Configurar templates de política para organizações multilocatárias usando a API do Microsoft Graph
Este artigo descreve como configurar um modelo de política para sua organização multilocatário.
Pré-requisitos
- Para obter informações sobre licença, consulte Requisitos de licença.
- função de Administrador de Segurança para definir configurações e modelos de acesso entre locatários para a organização multilocatário.
- Administrador de Função Privilegiada função para consentir com as permissões necessárias.
Modelo de política de acesso entre locatários para parceiros
A configuração de parceiro de acesso entre inquilinos lida com as definições de confiança e as definições de consentimento automático do usuário entre inquilinos parceiros. Por exemplo, pode usar estas definições para confiar em declarações de autenticação multifator para utilizadores provenientes do inquilino parceiro de destino. Com o modelo em um estado não configurado, as configurações de parceiro para locatários parceiros na organização multilocatária não serão alteradas, com todas as configurações de confiança passadas das configurações padrão. No entanto, se você configurar o modelo, as configurações de parceiro serão alteradas correspondentes ao modelo de política.
Configurar resgate automático de entrada e saída
Para especificar quais configurações de confiança e de consentimento automático do utilizador devem ser aplicadas ao seu modelo de política, use a API Atualizar multiTenantOrganizationPartnerConfigurationTemplate. Se você criar ou ingressar em uma organização multilocatária usando o centro de administração do Microsoft 365, essa configuração será tratada automaticamente.
Pedido
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desativar o modelo para parceiros existentes
Para aplicar este modelo apenas a novos membros da organização multilocatária e excluir parceiros existentes, defina o parâmetro templateApplicationLevel apenas para novos parceiros.
Pedido
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desative completamente o modelo
Para desativar completamente o modelo, defina o parâmetro templateApplicationLevel como null.
Pedido
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar toda a confiança e consentimento automático do usuário), use a multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Modelo de sincronização entre locatários
A política de sincronização de identidade rege a sincronização entre inquilinos, que permite partilhar utilizadores e grupos entre inquilinos na sua organização. Você pode usar essas configurações para permitir a sincronização de utilizadores recebidos. Com o modelo em um estado não configurado, a política de sincronização de identidade para locatários parceiros na organização multilocatária não será alterada. No entanto, se você configurar o modelo, a política de sincronização de identidade será alterada correspondente ao modelo de política.
Configurar a sincronização do usuário de entrada
Para permitir a sincronização de utilizadores de entrada no modelo de política, utilize a API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Se você criar ou ingressar em uma organização multilocatária usando o centro de administração do Microsoft 365, essa configuração será tratada automaticamente.
Pedido
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Desativar o modelo para parceiros existentes
Para aplicar este modelo apenas a novos membros da organização multilocatária e excluir parceiros existentes, defina o parâmetro templateApplicationLevel apenas para novos parceiros.
Pedido
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Desative completamente o modelo
Para desativar completamente o modelo, defina o parâmetro templateApplicationLevel como null.
Pedido
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Redefinir o modelo
Para redefinir o modelo para seu estado padrão (recusar sincronização de entrada), use a multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.
Pedido
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings