Modelos de políticas opcionais de organização multilocatário
Os administradores que permanecem no controle de seus recursos são um princípio norteador para a colaboração multilocatário da organização. As configurações de acesso entre locatários são necessárias para cada relação de locatário para locatário. Os administradores de locatários definem explicitamente configurações de parceiro de acesso entre locatários e configurações de sincronização de identidade para locatários parceiros dentro da organização multilocatário.
Para ajudar a aplicar configurações homogêneas de acesso entre locatários a locatários parceiros na organização multilocatário, o administrador de cada locatário pode definir modelos opcionais de configurações de acesso entre locatários dedicadas à organização multilocatário. Este artigo descreve como usar modelos para pré-configurar configurações de acesso entre locatários que são aplicadas a qualquer locatário de parceiro recém-ingressado na organização multilocatário.
Geração automática de configurações de acesso entre locatários
Em uma organização multilocatário, cada par de locatários deve ter configurações de acesso bidirecional entre locatários, para configuração de parceiro e sincronização de identidade. Essas configurações fornecem a estrutura de política subjacente para habilitar a confiança e compartilhar usuários e aplicativos.
Quando o locatário ingressa em uma nova organização multilocatário ou quando um locatário de parceiro ingressa em sua organização multilocatário existente, as configurações de acesso entre locatários a outros locatários parceiros na organização multilocatário ampliada, se ainda não existirem, serão geradas automaticamente em um estado não configurado. Em um estado não configurado, essas configurações de acesso entre locatários passam pelas configurações padrão.
As configurações padrão de acesso entre locatários aplicam-se a todos os locatários externos para os quais você não criou configurações personalizadas específicas da organização. Normalmente, essas configurações são configuradas para não serem não confiáveis. Por exemplo, relações de confiança entre locatários para autenticação multifator e declarações de dispositivos compatíveis podem ser desabilitadas e o compartilhamento de usuários e grupos em conexão direta B2B ou colaboração B2B pode ser proibido.
Em organizações multilocatários, por outro lado, normalmente se espera que as configurações de acesso entre locatários sejam confiáveis. Por exemplo, relações de confiança entre locatários para autenticação multifator e declarações de dispositivos compatíveis podem ser habilitadas e o compartilhamento de usuários e grupos em conexão direta B2B ou colaboração B2B pode ser permitido.
Embora a geração automática de configurações de acesso entre locatários para locatários multilocatários de parceiros de organização em si não altere nenhum comportamento de política de autenticação ou autorização, ela permite que sua organização personalize facilmente as configurações de acesso entre locatários para locatários parceiros na organização multilocatário por locatário.
Modelos de política na formação de organização multilocatário
Conforme descrito anteriormente, em organizações multilocatários, normalmente se espera que as configurações de acesso entre locatários sejam confiáveis. Por exemplo, relações de confiança entre locatários para autenticação multifator e declarações de dispositivos compatíveis podem ser habilitadas e o compartilhamento de usuários e grupos em conexão direta B2B ou colaboração B2B pode ser permitido.
Embora a geração automática de configurações de acesso entre locatários, por seção anterior, garanta a existência de configurações de acesso entre locatários para cada locatário multilocatário de parceiro de organização, a manutenção adicional das configurações de acesso entre locatários para locatários multilocatários de parceiros da organização é realizada individualmente, por locatário.
Para reduzir a carga de trabalho para administradores no momento da formação multilocatário da organização, você pode usar opcionalmente modelos de política para a configuração preemptiva das configurações de acesso entre locatários. Essas configurações de modelo são aplicadas no momento em que seu locatário ingressa em uma organização multilocatário a todos os locatários de parceiros multilocatários externos, bem como no momento em que qualquer locatário de parceiro ingressa sua organização multilocatário existente a esse novo locatário de parceiro.
A Habilitação ou configuração dos modelos de política opcionais, no momento em que um locatário de parceiro ingressa em uma organização multilocatário, altera preventivamente as configurações de acesso entre locatários correspondentes, para configuração de parceiro e sincronização de identidade.
Por exemplo, considere as ações dos administradores para uma organização multilocatário antecipada com três locatários, A, B e C.
- Os administradores de todos os três locatários habilitam e configuram seus respectivos modelos de política opcionais para permitir relações de confiança entre locatários para autenticação multifatorial e declarações de dispositivos compatíveis e para permitir o compartilhamento de usuários e grupos em conexão direta B2B e colaboração B2B.
- O administrador A cria a organização multilocatário e adiciona locatários B e C como locatários pendentes à organização multilocatário.
