Výchozí uživatelská oprávnění v externích tenantech
Tenant Microsoft Entra v externí konfiguraci se používá výhradně pro Microsoft Entra Externí ID scénáře. Externí tenant poskytuje jasné oddělení mezi adresářem firemních pracovníků a adresářem aplikací určeným pro zákazníky. Uživatelé vytvořené ve vašem externím tenantovi navíc nemají přístup k informacím o jiných uživatelích v externím tenantovi. Ve výchozím nastavení nemají zákazníci přístup k informacím o jiných uživatelích, skupinách nebo zařízeních.
Externí tenant může obsahovat následující typy uživatelů:
Externí uživatelé jsou spotřebitelé a firemní zákazníci aplikací zaregistrovaných ve vašem externím tenantovi. Mají místní účet, ale ověřují se externě. Externí uživatelé jsou omezeni na výchozí uživatelská oprávnění a nemůžou být přiřazené role. Obvykle se vytvářejí prostřednictvím samoobslužné registrace, ale můžete je vytvořit pomocí možnosti Vytvořit nového externího uživatele v Centru pro správu Microsoft Entra nebo v Microsoft Graphu.
Interní uživatelé jsou uživatelé (obvykle správci), kteří se interně ověřují a přiřadili role Microsoft Entra ve vašem externím tenantovi. Pokud roli nepřiřazujete, mají výchozí uživatelská oprávnění. Interní uživatele můžete vytvořit pomocí možnosti Vytvořit nového uživatele v Centru pro správu nebo v Microsoft Graphu.
Pozvaní uživatelé jsou uživatelé (obvykle správci), kteří se přihlašují pomocí vlastních externích přihlašovacích údajů a přiřadili role Microsoft Entra ve vašem externím tenantovi. Pokud roli nepřiřazujete, mají výchozí uživatelská oprávnění. Uživatele můžete pozvat pomocí možnosti Pozvat externího uživatele v Centru pro správu nebo v Microsoft Graphu.
Výchozí oprávnění
Následující tabulka popisuje výchozí oprávnění přiřazená uživateli v externím tenantovi:
- Uživatelé, kteří používají samoobslužnou registraci
- Uživatelé, kteří jsou vytvářeni správci
- Pozvaní uživatelé
| Plocha | Uživatelská oprávnění zákazníka |
|---|---|
| Uživatelé a kontakty | - Čtení a aktualizace vlastního profilu prostřednictvím prostředí pro správu profilů aplikací - Změna vlastního hesla - Přihlaste se pomocí místního nebo sociálního účtu. |
| Aplikace | – Přístup k aplikacím - Odvolání souhlasu s aplikacemi |
Rozhraní Microsoft Graph API a oprávnění
V následující tabulce jsou uvedené operace rozhraní API, které zákazníkům umožňují spravovat informace o profilu. ID uživatele nebo userPrincipalName je vždy přihlášený uživatel.
| Operace uživatele | Operace rozhraní API | Požadována oprávnění |
|---|---|---|
| Číst profil | GET /me nebo GET /users/{id nebo userPrincipalName} | User.Read |
| Aktualizovat profil | PATCH /me nebo PATCH /users/{id nebo userPrincipalName} Následující vlastnosti jsou aktualizovatelné: město, země, displayName, givenName, jobTitle, POSTALCode, state, streetAddress, příjmení a preferredLanguage |
User.ReadWrite |
| Změnit heslo | POST /me/changePassword | Directory.AccessAsUser.All |