Configurar modelos de política de organização multilocatário usando a API Microsoft Graph
Este artigo descreve como configurar um modelo de política para sua organização multilocatário.
Pré-requisitos
- Para obter mais informações, confira Requisitos de licença.
- Função de Administrador de Segurança para definir configurações e modelos de acesso entre locatários para a organização multilocatário.
- Função Administrador Global para consentir com as permissões necessárias.
Modelo de parceiro de política de acesso entre locatários
A configuração do parceiro de acesso entre locatários manipula as configurações de confiança e as configurações automáticas de consentimento do usuário entre locatários do parceiro. Por exemplo, você pode usar essas configurações para confiar em declarações de autenticação multifator para usuários de entrada do locatário do parceiro de destino. Com o modelo em um estado não configurado, as configurações de parceiros para locatários de parceiros na organização multilocatário não serão alteradas, com todas as configurações de confiança passadas a partir das configurações padrão. No entanto, se você configurar o modelo, as configurações de parceiro serão alteradas de forma correspondente ao modelo de política.
Configurar o resgate automático de entrada e saída
Para especificar quais configurações de confiança e configurações automáticas de consentimento do usuário aplicar ao modelo de política, use a API Update multiTenantOrganizationPartnerConfigurationTemplate. Se você criar ou ingressar em uma organização multilocatário usando o Centro de administração do Microsoft 365, essa configuração será realizada automaticamente.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desabilitar o modelo para parceiros existentes
Para aplicar esse modelo somente a novos membros da organização multilocatário e excluir parceiros existentes, defina o parâmetro templateApplicationLevel apenas para novos parceiros.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desabilitar completamente o modelo
Para desabilitar completamente o modelo, defina o parâmetro templateApplicationLevel como nulo.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar toda a confiança e consentimento automático do usuário), use a API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modelo de sincronização entre locatários
A política de sincronização de identidade rege a sincronização entre locatários, o que permite compartilhar usuários e grupos entre locatários em sua organização. Você pode usar essas configurações para permitir a sincronização de usuário de entrada. Com o modelo em um estado não configurado, a política de sincronização de identidade para locatários de parceiros na organização multilocatário não será alterada. No entanto, se você configurar o modelo, a política de sincronização de identidade será alterada de forma correspondente ao modelo de política.
Configurar a sincronização de usuário de entrada
Para permitir a sincronização de usuário de entrada no modelo de política, use a API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Se você criar ou ingressar em uma organização multilocatário usando o Centro de administração do Microsoft 365, essa configuração será realizada automaticamente.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desabilitar o modelo para parceiros existentes
Para aplicar esse modelo somente a novos membros da organização multilocatário e excluir parceiros existentes, defina o parâmetro templateApplicationLevel apenas para novos parceiros.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desabilitar completamente o modelo
Para desabilitar completamente o modelo, defina o parâmetro templateApplicationLevel como nulo.
Solicitação
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar sincronização de entrada), use a API multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings.
Solicitação
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings