Jaká jsou výchozí uživatelská oprávnění v Microsoft Entra ID?

V Microsoft Entra ID jsou všem uživatelům udělena sada výchozích oprávnění. Přístup uživatele se skládá z typu uživatele, jejich přiřazení rolí a jejich vlastnictví jednotlivých objektů.

Tento článek popisuje výchozí oprávnění a porovnává výchozí nastavení člena a uživatele typu host. Výchozí uživatelská oprávnění lze změnit pouze v uživatelských nastaveních v MICROSOFT Entra ID.

Členové a uživatelé typu host

Sada výchozích oprávnění závisí na tom, jestli je uživatel nativním členem tenanta (člena) nebo jestli je uživatel převezen z jiného adresáře jako host pro spolupráci b2B (business-to-business). Další informace o přidávání uživatelů typu host naleznete v tématu Co je spolupráce Microsoft Entra B2B?. Tady jsou možnosti výchozích oprávnění:

• Členové můžou registrovat aplikace, spravovat vlastní profilové fotky a číslo mobilního telefonu, měnit vlastní heslo a pozvat hosty B2B. Tito uživatelé můžou také číst všechny informace o adresáři (s několika výjimkami).

• Uživatelé typu host mají omezená oprávnění k adresáři. Můžou spravovat svůj vlastní profil, měnit vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.

  Například uživatelé typu host nemůžou vytvořit výčet všech uživatelů, skupin a dalších objektů adresáře. Hosty je možné přidat do rolí správce, které jim udělují úplná oprávnění ke čtení a zápisu. Hosté mohou také pozvat další hosty.

Porovnání výchozích oprávnění pro členy a hosty

Plocha	Uživatelská oprávnění člena	Výchozí uživatelská oprávnění typu host	Omezená oprávnění uživatele typu host
Uživatelé a kontakty	Zobrazení výčtu seznamu všech uživatelů a kontaktů Čtení všech veřejných vlastností uživatelů a kontaktů Zvaní hostů Změna vlastního hesla Správa vlastního mobilního telefonního čísla Správa vlastní fotky Zneplatnění vlastních obnovovacích tokenů	Čtení vlastních vlastností Čtení vlastností zobrazovaného jména, e-mailu, přihlašovacího jména, fotky, hlavního názvu uživatele (UPN) a typu uživatele ostatních uživatelů a kontaktů Změna vlastního hesla Vyhledání jiného uživatele podle ID objektu (pokud je povoleno) Čtení informací o nadřízenýchach	Čtení vlastních vlastností Změna vlastního hesla Správa vlastního mobilního telefonního čísla
Skupiny	Vytváření skupin zabezpečení Vytváření skupin Microsoft 365 Zobrazení výčtu seznamu všech skupin Čtení všech vlastností skupin Čtení neskrytých členství ve skupinách Čtení skrytých členství ve skupinách Microsoftu 365 pro připojené skupiny Správa vlastností, vlastnictví a členství ve skupinách, které uživatel vlastní Přidávání hostů do vlastněných skupin Správa nastavení dynamického členství Odstranění vlastněných skupin Obnovení vlastněných skupin Microsoftu 365	Čtení vlastností neskrytých skupin, včetně členství a vlastnictví (dokonce i nepřiřazovacích skupin) Čtení skrytých členství ve skupinách Microsoftu 365 pro připojené skupiny Hledání skupin podle zobrazovaného názvu nebo ID objektu (pokud je povoleno)	Id objektu pro připojené skupiny Čtení členství a vlastnictví připojených skupin v některých aplikacích Microsoftu 365 (pokud je povoleno)
Aplikace	Registrace (vytvoření) nových aplikací Zobrazení výčtu seznamu všech aplikací Čtení vlastností zaregistrovaných a podnikových aplikací Správa vlastností aplikací, jejich přiřazení a přihlašovacích údajů u vlastněných aplikací Vytváření nebo odstraňování hesel aplikací pro uživatele Odstranění vlastněných aplikací Obnovení vlastněných aplikací Výpis oprávnění udělených aplikacím	Čtení vlastností zaregistrovaných a podnikových aplikací Výpis oprávnění udělených aplikacím	Čtení vlastností zaregistrovaných a podnikových aplikací Výpis oprávnění udělených aplikacím
Zařízení	Zobrazení výčtu seznamu všech zařízení Čtení všech vlastností zařízení Správa všech vlastností vlastněných zařízení	Žádná oprávnění	Žádná oprávnění
Organizace	Čtení všech informací o společnosti Čtení všech domén Čtení konfigurace ověřování založeného na certifikátech Čtení všech partnerských kontraktů Čtení základních podrobností o organizaci s více tenanty a aktivních tenantů	Čtení zobrazovaného názvu společnosti Čtení všech domén Čtení konfigurace ověřování založeného na certifikátech	Čtení zobrazovaného názvu společnosti Čtení všech domén
Role a obory	Čtení všech rolí pro správu a členství v nich Čtení všech vlastností a členství jednotek pro správu	Žádná oprávnění	Žádná oprávnění
Předplatná	Čtení všech předplatných licencování Povolení členství v plánu služeb	Žádná oprávnění	Žádná oprávnění
Zásady	Čtení všech vlastností zásad Správa všech vlastností vlastněných zásad	Žádná oprávnění	Žádná oprávnění

Omezení výchozích oprávnění uživatelů členů

K výchozím oprávněním uživatelů je možné přidat omezení.

Výchozí oprávnění členů je možné omezit následujícími způsoby:

Upozornění

Použití přepínače Omezit přístup k portálu pro správu Microsoft Entra není bezpečnostní opatření. Další informace o funkcích najdete v následující tabulce.

Oprávnění	Vysvětlení nastavení
Registrace aplikací	Nastavením této možnosti na Ne zabráníte uživatelům vytvářet registrace aplikací. Potom můžete udělit možnost zpět konkrétním jednotlivcům tak, že je přidáte do role vývojáře aplikace.
Povolit uživatelům připojení pracovního nebo školního účtu s LinkedInem	Nastavením této možnosti na Ne zabráníte uživatelům v připojení pracovního nebo školního účtu ke svému účtu LinkedIn. Další informace najdete v tématu Sdílení dat a souhlas připojení účtu LinkedIn.
Vytvoření skupin zabezpečení	Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny zabezpečení. Globální Správa istrátory a uživatelské Správa istrátory mohou stále vytvářet skupiny zabezpečení. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Vytvoření skupin Microsoftu 365	Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny Microsoftu 365. Když tuto možnost nastavíte na Některé , umožníte skupině uživatelů vytvářet skupiny Microsoftu 365. Globální Správa istrátory a uživatelské Správa istrátory můžou stále vytvářet skupiny Microsoftu 365. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Omezení přístupu k portálu pro správu Microsoft Entra	Co tento přepínač dělá? Nespustí žádné správce na portálu pro správu Microsoft Entra. Ano Omezuje nesprávce na procházení portálu pro správu Microsoft Entra. Nespravovaní správci, kteří jsou vlastníky skupin nebo aplikací, nemůžou pomocí webu Azure Portal spravovat vlastní prostředky. Co to nedělá? Neomezuje přístup k datům Microsoft Entra pomocí PowerShellu, Microsoft GraphAPI nebo jiných klientů, jako je Visual Studio. Neomezuje přístup, pokud má uživatel přiřazenou vlastní roli (nebo jakoukoli roli). Kdy mám použít tento přepínač? Tuto možnost použijte, pokud chcete uživatelům zabránit v nesprávné konfiguraci prostředků, které vlastní. Kdy použít tento přepínač? Tento přepínač nepoužívejte jako bezpečnostní opatření. Místo toho vytvořte zásadu podmíněného přístupu, která cílí na rozhraní API pro správu služeb Windows Azure, která blokuje přístup jiných správců k rozhraní API pro správu služeb Windows Azure. Návody udělit pouze konkrétním uživatelům, kteří nejsou správci, možnost používat portál pro správu Microsoft Entra? Nastavte tuto možnost na Ano a pak jim přiřaďte roli, jako je globální čtenář. Omezení přístupu k portálu pro správu Microsoft Entra Zásady podmíněného přístupu, které cílí na rozhraní API pro správu služeb Windows Azure, cílí na přístup ke všem službám Azure Management.
Omezení uživatelů, kteří nejsou správci, aby vytvářeli tenanty	Uživatelé můžou vytvářet tenanty na portálu pro správu Microsoft Entra a Na portálu pro správu Microsoft Entra v části Spravovat tenanta. Vytvoření tenanta se zaznamená do protokolu auditu jako kategorie DirectoryManagement a aktivita Create Company. Každý, kdo vytvoří tenanta, se stane globálním Správa istratorem tohoto tenanta. Nově vytvořený tenant nedědí žádná nastavení ani konfigurace. Co tento přepínač dělá? Nastavení této možnosti na Ano omezuje vytváření tenantů Microsoft Entra na globální Správa istrator nebo role tvůrce tenanta. Nastavení této možnosti na Ne umožňuje uživatelům, kteří nejsou správci, vytvářet tenanty Microsoft Entra. Vytvoření tenanta se bude dál zaznamenávat v protokolu auditu. Návody udělit pouze konkrétním uživatelům bez oprávnění správce možnost vytvářet nové tenanty? Nastavte tuto možnost na Ano a pak jim přiřaďte roli tvůrce tenanta.
Omezení obnovení klíčů BitLockeru pro vlastní zařízení	Toto nastavení najdete v Centru pro správu Microsoft Entra v Nastavení zařízení. Nastavením této možnosti na Ano omezíte uživatelům možnost samoobslužného obnovení klíčů BitLockeru pro vlastní zařízení. Uživatelé budou muset kontaktovat helpdesk své organizace, aby získali klíče BitLockeru. Nastavením této možnosti na Ne umožníte uživatelům obnovit klíče BitLockeru.
Čtení ostatních uživatelů	Toto nastavení je dostupné jenom v Microsoft Graphu a PowerShellu. Nastavením tohoto příznaku $false zabráníte všem uživatelům, kteří nejsou správci, číst informace o uživatelích z adresáře. Tento příznak nezabrání čtení informací o uživatelích v jiných služby Microsoft, jako je Exchange Online. Toto nastavení je určené pro zvláštní okolnosti, proto nedoporučujeme nastavit příznak na $false.

Možnost Omezit uživatele bez oprávnění správce při vytváření tenantů je zobrazená níže.

Omezení výchozích oprávnění uživatelů typu host

Výchozí oprávnění pro uživatele typu host můžete omezit následujícími způsoby.

Poznámka:

Nastavení omezení přístupu uživatele typu host nahradilo nastavení Oprávnění uživatelů typu host je omezené . Pokyny k používání této funkce najdete v tématu Omezení oprávnění pro přístup hostů v Microsoft Entra ID.

Oprávnění	Vysvětlení nastavení
Omezení přístupu uživatelů typu host	Nastavení této možnosti pro uživatele typu host má stejný přístup jako členové uděluje všem uživatelům uživatelů typu host ve výchozím nastavení oprávnění uživatele typu host. Nastavení této možnosti přístupu uživatelů typu host je omezeno na vlastnosti a členství vlastních objektů adresáře omezuje přístup hostů pouze na vlastní profil uživatele ve výchozím nastavení. Přístup k jiným uživatelům už není povolený, i když hledají podle hlavního názvu uživatele, ID objektu nebo zobrazovaného názvu. Přístup k informacím o skupinách, včetně členství ve skupinách, už také není povolený. Toto nastavení nebrání přístupu k připojeným skupinám v některých službách Microsoftu 365, jako je Microsoft Teams. Další informace najdete v tématu Přístup hosta v Microsoft Teams. Uživatelé typu host se stále dají přidávat do rolí správce bez ohledu na toto nastavení oprávnění.
Hosté mohou pozvat	Nastavení této možnosti na Ano umožňuje hostům pozvat další hosty. Další informace najdete v tématu Konfigurace nastavení externí spolupráce.

Vlastnictví objektů

Oprávnění vlastníka registrace aplikace

Když uživatel zaregistruje aplikaci, automaticky se přidá jako vlastník aplikace. Jako vlastník může spravovat metadata aplikace, například název a oprávnění, která aplikace požaduje. Můžou také spravovat konfiguraci aplikace specifickou pro tenanta, například konfiguraci jednotného přihlašování (SSO) a přiřazení uživatelů.

Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od globálních Správa istrátorů můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka podnikové aplikace

Když uživatel přidá novou podnikovou aplikaci, automaticky se přidá jako vlastník. Jako vlastník může spravovat konfiguraci aplikace specifickou pro tenanta, jako je konfigurace jednotného přihlašování, zřizování a přiřazení uživatelů.

Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od globálních Správa istrátorů můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka skupiny

Když uživatel vytvoří skupinu, automaticky se přidá jako vlastník této skupiny. Jako vlastník může spravovat vlastnosti skupiny (například název) a spravovat členství ve skupině.

Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od globálních Správa istrátorů a uživatelských Správa istrátorů mohou vlastníci spravovat pouze skupiny, které vlastní.

Pokud chcete přiřadit vlastníka skupiny, přečtěte si téma Správa vlastníků skupiny.

Oprávnění k vlastnictví

Následující tabulky popisují konkrétní oprávnění v Microsoft Entra ID, která členové uživatelé mají nad objekty. Uživatelé mají tato oprávnění pouze pro objekty, které vlastní.

Registrace vlastněných aplikací

Uživatelé můžou při registraci vlastněných aplikací provádět následující akce:

Akce	Popis
microsoft.directory/applications/audience/update	Aktualizujte applications.audience vlastnost v Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Aktualizujte applications.authentication vlastnost v Microsoft Entra ID.
microsoft.directory/applications/basic/update	Aktualizujte základní vlastnosti aplikací v Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Aktualizujte applications.credentials vlastnost v Microsoft Entra ID.
microsoft.directory/applications/delete	Odstraňte aplikace v Microsoft Entra ID.
microsoft.directory/applications/owners/update	Aktualizujte applications.owners vlastnost v Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Aktualizujte applications.permissions vlastnost v Microsoft Entra ID.
microsoft.directory/applications/policies/update	Aktualizujte applications.policies vlastnost v Microsoft Entra ID.
microsoft.directory/applications/restore	Obnovte aplikace v Microsoft Entra ID.

Vlastněné podnikové aplikace

Uživatelé můžou s podnikovými aplikacemi ve vlastnictví provádět následující akce. Podniková aplikace se skládá z instančního objektu, jedné nebo více zásad aplikace a někdy objektu aplikace ve stejném tenantovi jako instanční objekt.

Akce	Popis
microsoft.directory/auditLogs/allProperties/read	Přečtěte si všechny vlastnosti (včetně privilegovaných vlastností) v protokolech auditu v ID Microsoft Entra.
microsoft.directory/policies/basic/update	Aktualizujte základní vlastnosti zásad v Microsoft Entra ID.
microsoft.directory/policies/delete	Odstraňte zásady v Microsoft Entra ID.
microsoft.directory/policies/owners/update	Aktualizujte policies.owners vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aktualizujte servicePrincipals.appRoleAssignedTo vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Aktualizujte users.appRoleAssignments vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Aktualizujte servicePrincipals.audience vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Aktualizujte servicePrincipals.authentication vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Aktualizujte základní vlastnosti instančních objektů v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Aktualizujte servicePrincipals.credentials vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Odstraňte instanční objekty v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/owners/update	Aktualizujte servicePrincipals.owners vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Aktualizujte servicePrincipals.permissions vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Aktualizujte servicePrincipals.policies vlastnost v Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Čtení všech vlastností (včetně privilegovaných vlastností) v sestavách přihlašování v Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read	Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu

Vlastněná zařízení

Uživatelé můžou na vlastněných zařízeních provádět následující akce:

Akce	Popis
microsoft.directory/devices/bitLockerRecoveryKeys/read	Přečtěte si devices.bitLockerRecoveryKeys vlastnost v Microsoft Entra ID.
microsoft.directory/devices/disable	Zakažte zařízení v Microsoft Entra ID.

Vlastněné skupiny

Uživatelé můžou ve vlastněných skupinách provádět následující akce.

Poznámka:

Vlastníci dynamických skupin musí mít roli Globální Správa istrator, Skupina Správa istrator, Intune Správa istrator nebo Role uživatele Správa istrator pro úpravy pravidel členství ve skupinách. Další informace naleznete v tématu Vytvoření nebo aktualizace dynamické skupiny v Microsoft Entra ID.

Akce	Popis
microsoft.directory/groups/appRoleAssignments/update	Aktualizujte groups.appRoleAssignments vlastnost v Microsoft Entra ID.
microsoft.directory/groups/basic/update	Aktualizujte základní vlastnosti pro skupiny v Microsoft Entra ID.
microsoft.directory/groups/delete	Odstraňte skupiny v Microsoft Entra ID.
microsoft.directory/groups/members/update	Aktualizujte groups.members vlastnost v Microsoft Entra ID.
microsoft.directory/groups/owners/update	Aktualizujte groups.owners vlastnost v Microsoft Entra ID.
microsoft.directory/groups/restore	Obnovte skupiny v Microsoft Entra ID.
microsoft.directory/groups/settings/update	Aktualizujte groups.settings vlastnost v Microsoft Entra ID.

Další kroky

• Další informace o nastavení omezení přístupu uživatele typu host naleznete v tématu Omezení oprávnění přístupu hosta v Microsoft Entra ID.
• Další informace o přiřazování rolí správce Microsoft Entra najdete v tématu Přiřazení uživatele k rolím správce v Microsoft Entra ID.
• Další informace o řízení přístupu k prostředkům v Microsoft Azure najdete v tématu Principy přístupu k prostředkům v Azure.
• Další informace o tom, jak id Microsoft Entra souvisí s vaším předplatným Azure, najdete v tématu Jak jsou předplatná Azure přidružená k Microsoft Entra ID.
• Správa uživatelů