Modèles de stratégie facultatifs de l’organisation multilocataire
Le maintien du contrôle de leurs ressources par les administrateurs est un principe directeur pour la collaboration dans une organisation multilocataire. Des paramètres d’accès interlocataire sont requis pour chaque relation de locataire à locataire. Les administrateurs de locataire configurent explicitement les configurations du partenaire d’accès interlocataire et les paramètres de synchronisation des identités pour les locataires partenaires à l’intérieur de l’organisation multilocataire.
Pour faciliter l’application de paramètres d’accès interlocataire homogènes aux locataires partenaires de l’organisation multilocataire, l’administrateur de chaque locataire peut configurer des modèles facultatifs de paramètres d’accès interlocataire dédiés à l’organisation multilocataire. Cet article explique comment utiliser des modèles pour préconfigurer les paramètres d’accès interlocataire qui sont appliqués à tout locataire partenaire qui vient de rejoindre l’organisation multilocataire.
Génération automatique des paramètres d’accès interlocataire
Dans une organisation multilocataire, chaque paire de locataires doit avoir des paramètres d’accès interlocataire bidirectionnels, à la fois pour la configuration des partenaires et la synchronisation des identités. Ces paramètres fournissent l’infrastructure de la stratégie sous-jacente pour activer l’approbation et partager des utilisateurs et des applications.
Quand votre locataire rejoint une nouvelle organisation multilocataire, ou lorsqu’un locataire partenaire rejoint votre organisation multilocataire existante, les paramètres d’accès interlocataire à d’autres locataires partenaires de l’organisation multilocataire agrandie, s’ils n’existent pas déjà, sont générés automatiquement dans un état non configuré. Dans un état non configuré, ces paramètres d’accès interlocataire passent par les paramètres par défaut.
Les paramètres d’accès multi-abonné par défaut s’appliquent à tous les locataires externes pour lesquels vous n’avez pas créé de paramètres personnalisés spécifiques à l’organisation. En règle générale, ces paramètres sont configurés pour être « non confiants ». Par exemple, les approbations interlocataire pour l’authentification multifacteur et les revendications d’appareil conformes peuvent être désactivées et le partage d’utilisateurs et de groupes dans la connexion directe B2B ou dans B2B Collaboration peut être interdit.
En revanche, dans les organisations multilocataire, les paramètres d’accès interlocataire sont généralement censés être « confiants ». Par exemple, les approbations interlocataire pour l’authentification multifacteur et les revendications d’appareil conformes peuvent être activées et le partage d’utilisateurs et de groupes dans la connexion directe B2B ou dans B2B Collaboration peut être autorisé.
Bien que la génération automatique des paramètres d’accès interlocataire pour les locataires partenaires d’une organisation multilocataire ne modifie pas en soi le comportement de la stratégie d’authentification ou d’autorisation, elle permet à votre organisation de personnaliser facilement les paramètres d’accès interlocataire pour les locataires partenaires de l’organisation multilocataire, par locataire.
Modèles de stratégie à la formation d’une organisation multilocataire
Comme décrit précédemment, dans les organisations multilocataires, les paramètres d’accès interlocataire sont généralement censés être « confiants ». Par exemple, les approbations interlocataire pour l’authentification multifacteur et les revendications d’appareil conformes peuvent être activées et le partage d’utilisateurs et de groupes dans la connexion directe B2B ou dans B2B Collaboration peut être autorisé.
Bien que la génération automatique des paramètres d’accès interlocataire, comme indiqué dans la section précédente, garantisse l’existence de paramètres d’accès interlocataire pour chaque locataire partenaire d’une organisation multilocataire, la maintenance des paramètres d’accès interlocataire pour les locataires partenaires d’une organisation multilocataire est effectuée individuellement, par locataire.
Pour réduire la charge de travail des administrateurs à la formation de l’organisation multilocataire, vous pouvez éventuellement utiliser des modèles de stratégie pour la configuration préemptive des paramètres d’accès interlocataire. Ces paramètres de modèle sont appliqués à tous les locataires partenaires d’une organisation multilocataire externe, au moment où votre locataire rejoint une organisation multilocataire, ainsi qu’à tout nouveau locataire partenaire au moment où un tel locataire partenaire rejoint votre organisation multilocataire existante.
L’activation ou la configuration des modèles de stratégie facultatifs, au moment où un locataire partenaire rejoint une organisation multilocataire, modifie de manière préemptive les paramètres d’accès interlocataire correspondants, à la fois pour la configuration du partenaire et la synchronisation des identités.
Par exemple, considérez les actions des administrateurs pour une organisation multilocataire attendue avec trois locataires, A, B et C.
- Les administrateurs des trois locataires activent et configurent leurs modèles de stratégie facultatifs respectifs pour activer les approbations interlocataire pour l’authentification multifacteur et les revendications d’appareil conformes, et pour autoriser le partage d’utilisateurs et de groupes dans la connexion directe B2B et dans B2B Collaboration.
- L’administrateur A crée l’organisation multilocataire et ajoute les locataires B et C en tant que locataires en attente de l’organisation multilocataire.
- L’administrateur B rejoint l’organisation multilocataire. Les paramètres d’accès interlocataire dans le locataire A pour le locataire partenaire B sont modifiés en fonction des paramètres du modèle de stratégie du locataire A. Inversement, les paramètres d’accès interlocataire dans le locataire B pour le locataire partenaire A sont modifiés en fonction des paramètres du modèle de stratégie du locataire B.
- L’administrateur C rejoint l’organisation multilocataire. Les paramètres d’accès interlocataire dans le locataire A (et B) pour le locataire partenaire C sont modifiés en fonction des paramètres du modèle de stratégie du locataire A (et B). De même, les paramètres d’accès interlocataire dans le locataire C pour les locataires partenaires A et B sont modifiés en fonction des paramètres du modèle de stratégie du locataire C.
- Après la formation de cette organisation multilocataire de trois locataires, les paramètres d’accès interlocataire de toutes les paires de locataires de l’organisation multilocataire ont été configurés de manière préemptive.
En résumé, la configuration des modèles de stratégie facultatifs vous permet d’initialiser de manière homogène les paramètres d’accès interlocataire dans votre organisation multilocataire, tout en conservant une flexibilité maximale pour personnaliser vos paramètres d’accès interlocataire en fonction des besoins, par locataire.
Pour arrêter d’utiliser les modèles de stratégie, vous pouvez les réinitialiser à leur état par défaut. Pour plus d’informations, consultez Configurer des modèles d’organisation multilocataire.
Étendue du modèle de stratégie et propriétés supplémentaires
Pour fournir aux administrateurs des options de configuration supplémentaires, vous pouvez choisir quand les paramètres d’accès interlocataire doivent être modifiés en fonction des modèles de stratégie. Par exemple, vous pouvez choisir d’appliquer les modèles de stratégie aux locataires suivants lorsqu’un locataire rejoint une organisation multilocataire :
| Locataire | Description |
|---|---|
| Nouveaux locataires partenaires uniquement | Locataires dont les paramètres d’accès interlocataire sont générés automatiquement |
| Locataires partenaires existants uniquement | Locataires qui disposent déjà de paramètres d’accès interlocataire |
| Tous les locataires partenaires | Nouveaux locataires partenaires et locataires partenaires existants |
| Aucun locataire partenaire | Les modèles de stratégie sont effectivement désactivés |
Dans ce contexte, les nouveaux partenaires font référence aux locataires pour lesquels vous n’avez pas encore configuré les paramètres d’accès interlocataire, tandis que les partenaires existants font référence aux locataires pour lesquels vous avez déjà configuré les paramètres d’accès interlocataire. Cette étendue est spécifiée avec la propriété templateApplicationLevel sur le modèle de configuration du partenaire d’accès interlocataire et la propriété templateApplicationLevel sur le modèle de synchronisation des identités d’accès interlocataire.
Enfin, en termes d’interprétation des valeurs de propriété de modèle, toute valeur de propriété de modèle de null n’a aucun effet sur la valeur de propriété correspondante dans les paramètres d’accès interlocataire ciblés, tandis qu’une valeur de propriété de modèle définie entraîne la modification de la valeur de propriété correspondante dans les paramètres d’accès interlocataire ciblés conformément au modèle. Le tableau suivant illustre la façon dont les valeurs de propriété de modèle sont appliquées aux valeurs correspondantes du paramètre d’accès interlocataire.
| Valeur du modèle | Valeur initiale des paramètres du partenaire (Avant de rejoindre l’organisation multilocataire) |
Valeur finale des paramètres du partenaire (Après avoir rejoint l’organisation multilocataire) |
|---|---|---|
null |
<Valeur des paramètres du partenaire> | <Valeur des paramètres du partenaire> |
| <Valeur du modèle> | <toute valeur> | <Valeur du modèle> |
Modèles de stratégie utilisés par le centre d'administration Microsoft 365
Lorsqu’une organisation multilocataire est formée dans le centre d'administration Microsoft 365, un administrateur accepte les paramètres de modèle d’organisation multilocataire suivants :
- La synchronisation des identités est définie pour permettre aux utilisateurs de se synchroniser dans ce locataire
- L’accès interlocataire est défini pour accepter automatiquement les invitations des utilisateurs tant pour le trafic entrant que pour le trafic sortant
Pour ce faire, définissez les trois valeurs de propriété de modèle correspondantes sur true :
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Pour plus d’informations, consultez Rejoindre ou quitter une organisation multilocataire dans Microsoft 365.
Paramètres d’accès interlocataire au moment du désassemblage d’une organisation multilocataire
Actuellement, il n’existe aucune fonctionnalité de modèle de stratégie équivalente prenant en charge le désassemblage d’une organisation multilocataire. Lorsqu’un locataire partenaire quitte l’organisation multilocataire, chaque administrateur de locataire doit réexaminer et modifier en conséquence les paramètres d’accès interlocataire pour le locataire partenaire qui a quitté l’organisation multilocataire.
Le locataire partenaire qui a quitté l’organisation multilocataire doit réexaminer et modifier en conséquence les paramètres d’accès interlocataire pour tous les anciens locataires partenaires de l’organisation multilocataire, et envisager de réinitialiser les deux modèles de stratégie pour les paramètres d’accès interlocataire.