Sdílet prostřednictvím


Výchozí uživatelská oprávnění v externích tenantech

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Tenant Microsoft Entra v externí konfiguraci se používá výhradně pro Microsoft Entra Externí ID scénáře. Externí tenant poskytuje jasné oddělení mezi adresářem firemních pracovníků a adresářem aplikací určeným pro zákazníky. Uživatelé vytvořené ve vašem externím tenantovi navíc nemají přístup k informacím o jiných uživatelích v externím tenantovi. Ve výchozím nastavení nemají zákazníci přístup k informacím o jiných uživatelích, skupinách nebo zařízeních.

Externí tenant může obsahovat následující typy uživatelů:

  • Externí uživatelé jsou spotřebitelé a firemní zákazníci aplikací zaregistrovaných ve vašem externím tenantovi. Mají místní účet, ale ověřují se externě. Externí uživatelé jsou omezeni na výchozí uživatelská oprávnění a nemůžou být přiřazené role. Obvykle se vytvářejí prostřednictvím samoobslužné registrace, ale můžete je vytvořit pomocí možnosti Vytvořit nového externího uživatele v Centru pro správu Microsoft Entra nebo v Microsoft Graphu.

  • Interní uživatelé jsou uživatelé (obvykle správci), kteří se interně ověřují a přiřadili role Microsoft Entra ve vašem externím tenantovi. Pokud roli nepřiřazujete, mají výchozí uživatelská oprávnění. Interní uživatele můžete vytvořit pomocí možnosti Vytvořit nového uživatele v Centru pro správu nebo v Microsoft Graphu.

  • Pozvaní uživatelé jsou uživatelé (obvykle správci), kteří se přihlašují pomocí vlastních externích přihlašovacích údajů a přiřadili role Microsoft Entra ve vašem externím tenantovi. Pokud roli nepřiřazujete, mají výchozí uživatelská oprávnění. Uživatele můžete pozvat pomocí možnosti Pozvat externího uživatele v Centru pro správu nebo v Microsoft Graphu.

Výchozí oprávnění

Následující tabulka popisuje výchozí oprávnění přiřazená uživateli v externím tenantovi, mezi které patří:

  • Uživatelé, kteří používají samoobslužnou registraci
  • Uživatelé, kteří jsou vytvářeni správci
  • Pozvaní uživatelé
Plocha Uživatelská oprávnění zákazníka
Uživatelé a kontakty - Čtení a aktualizace vlastního profilu prostřednictvím prostředí pro správu profilů aplikací
- Změna vlastního hesla
- Přihlaste se pomocí místního nebo sociálního účtu.
Aplikace – Přístup k aplikacím
- Odvolání souhlasu s aplikacemi

Rozhraní Microsoft Graph API a oprávnění

V následující tabulce jsou uvedené operace rozhraní API, které zákazníkům umožňují spravovat informace o profilu. ID uživatele nebo userPrincipalName je vždy přihlášený uživatel.

Operace uživatele Operace rozhraní API Požadována oprávnění
Číst profil GET /me nebo GET /users/{id nebo userPrincipalName} User.Read
Aktualizovat profil PATCH /me nebo PATCH /users/{id nebo userPrincipalName}

Následující vlastnosti jsou aktualizovatelné: město, země, displayName, givenName, jobTitle, POSTALCode, state, streetAddress, příjmení a preferredLanguage
User.ReadWrite
Změnit heslo POST /me/changePassword Directory.AccessAsUser.All