Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
En este artículo se describe cómo configurar una plantilla de directiva para la organización multiinquilino.
Prerrequisitos
- Para obtener información sobre licencias, consulte Requisitos de licencia.
- Rol de Administrador de seguridad para configurar los ajustes y plantillas de acceso entre inquilinos para la organización multiinquilino.
- Rol de Administrador de roles con privilegios para dar su consentimiento a los permisos necesarios.
Plantilla de asociado de la directiva de acceso entre inquilinos
La configuración del socio de acceso entre inquilinos administra los ajustes de confianza y los ajustes automáticos de consentimiento del usuario entre los inquilinos asociados. Por ejemplo, puede utilizar estos valores para confiar en las notificaciones de autenticación multifactor para usuarios entrantes desde el inquilino asociado de destino. Con la plantilla en un estado no configurado, las configuraciones de asociado para los inquilinos asociados en la organización multiinquilino no se modificarán, con todas las configuraciones de confianza pasadas desde las configuraciones predeterminadas. Sin embargo, si configura la plantilla, se modificarán las configuraciones de los socios correspondientes a la plantilla de directiva.
Configuración del canje automático de entradas y salidas
Para especificar qué configuraciones de confianza y de consentimiento automático de usuario aplicar a su plantilla de directiva, utilice la API Update multiTenantOrganizationPartnerConfigurationTemplate. Si crea o se une a una organización multiinquilino mediante el Centro de administración de Microsoft 365, esta configuración se controla automáticamente.
Solicitud
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deshabilitación de la plantilla de configuración de asociados para asociados existentes
Para aplicar esta plantilla solo a los nuevos miembros de la organización multicliente y excluir a los socios existentes, establezca el parámetro templateApplicationLevel solo para los nuevos socios.
Solicitud
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Deshabilitar completamente la plantilla de configuración del asociado
Para deshabilitar completamente la plantilla, establezca el parámetro templateApplicationLevel en NULL.
Solicitud
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration
{
"inboundTrust": {
"isMfaAccepted": true,
"isCompliantDeviceAccepted": true,
"isHybridAzureADJoinedDeviceAccepted": true
},
"automaticUserConsentSettings": {
"inboundAllowed": true,
"outboundAllowed": true
},
"templateApplicationLevel": ""
}
Restablecer la plantilla de configuración del asociado
Para restablecer la plantilla a su estado predeterminado (rechazar toda la confianza y el consentimiento automático del usuario), use la API multiTenantOrganizationPartnerConfigurationTemplate: resetToDefaultSettings API.
POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings
Plantilla de sincronización entre inquilinos
La directiva de sincronización de identidades rige la sincronización entre inquilinos, que permite compartir usuarios y grupos entre los distintos inquilinos de la organización. Puede usar esta configuración para permitir la sincronización de usuarios entrantes. Con la plantilla en un estado no configurado, no se modificará la directiva de sincronización de identidades para los inquilinos asociados en la organización multiinquilino. Sin embargo, si configura la plantilla, la política de sincronización de identidades se modificará de acuerdo con la plantilla de política.
Configuración de la sincronización de usuarios entrantes
Para permitir la sincronización entrante de usuarios en la plantilla de directivas, utilice la API Update multiTenantOrganizationIdentitySyncPolicyTemplate. Si crea o se une a una organización multiinquilino mediante el Centro de administración de Microsoft 365, esta configuración se controla automáticamente.
Solicitud
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners,existingPartners"
}
Deshabilitación de la plantilla de sincronización para asociados existentes
Para aplicar esta plantilla solo a los nuevos miembros de la organización multicliente y excluir a los socios existentes, establezca el parámetro templateApplicationLevel solo para los nuevos socios.
Solicitud
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": "newPartners"
}
Deshabilitar completamente la plantilla de sincronización
Para deshabilitar completamente la plantilla, establezca el parámetro templateApplicationLevel en NULL.
Solicitud
PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization
{
"userSyncInbound": {
"isSyncAllowed": true
},
"templateApplicationLevel": ""
}
Restablecer la plantilla de sincronización
Para restablecer la plantilla a su estado predeterminado (rechazar la sincronización de entrada), use el multiTenantOrganizationIdentitySyncPolicyTemplate: resetToDefaultSettings API.
Solicitud
POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings