär
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Inaktivera mallen helt
Om du vill inaktivera mallen helt anger du parametern templateApplicationLevel till null.
Begär
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Återställa mallen
Om du vill återställa mallen till standardtillståndet (neka allt förtroende och automatiskt användarmedgivande) använder du multiTenantOrganizationPartnerConfigurationTemplate: resetToDefault Inställningar API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Synkroniseringsmall för flera klientorganisationer
Identitetssynkroniseringsprincipen styr synkronisering mellan klientorganisationer, vilket gör att du kan dela användare och grupper mellan klienter i din organisation. Du kan använda de här inställningarna för att tillåta inkommande användarsynkronisering. Med mallen i ett okonfigurerat tillstånd ändras inte identitetssynkroniseringsprincipen för partnerklientorganisationer i organisationen med flera klienter. Men om du konfigurerar mallen ändras identitetssynkroniseringsprincipen som motsvarar principmallen.
Konfigurera inkommande användarsynkronisering
Om du vill tillåta inkommande användarsynkronisering i principmallen använder du API:et Update multiTenantOrganizationIdentitySyncPolicyTemplate . Om du skapar eller ansluter till en organisation med flera klientorganisationer med hjälp av Administrationscenter för Microsoft 365 hanteras den här konfigurationen automatiskt.
Begär
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Inaktivera mallen för befintliga partner
Om du bara vill tillämpa den här mallen på nya medlemmar i flera organisationer och exkludera befintliga partner anger du parametern templateApplicationLevel endast till nya partner.
Begär
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Inaktivera mallen helt
Om du vill inaktivera mallen helt anger du parametern templateApplicationLevel till null.
Begär
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Återställa mallen
Om du vill återställa mallen till standardtillståndet (neka inkommande synkronisering) använder du multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefault Inställningar API.
Begär
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings