Organisationers valfria policy-mallar för multitenant-miljöer
Administratörer som har kontroll över sina resurser är en vägledande princip för samarbete mellan flera klientorganisationer. Åtkomstinställningar mellan klientorganisationer krävs för varje klient-till-klientrelation. Klientadministratörer konfigurerar uttryckligen partnerkonfigurationer för åtkomst mellan klientorganisationer och inställningar för identitetssynkronisering för partnerklientorganisationer i organisationen med flera klientorganisationer.
För att tillämpa homogena inställningar för åtkomst mellan klientorganisationer för partnerklientorganisationer i organisationen med flera klienter kan administratören för varje klientorganisation konfigurera valfria mallar för inställningar för åtkomst mellan klientorganisationer som är dedikerade till flera klientorganisationer. Den här artikeln beskriver hur du använder mallar för att förkonfigurera åtkomstinställningar mellan klientorganisationer som tillämpas på alla partnerklientorganisationer som nyligen anslutit till organisationen med flera klienter.
Automatisk generering av åtkomstinställningar för flera klientorganisationer
Inom en organisation med flera klienter måste varje klientpar ha dubbelriktade åtkomstinställningar för flera klientorganisationer för både partnerkonfiguration och identitetssynkronisering. De här inställningarna tillhandahåller det underliggande principramverket för att aktivera förtroende och för delning av användare och program.
När din klientorganisation ansluter till en ny organisation med flera klienter, eller när en partnerklientorganisation ansluter till din befintliga organisation för flera klientorganisationer, genereras åtkomstinställningar mellan klientorganisationer till andra partnerklienter i den förstorade flertenantorganisationen, om de inte redan finns, automatiskt i ett okonfigurerat tillstånd. I ett okonfigurerat tillstånd passerar dessa åtkomstinställningar mellan olika klientorganisationer genom standardinställningarna.
Standardinställningarna för åtkomst mellan klientorganisationer gäller för alla externa klienter som du inte har skapat organisationsspecifika anpassade inställningar för. De här inställningarna är vanligtvis konfigurerade för att vara icke-betrodda. Till exempel kan förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk inaktiveras och användar- och gruppdelning i B2B-direktanslutning eller B2B-samarbete kan vara otillåtet.
I organisationer med flera klientorganisationer förväntas å andra sidan åtkomstinställningar mellan klientorganisationer vanligtvis vara betrodda. Till exempel kan förtroenden mellan hyresgäster för multifaktorautentisering och certifierade enhetsanspråk aktiveras, och användar- och gruppdelning i B2B-direktanslutning eller B2B-samarbete kan tillåtas.
Även om den automatiska genereringen av åtkomstinställningar för klientorganisationer i en multitenant-organisation i sig själv inte ändrar något beteende för autentiserings- eller auktoriseringsprinciper, gör den det möjligt för din organisation att enkelt anpassa åtkomstinställningarna för partnerklientorganisationer i multitenant-organisationen efter varje enskild klientorganisation.
Principmallar vid organisationsbildning för flera klientorganisationer
Som tidigare beskrivits förväntas åtkomstinställningar mellan klienter vanligtvis vara betrodda. Till exempel kan förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk aktiveras och användar- och gruppdelning i B2B-direktanslutning eller B2B-samarbete kan tillåtas.
Även om automatisk generering av åtkomstinställningar mellan klientorganisationer, enligt föregående avsnitt, garanterar förekomsten av dessa inställningar för varje partnerklient, utförs ytterligare underhåll av åtkomstinställningarna för varje klientorganisation individuellt.
Om du vill minska arbetsbelastningen för administratörer vid tidpunkten för bildandet av flera klientorganisationer kan du välja att använda principmallar för förebyggande konfiguration av åtkomstinställningar mellan klientorganisationer. Dessa mallinställningar tillämpas vid tidpunkten då din klientorganisation ansluter till en multitenant-organisation, på alla externa partnerklienter i multitenant-organisationen samt vid tidpunkten då en partnerklient ansluter till din befintliga multitenant-organisation som en ny partnerklient.
Aktivering eller konfiguration av valfria principmallar, när en partnerklient ansluter till en organisation med flerklientmiljö, justera i förväg de korresponderande åtkomstinställningar mellan klientorganisationer för både partnerkonfiguration och identitetssynkronisering.
Tänk till exempel på administratörernas åtgärder för en förväntad flertenantorganisation med tre klienter, A, B och C.
- Administratörerna för alla tre klientorganisationer aktiverar och konfigurerar sina respektive valfria principmallar för att aktivera förtroenden mellan klientorganisationer för multifaktorautentisering och kompatibla enhetsanspråk och för att tillåta användar- och gruppdelning i B2B-direktanslutning och B2B-samarbete.
- Administratör A skapar en fleranvändarorganisation och lägger till klientorganisationerna B och C som blivande klienter i fleranvändarorganisationen.
- Administratör B ansluter till en multitenant-organisation. Åtkomstinställningar för klient A mellan klientorganisationer för partnerklient B ändras enligt klientorganisationens principmallsinställningar. Tvärtom ändras inställningarna för åtkomst mellan klientorganisationer i klient B för partnerklientorganisation A enligt inställningar för principmallen klient B.
- Administratör C ansluter till organisationen med flera klientorganisationer. Åtkomstinställningar mellan klientorganisationer i klientorganisationer A (och B) för partnerklientorganisation C ändras enligt principmallsinställningarna för klientorganisation A (och B). På samma sätt ändras åtkomstinställningar för klient C för partnerklienterna A och B enligt inställningarna i principmallen för klient C.
- Efter bildandet av denna organisation med flera klienter, bestående av tre klienter, har åtkomstinställningarna mellan alla klientpar i multitenantorganisationen konfigurerats i förebyggande syfte.
Sammanfattningsvis gör konfigurationen av valfria principmallar att du på ett homogent sätt kan initiera åtkomstinställningar mellan klientorganisationer i din organisation för flera klienter, samtidigt som du behåller maximal flexibilitet för att anpassa åtkomstinställningarna för flera klientorganisationer efter behov per klientorganisation.
Om du vill sluta använda principmallarna kan du återställa dem till deras standardtillstånd. Mer information finns i Konfigurera mallar för flera klientorganisationer.
Omfång för principmallar och ytterligare egenskaper
För att ge administratörer ytterligare konfigurerbarhet kan du välja när åtkomstinställningar mellan klientorganisationer ska ändras enligt principmallarna. Du kan till exempel välja att tillämpa principmallarna för följande klientorganisationer när en klientorganisation ansluter till en organisation med flera klienter:
| Hyresgäst | beskrivning |
|---|---|
| Endast nya partnerhyresgäster | Klientorganisationer vars åtkomstinställningar mellan klientorganisationer genereras automatiskt |
| Endast befintliga partnerhyresgäster | Hyresgäster som redan har åtkomstinställningar mellan hyresgäster |
| Alla partnerhyresgäster | Både nya partnerhyresgäster och befintliga partnerhyresgäster |
| Inga partnerhyresgäster | Principmallar inaktiveras effektivt |
I det här sammanhanget refererar nya partner till klienter som du ännu inte har konfigurerat åtkomstinställningar för flera klientorganisationer för, medan befintliga partner refererar till klienter som du redan har konfigurerat åtkomstinställningar för flera klientorganisationer för. Det här omfånget
När det gäller tolkningen av mallegenskapsvärden har mallegenskapens värde null ingen effekt på motsvarande egenskapsvärde i de riktade inställningarna för åtkomst mellan klientorganisationer, medan ett definierat mallegenskapsvärde gör att motsvarande egenskapsvärde i de riktade inställningarna för åtkomst mellan klientorganisationer ändras i enlighet med mallen. I följande tabell visas hur mallegenskapsvärden tillämpas på motsvarande inställningsvärden för åtkomst mellan hyresgäster.
| Mallvärde | Initialt värde för partnerinställningar (Innan du ansluter till flera klientorganisationer) |
Slutligt värde för partnerinställningar (Efter att ha gått med i en flertenant-organisation) |
|---|---|---|
null |
<Värde för partnerinställningar> | <Värde för partnerinställningar> |
| <Mallvärde> | <valfritt värde> | <Mallvärde> |
Principmallar som används av Administrationscenter för Microsoft 365
När en organisation med flera klientorganisationer bildas i Administrationscenter för Microsoft 365 godkänner en administratör följande inställningar för organisationsmallar för flera klientorganisationer:
- Identitetssynkronisering har konfigurerats så att användare kan synkronisera till denna tenant
- Åtkomst mellan hyresgäster är inställd på att automatiskt lösa in användarinbjudningar för både inkommande och utgående trafik.
Detta uppnås genom att ange motsvarande tre mallegenskapsvärden till true:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Mer information finns i Ansluta till eller lämna en organisation med flera klientorganisationer i Microsoft 365.
Åtkomstinställningar mellan klientorganisationer vid avveckling av en flertenantorganisation
För närvarande finns det ingen motsvarande policy-mallfunktion som stöder upplösningen av en multitenant-organisation. När en partnerklient lämnar organisationen för flera klientorganisationer måste varje klientorganisationsadministratör ompröva och ändra inställningarna för åtkomst mellan klientorganisationer för partnerklientorganisationen som lämnade organisationen för flera klientorganisationer.
Partnerhyresgästen som lämnade organisationen med flera hyresgäster måste ompröva och ändra åtkomstinställningarna för alla tidigare partnerhyresgäster. De bör också överväga att återställa de två principmallarna för dessa åtkomstinställningar.