- O administrador B ingressa na organização multilocatário. As configurações de acesso entre locatários no locatário A para o locatário do parceiro B são alteradas, de acordo com as configurações de modelo de política do locatário A. Vice-versa, as configurações de acesso entre locatários no locatário B para o locatário do parceiro A são alteradas, de acordo com as configurações de modelo de política do locatário B.
- O administrador C ingressa na organização multilocatário. As configurações de acesso entre locatários nos locatários A (e B) para o locatário do parceiro C são alteradas, de acordo com as configurações de modelo de política do locatário A (e B). Da mesma forma, as configurações de acesso entre locatários no locatário C para locatários parceiros A e B são alteradas, de acordo com as configurações de modelo de política C do locatário.
- Após a formação dessa organização multilocatário de três locatários, as configurações de acesso entre locatários de todos os pares de locatários na organização multilocatário foram configuradas preventivamente.
Em resumo, a configuração dos modelos de política opcionais permite que você inicialize de forma homogênea as configurações de acesso entre locatários em sua organização multilocatário, mantendo a flexibilidade máxima para personalizar as configurações de acesso entre locatários conforme necessário em uma base por locatário.
Para parar de usar os modelos de política, você pode redefini-los para o estado padrão. Para obter mais informações, consulte Configurar modelos de organização multilocatários.
Escopo de modelo de política e propriedades adicionais
Para fornecer aos administradores mais configurabilidade, você pode escolher quando as configurações de acesso entre locatários devem ser alteradas de acordo com os modelos de política. Por exemplo, você pode optar por aplicar os modelos de política para os seguintes locatários quando um locatário ingressar em uma organização multilocatário:
| Locatário | Descrição |
|---|---|
| Somente novos locatários de parceiros | Locatários cujas configurações de acesso entre locatários são geradas automaticamente |
| Somente locatários de parceiros existentes | Locatários que já têm configurações de acesso entre locatários |
| Todos os locatários do parceiro | Locatários de parceiros novos e locatários de parceiros existentes |
| Nenhum locatário de parceiro | Os modelos de política são efetivamente desabilitados |
Nesse contexto, novos parceiros referem-se a locatários para os quais você ainda não definiu as configurações de acesso entre locatários, enquanto os parceiros existentes se referem a locatários para os quais você já definiu as configurações de acesso entre locatários. Esse escopo é especificado com a propriedade templateApplicationLevel no modelo de configuração de parceiro de acesso entre locatários e a propriedade templateApplicationLevel no modelo de sincronização de identidade de acesso entre locatários.
Finalmente, em termos de interpretação dos valores de propriedade do modelo, qualquer valor de null não tem efeito sobre o valor da propriedade correspondente nas configurações de acesso entre locatários de destino, enquanto um valor de propriedade de modelo definido faz com que o valor da propriedade correspondente nas configurações de acesso entre locatários sejam alteradas de acordo com o modelo. A tabela a seguir ilustra como os valores de propriedade de modelo estão sendo aplicados aos valores de configuração de acesso entre locatários correspondentes.
| Valor do modelo | Valor inicial das configurações do parceiro (Antes de ingressar na organização multilocatário) |
Valor final das configurações do parceiro (Depois de ingressar na organização multilocatário) |
|---|---|---|
null |
<Valor das Configurações do Parceiro> | <Valor das Configurações do Parceiro> |
| <Valor do modelo> | <qualquer valor> | <Valor do modelo> |
Modelos de política usados pelo Centro de administração do Microsoft 365
Quando uma organização multilocatário é formada no Centro de administração do Microsoft 365, um administrador concorda com as seguintes configurações de modelo de organização multilocatário:
- A sincronização de identidade é definida para permitir que os usuários sincronizem com esse locatário
- O acesso entre locatários é definido para resgatar automaticamente convites de usuário para entrada e saída
Isso é obtido definindo os três valores de propriedade de modelo correspondentes como true:
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
Para obter mais informações, consulte Ingressar ou sair de uma organização multilocatário no Microsoft 365.
Configurações de acesso entre locatários no momento da desmontagem da organização multilocatário
Atualmente, não há nenhum recurso de modelo de política equivalente que dê suporte à desmontagem de uma organização multilocatário. Quando um locatário de parceiro deixa a organização multilocatário, cada administrador de locatários deve examinar novamente e alterar adequadamente as configurações de acesso entre locatários para o locatário do parceiro que deixou a organização multilocatário.
O locatário do parceiro que deixou a organização multilocatário deve reexaminar e alterar adequadamente as configurações de acesso entre locatários para todos os antigos locatários de parceiros multilocatários da organização, bem como considerar a redefinição dos dois modelos de política para configurações de acesso entre locatários.