Sdílet prostřednictvím

Jaká jsou výchozí uživatelská oprávnění v Microsoft Entra ID?

V Microsoft Entra ID jsou všem uživatelům udělena sada výchozích oprávnění. Přístup uživatele se skládá z typu uživatele, jejich přiřazení rolí a jejich vlastnictví jednotlivých objektů.

Tento článek popisuje výchozí oprávnění a porovnává výchozí nastavení člena a uživatele typu host. Výchozí uživatelská oprávnění lze změnit pouze v uživatelských nastaveních v MICROSOFT Entra ID.

Členové a uživatelé typu host

Sada výchozích oprávnění závisí na tom, jestli je uživatel nativním členem tenanta (člena uživatele) nebo je přenesen z jiného adresáře, například hosta spolupráce B2B (business-to-business). Další informace o přidávání uživatelů typu host naleznete v tématu Co je spolupráce Microsoft Entra B2B?. Tady jsou možnosti výchozích oprávnění:

  • Členové můžou registrovat aplikace, spravovat vlastní profilové fotky a číslo mobilního telefonu, měnit vlastní heslo a pozvat hosty B2B. Tito uživatelé můžou také číst všechny informace o adresáři (s několika výjimkami).

  • Uživatelé typu host mají omezená oprávnění k adresáři. Můžou spravovat svůj vlastní profil, měnit vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.

    Například uživatelé typu host nemůžou vytvořit výčet všech uživatelů, skupin a dalších objektů adresáře. Hosty je možné přidat do rolí správce, které jim udělují úplná oprávnění ke čtení a zápisu. Hosté mohou také pozvat další hosty.

Porovnání výchozích oprávnění pro členy a hosty

Area Uživatelská oprávnění člena Výchozí uživatelská oprávnění typu host Omezená oprávnění hostujícího uživatele
Uživatelé a kontakty
  • Zobrazení výčtu seznamu všech uživatelů a kontaktů
  • Čtení všech veřejných vlastností uživatelů a kontaktů
  • Pozvat hosty
  • Změna vlastního hesla
  • Správa vlastního mobilního telefonního čísla
  • Správa vlastní fotky
  • Zneplatnění vlastních obnovovacích tokenů
  • Čtení vlastních vlastností
  • Čtení vlastností zobrazovaného jména, e-mailu, přihlašovacího jména, fotky, hlavního názvu uživatele (UPN) a typu uživatele ostatních uživatelů a kontaktů
  • Změna vlastního hesla
  • Vyhledání jiného uživatele podle ID objektu (pokud je povoleno)
  • Čtení informací o nadřízenýchach
  • Čtení vlastních vlastností
  • Změna vlastního hesla
  • Správa vlastního mobilního telefonního čísla
Groups
  • Vytváření skupin zabezpečení
  • Vytváření skupin Microsoft 365
  • Zobrazení výčtu seznamu všech skupin
  • Čtení všech vlastností skupin
  • Čtení členství ve skupině bez skrytí
  • Čtení skrytého členství ve skupině Microsoft 365 pro připojené skupiny
  • Správa vlastností, vlastnictví a členství ve skupinách, které uživatel vlastní
  • Přidávání hostů do vlastněných skupin
  • Správa nastavení členství ve skupinách
  • Odstranění vlastněných skupin
  • Obnovení vlastněných skupin Microsoftu 365
  • Čtení vlastností neskrytých skupin, včetně členství a vlastnictví (dokonce i neschválené skupiny)
  • Čtení skrytého členství ve skupině Microsoft 365 pro připojené skupiny
  • Hledání skupin podle zobrazovaného názvu nebo ID objektu (pokud je povoleno)
  • Id objektu pro připojené skupiny
  • Čtení členství a vlastnictví připojených skupin v některých aplikacích Microsoftu 365 (pokud je povoleno)
Applications
  • Registrace (vytvoření) nových aplikací
  • Zobrazení výčtu seznamu všech aplikací
  • Čtení vlastností zaregistrovaných a podnikových aplikací
  • Správa vlastností aplikací, jejich přiřazení a přihlašovacích údajů u vlastněných aplikací
  • Vytváření nebo odstraňování hesel aplikací pro uživatele
  • Odstranění vlastněných aplikací
  • Obnovení vlastněných aplikací
  • Výpis oprávnění udělených aplikacím
  • Čtení vlastností zaregistrovaných a podnikových aplikací
  • Výpis oprávnění udělených aplikacím
  • Čtení vlastností zaregistrovaných a podnikových aplikací
  • Výpis oprávnění udělených aplikacím
Devices
  • Zobrazení výčtu seznamu všech zařízení
  • Čtení všech vlastností zařízení
  • Správa všech vlastností vlastněných zařízení
 Žádná oprávnění Žádná oprávnění
Organization
  • Čtení všech informací o společnosti
  • Čtení všech domén
  • Čtení konfigurace ověřování založeného na certifikátech
  • Čtení všech partnerských kontraktů
  • Čtení základních podrobností o víceklientských organizacích a aktivních tenantů
  • Čtení zobrazovaného názvu společnosti
  • Čtení všech domén
  • Čtení konfigurace ověřování založeného na certifikátech
  • Čtení zobrazovaného názvu společnosti
  • Čtení všech domén
Role a obory
  • Čtení všech rolí pro správu a členství v nich
  • Čtení všech vlastností a členství jednotek pro správu
 Žádná oprávnění Žádná oprávnění
Subscriptions
  • Čtení všech předplatných licencování
  • Povolení členství v plánu služeb
 Žádná oprávnění Žádná oprávnění
Policies
  • Čtení všech vlastností zásad
  • Správa všech vlastností vlastněných zásad
 Žádná oprávnění Žádná oprávnění
Podmínky použití Přečtěte si podmínky použití, které uživatel přijal. Přečtěte si podmínky použití, které uživatel přijal. Přečtěte si podmínky použití, které uživatel přijal.

Omezení výchozích oprávnění uživatelů členů

K výchozím oprávněním uživatelů je možné přidat omezení.

Výchozí oprávnění členů je možné omezit následujícími způsoby:

Caution

Nastavení omezení přístupu k portálu pro správu Microsoft Entra omezuje přístup k sadě běžně navštívených stránek Centra pro správu. Nejedná se o bezpečnostní opatření. Další informace o nastavení najdete v následující tabulce.

Permission Vysvětlení nastavení
Registrace aplikací Nastavením této možnosti na Ne zabráníte uživatelům vytvářet registrace aplikací. Potom můžete udělit možnost zpět konkrétním jednotlivcům tak, že je přidáte do role vývojáře aplikace.
Povolit uživatelům připojení pracovního nebo školního účtu s LinkedInem Nastavením této možnosti na Ne zabráníte uživatelům v připojení pracovního nebo školního účtu ke svému účtu LinkedIn. Další informace najdete v tématu Sdílení dat a souhlas připojení účtu LinkedIn.
Vytvoření skupin zabezpečení Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny zabezpečení. Tito uživatelé, kteří mají přiřazenou alespoň roli Správci uživatelů, mohou stále vytvářet skupiny zabezpečení. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Vytvoření skupin Microsoftu 365 Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny Microsoftu 365. Když tuto možnost nastavíte na Některé , umožníte skupině uživatelů vytvářet skupiny Microsoftu 365. Skupiny Microsoftu 365 můžou vytvářet všichni, kdo mají přiřazenou alespoň roli Správce uživatelů . Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Omezení přístupu k portálu pro správu Microsoft Entra Co tento přepínač dělá?
Nastavení této možnosti na Ne umožňuje, aby se uživatelé, kteří nejsou správci, přihlásili do Centra pro správu Microsoft Entra.
Nastavení této možnosti na Ano přidá vrstvu tření do neformálního procházení. Toto nastavení omezuje uživatele, kteří nejsou správci, od načítání sady často navštěvovaných stránek v Centru pro správu Microsoft Entra a v Azure portálu, včetně domovské stránky, přehledu tenanta a seznamu uživatelů. Nesprávci, kteří vlastní skupiny, nebudou moct ke správě těchto prostředků používat Centrum pro správu Microsoft Entra nebo Azure Portal. Většina stránek v Centru pro správu zůstává dostupná, pokud má uživatel přímý (přímý) odkaz.

Co to nedělá?
Neblokuje programový přístup k datům Microsoft Entra prostřednictvím PowerShellu, rozhraní Microsoft Graph API ani jiných nástrojů, jako je Visual Studio.
Nevztahuje se na uživatele s rolí správce, včetně vlastních rolí.
Nezabrání veškerému přístupu k Centrum pro správu. Mnoho oblastí je stále dostupné prostřednictvím alternativních cest.

Kdy mám použít tento přepínač?
Toto nastavení použijte, pokud chcete přidat vrstvu tření, která nedoporučuje uživatelům bez oprávnění správce příležitostně otevírat Centrum pro správu Microsoft Entra. Může pomoci snížit nepodstatné zkoumání, ale nezabrání uživatelům v přístupu k prostředkům nebo v jejich správě jinými způsoby.

Kdy nepoužít tento přepínač?
Nespoléhejte na toto nastavení jako na bezpečnostní prvek. Pokud chcete silnější vynucování, použijte zásady podmíněného přístupu, které cílí na rozhraní API pro Windows Azure Service Management, a zablokujte přístup uživatelů bez administrátorských práv ke koncovým bodům správy Azure.

Jak můžu uživatelům, kteří nejsou správci, udělit možnost používat portál pro správu Microsoft Entra pouze konkrétním uživatelům, kteří nejsou správci?
Nastavte přepínač na Ano a pak těmto uživatelům přiřaďte roli, jako je globální čtenář nebo jiná role, která uděluje příslušná oprávnění.

Chcete omezit přístup efektivněji?
K cílení na rozhraní API pro správu služeb Windows Azure použijte podmíněný přístup. To poskytuje širší kontrolu nad přístupem ke všem prostředím pro správu založeným na Azure, včetně Centra pro správu Microsoft Entra.
Omezte uživatele, kteří nejsou správci, ve vytváření tenantů Uživatelé můžou vytvářet tenanty na portálu pro správu Microsoft Entra a Na portálu pro správu Microsoft Entra v části Spravovat tenanta. Vytvoření tenanta se zaznamená do protokolu auditu jako kategorie DirectoryManagement a aktivita Create Company. Ve výchozím nastavení se uživateli, který vytvoří tenanta Microsoft Entra, automaticky přiřadí role globálního správce. Nově vytvořený tenant nedědí žádná nastavení ani konfigurace.

Co tento přepínač dělá?
Nastavením této možnosti na Ano omezíte vytváření tenantů Microsoft Entra na každého, kdo má přiřazenou alespoň roli Tvůrce tenanta . Nastavením této možnosti na Ne umožníte uživatelům, kteří nejsou správci, vytvářet tenanty Microsoft Entra. Vytváření tenanta se bude dál zaznamenávat v protokolu auditu.

Jak můžu uživatelům, kteří nejsou správci, udělit možnost vytvářet nové tenanty pouze konkrétním uživatelům bez oprávnění správce?
Nastavte tuto možnost na Ano, a poté jim přiřaďte roli Tvůrce tenanta.
Omezení obnovení klíčů BitLockeru pro vlastní zařízení Toto nastavení najdete v Centru pro správu Microsoft Entra v nastavení zařízení. Nastavením této možnosti na Ano omezíte uživatelům možnost samoobslužného obnovení klíčů BitLockeru pro vlastní zařízení. Uživatelé musí kontaktovat helpdesk své organizace, aby získali klíče BitLockeru. Nastavením této možnosti na Ne umožníte uživatelům obnovit klíče Nástroje BitLocker.
Přečíst si ostatní uživatele Toto nastavení je dostupné jenom v Microsoft Graphu a PowerShellu. Nastavením tohoto příznaku zabráníte $false všem uživatelům, kteří nejsou správcem, číst informace o uživatelích z adresáře. Tento příznak může zabránit čtení informací o uživatelích v jiných služby Microsoft, jako je Microsoft Teams.

Toto nastavení je určené pro zvláštní okolnosti, proto nedoporučujeme nastavit příznak na $false.

Možnost Omezení uživatelů bez oprávnění správce ve vytváření tenantů je zobrazena na následujícím snímku obrazovky.

Snímek obrazovky znázorňující možnost Omezit uživatele bez oprávnění správce vytvářet tenanty

Omezení výchozích oprávnění uživatelů typu host

Výchozí oprávnění pro uživatele typu host můžete omezit následujícími způsoby.

Note

Nastavení omezení přístupu uživatele typu host nahradilo nastavení Oprávnění uživatelů typu host je omezené . Pokyny k používání této funkce najdete v tématu Omezení oprávnění pro přístup hostů v Microsoft Entra ID.

Permission Vysvětlení nastavení
Omezení přístupu uživatelů typu host Nastavení této možnosti pro uživatele typu host má stejný přístup jako členové uděluje všem uživatelům uživatelů typu host ve výchozím nastavení oprávnění uživatele typu host.

Nastavení této možnosti Přístup uživatelů typu host je omezen na vlastnosti a členství jejich vlastních objektů adresáře omezuje výchozí přístup hostů pouze na jejich vlastní uživatelský profil. Přístup k jiným uživatelům už není povolený, i když hledají podle hlavního názvu uživatele, ID objektu nebo zobrazovaného názvu. Přístup k informacím o skupinách, včetně členství ve skupinách, už také není povolený.

Toto nastavení nebrání přístupu k připojeným skupinám v některých službách Microsoftu 365, jako je Microsoft Teams. Další informace najdete v tématu Přístup hosta v Microsoft Teams.

Uživatelé typu host se stále dají přidávat do rolí správce bez ohledu na toto nastavení oprávnění.
Hosté mohou pozvat Nastavení této možnosti na Ano umožňuje hostům pozvat další hosty. Další informace najdete v tématu Konfigurace nastavení externí spolupráce.

Vlastnictví objektů

Oprávnění vlastníka registrace aplikace

Když uživatel zaregistruje aplikaci, automaticky se přidá jako vlastník aplikace. Jako vlastník může spravovat metadata aplikace, například název a oprávnění, která aplikace požaduje. Můžou také spravovat konfiguraci aplikace specifickou pro tenanta, například konfiguraci jednotného přihlašování (SSO) a přiřazení uživatelů.

Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka podnikové aplikace

Když uživatel přidá novou podnikovou aplikaci, automaticky se přidá jako vlastník. Jako vlastník může spravovat konfiguraci aplikace specifickou pro tenanta, jako je konfigurace jednotného přihlašování, zřizování a přiřazení uživatelů.

Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka skupiny

Když uživatel vytvoří skupinu, automaticky se přidá jako vlastník této skupiny. Jako vlastník může spravovat vlastnosti skupiny (například název) a spravovat členství ve skupině.

Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od uživatelů přiřazených alespoň roli Správce skupin můžou vlastníci spravovat jenom skupiny, které vlastní, a můžou přidávat nebo odebírat členy skupiny jenom v případě, že je přiřazen typ členství skupiny.

Pokud chcete přiřadit vlastníka skupiny, přečtěte si téma Správa vlastníků skupiny.

Pokud chcete použít Privileged Access Management (PIM) k tomu, aby skupina byla způsobilá pro přiřazení role, přečtěte si téma Použití skupin Microsoft Entra ke správě přiřazení rolí.

Oprávnění k vlastnictví

Následující tabulky popisují konkrétní oprávnění v MICROSOFT Entra ID, která členové uživatelé mají nad objekty, které vlastní. Uživatelé mají tato oprávnění pouze pro objekty, které vlastní.

Registrace vlastněných aplikací

Uživatelé můžou při registraci vlastněných aplikací provádět následující akce:

Action Description
microsoft.directory/applications/audience/update Aktualizujte applications.audience vlastnost v Microsoft Entra ID.
microsoft.directory/applications/authentication/update Aktualizujte applications.authentication vlastnost v Microsoft Entra ID.
microsoft.directory/applications/basic/update Aktualizujte základní vlastnosti aplikací v Microsoft Entra ID.
microsoft.directory/applications/credentials/update Aktualizujte applications.credentials vlastnost v Microsoft Entra ID.
microsoft.directory/applications/delete Odstraňte aplikace v Microsoft Entra ID.
microsoft.directory/applications/owners/update Aktualizujte applications.owners vlastnost v Microsoft Entra ID.
microsoft.directory/applications/permissions/update Aktualizujte applications.permissions vlastnost v Microsoft Entra ID.
microsoft.directory/applications/policies/update Aktualizujte applications.policies vlastnost v Microsoft Entra ID.
microsoft.directory/applications/restore Obnovte aplikace v Microsoft Entra ID.

Vlastněné podnikové aplikace

Uživatelé můžou s podnikovými aplikacemi ve vlastnictví provádět následující akce. Podniková aplikace se skládá z instančního objektu, jedné nebo více zásad aplikace a někdy objektu aplikace ve stejném tenantovi jako instanční objekt.

Action Description
microsoft.directory/auditLogs/allProperties/read Přečtěte si všechny vlastnosti (včetně privilegovaných vlastností) v protokolech auditu v ID Microsoft Entra.
microsoft.directory/policies/basic/update Aktualizujte základní vlastnosti zásad v Microsoft Entra ID.
microsoft.directory/policies/delete Odstraňte zásady v Microsoft Entra ID.
microsoft.directory/policies/owners/update Aktualizujte policies.owners vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizujte servicePrincipals.appRoleAssignedTo vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Aktualizujte users.appRoleAssignments vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Aktualizujte servicePrincipals.audience vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Aktualizujte servicePrincipals.authentication vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Aktualizujte základní vlastnosti instančních objektů v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/credentials/update Aktualizujte servicePrincipals.credentials vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete Odstraňte instanční objekty v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/owners/update Aktualizujte servicePrincipals.owners vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Aktualizujte servicePrincipals.permissions vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Aktualizujte servicePrincipals.policies vlastnost v Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) v sestavách přihlašování v Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu

Vlastněná zařízení

Uživatelé můžou na vlastněných zařízeních provádět následující akce:

Action Description
microsoft.directory/devices/bitLockerRecoveryKeys/read Přečtěte si devices.bitLockerRecoveryKeys vlastnost v Microsoft Entra ID.
microsoft.directory/devices/disable Zakažte zařízení v Microsoft Entra ID.

Vlastněné skupiny

Uživatelé můžou ve vlastněných skupinách provádět následující akce.

Note

Vlastníci dynamických skupin členství musí mít roli Správce skupin, Správce Intune nebo Správce uživatelů, aby mohli upravovat pravidla pro dynamické skupiny členství. Další informace naleznete v tématu Vytvoření nebo aktualizace dynamické členství ve skupině Microsoft Entra ID.

Action Description
microsoft.directory/groups/appRoleAssignments/update Aktualizujte groups.appRoleAssignments vlastnost v Microsoft Entra ID.
microsoft.directory/groups/basic/update Aktualizujte základní vlastnosti pro skupiny v Microsoft Entra ID.
microsoft.directory/groups/delete Odstraňte skupiny v Microsoft Entra ID.
microsoft.directory/groups/members/update Aktualizujte groups.members vlastnost v Microsoft Entra ID.
microsoft.directory/groups/owners/update Aktualizujte groups.owners vlastnost v Microsoft Entra ID.
microsoft.directory/groups/restore Obnovte skupiny v Microsoft Entra ID.
microsoft.directory/groups/settings/update Aktualizujte groups.settings vlastnost v Microsoft Entra ID.

Další kroky

  • Last updated on