使用 Microsoft Graph API 設定多租使用者組織原則範本
本文說明如何為多租用戶組織設定原則範本。
先決條件
跨租戶存取原則合作夥伴範本
跨租用戶合作夥伴設定 處理合作夥伴租用戶之間的信任設定和自動用戶同意設定。 例如,您可以使用這些設定,對來自目標合作夥伴租戶的外來使用者的多重要素驗證聲明建立信任。 在範本尚未配置的狀態下,將不會更動多租用戶組織中合作夥伴租用戶的設定,所有信任設定全都沿用預設設定。 不過,如果您設定範本,則會依據政策範本來修改合作夥伴的設定。
設定輸入和輸出自動兌換
若要指定要套用至策略範本的信任設定和自動使用者同意設定,請使用 Update multiTenantOrganizationPartnerConfigurationTemplate API。 如果您使用 Microsoft 365 系統管理中心建立或加入多租用戶組織,則會自動處理此設定。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
停用現有合作夥伴的範本
若要將此範本套用至新的多租使用者組織成員,並排除現有的合作夥伴,請將 templateApplicationLevel 參數設定為僅限新的合作夥伴。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
完全停用範本
若要完全停用範本,請將 templateApplicationLevel 參數設定為 null。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
重設範本
若要將範本重設為其默認狀態(拒絕所有信任和自動使用者同意),請使用 multiTenantOrganizationPartnerConfigurationTemplate:resetToDefaultSettings API。
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
租戶間同步範本
身分識別同步處理原則會控管 跨租戶同步處理,這可讓您在組織中跨租戶共用使用者和群組。 您可以使用這些設定來允許輸入使用者同步處理。 使用處於未設定狀態的範本,將不會修改多租戶組織中合作夥伴租戶的身分識別同步原則。 不過,如果您設定這個範本,則身分識別同步處理原則將會根據政策範本進行修改。
設定入站使用者同步處理
若要允許原則範本中的傳入使用者同步,請使用 Update multiTenantOrganizationIdentitySyncPolicyTemplate API。 如果您使用 Microsoft 365 系統管理中心建立或加入多租用戶組織,則會自動處理此設定。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
停用現有合作夥伴的範本
若要將此範本套用至新的多租使用者組織成員,並排除現有的合作夥伴,請將 templateApplicationLevel 參數設定為僅限新的合作夥伴。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
完全停用範本
若要完全停用範本,請將 templateApplicationLevel 參數設定為 null。
要求
PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
重設範本
若要將範本重設為默認狀態(拒絕輸入同步處理),請使用 multiTenantOrganizationIdentitySyncPolicyTemplate:resetToDefaultSettings API。
要求
POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings