Omezení oprávnění pro přístup hostů v Microsoft Entra ID

Microsoft Entra ID, součást Microsoft Entra, umožňuje omezit, co mohou externí hostující uživatelé vidět ve své organizaci prostřednictvím Microsoft Entra ID. Uživatelé typu host jsou ve výchozím nastavení v MICROSOFT Entra ID nastaveni na omezenou úroveň oprávnění, zatímco výchozí hodnota pro členské uživatele je úplná sada uživatelských oprávnění. V nastavení externí spolupráce vaší organizace Microsoft Entra existuje další úroveň oprávnění uživatele typu host pro ještě omezenější přístup, aby úrovně přístupu hostů byly:

Úroveň oprávnění	Úroveň přístupu	Hodnota
Stejná jako pro členy	Hosté mají stejný přístup k prostředkům Microsoft Entra jako členové.	a0b1b346-4d3e-4e8b-98f8-753987be4970
Omezený přístup (výchozí)	Hosté můžou zobrazit členství všech neskrytých skupin.	10DAE51F-B6AF-4016-8D66-8C2A99B929B3
Omezený přístup (nový)	Hosté nevidí členství v žádné skupině	2AF84B1E-32C8-42B7-82BC-DAA82404023B

Pokud je přístup hostů omezený, můžou si zobrazit jenom svůj vlastní profil uživatele. Oprávnění k zobrazení jiných uživatelů není uděleno, ani když host vyhledává podle hlavního názvu uživatele nebo ID objektu. Omezený přístup také zabraňuje hostujícím uživatelům vidět členství ve skupinách, do kterých patří. Další informace o celkových výchozích uživatelských oprávněních, včetně oprávnění uživatele typu host, naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.

Aktualizace v Centru pro správu Microsoft Entra

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce uživatelů.

2. Vyberte Entra ID>Externí identity.

3. Vyberte nastavení externí spolupráce.

4. Na stránce Nastavení externí spolupráce vyberte možnost Přístup uživatele typu host je omezen pouze na vlastnosti a členství jejich vlastních objektů adresáře.

   

5. Vyberte Uložit. Změny můžou trvat až 15 minut, než se projeví pro uživatele typu host.

Aktualizace pomocí rozhraní Microsoft Graph API

Existuje nové rozhraní Microsoft Graph API ke konfiguraci oprávnění hosta ve vaší organizaci Microsoft Entra. K přiřazení jakékoli úrovně oprávnění je možné provést následující volání rozhraní API. Hodnota guestUserRoleId použitá zde je ilustrovat nejvíce omezené nastavení uživatele typu host. Další informace o tom, jak používat Microsoft Graph k nastavení oprávnění hosta, najdete v Typ prostředkuauthorizationPolicy.

První konfigurace

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Odpověď by měla být úspěšná 204.

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci o zastarávání. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x MSOnline mohou být po 30. červnu 2024 přerušeny.

Aktualizace existující hodnoty

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Odpověď by měla být úspěšná 204.

Zobrazení aktuální hodnoty

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Příklad odpovědi:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Aktualizace pomocí rutin PowerShellu

Díky této funkci jsme přidali možnost konfigurovat omezená oprávnění prostřednictvím rutin PowerShellu v2. Rutiny Get a Update PowerShell byly publikovány ve verzi 2.0.2.85.

Příkaz Get-MgPolicyAuthorizationPolicy

Příklad:

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Příkaz Aktualizace: Update-MgPolicyAuthorizationPolicy

Příklad:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Podporované služby Microsoftu 365

Podporované služby

Podporované znamená, že zážitky jsou podle očekávání; konkrétně platí, že je to stejné jako současná zkušenost hostů.

• Týmy
• Outlook (OWA)
• Služba SharePoint
• Planner v Teams
• Mobilní aplikace Planner
• Webová aplikace Planner
• Project pro web
• Projektové operace

Služby aktuálně nejsou podporovány.

Služba bez aktuální podpory může mít problémy s kompatibilitou s novým nastavením omezení hosta.

• Formuláře

• Project Online

• Viva Engage

• Planner v SharePointu

Nejčastější dotazy

Otázka	Odpověď
Kde se tato oprávnění vztahují?	Tato oprávnění na úrovni adresáře se vynucují napříč službami Microsoft Entra, včetně Microsoft Graphu, PowerShellu v2, webu Azure Portal a portálu Moje aplikace. Služby Microsoft 365, které využívají skupiny Microsoft 365 pro scénáře spolupráce, jako jsou Outlook, Microsoft Teams a SharePoint, jsou také ovlivněny.
Jak omezená oprávnění ovlivňují, které skupiny můžou hosté zobrazit?	Bez ohledu na výchozí nebo omezená oprávnění hostů nemůžou hosté vytvořit výčet seznamu skupin nebo uživatelů. Hosté mohou vidět skupiny, jejichž jsou členy, jak v Azure portálu, tak v portálu Moje aplikace, v závislosti na oprávněních. Výchozí oprávnění: Pokud chcete najít skupiny, které jsou členy webu Azure Portal, musí host vyhledat SVÉ ID objektu v seznamu Všichni uživatelé a pak vybrat Skupiny. Tady uvidí seznam skupin, kterých jsou členy, včetně všech podrobností o skupině, včetně jména, e-mailu atd. Na portálu Moje aplikace uvidí seznam skupin, které vlastní, a skupiny, ve kterých jsou. Omezená oprávnění hosta: Na webu Azure Portal můžou najít seznam skupin, ve kterých jsou, vyhledáním ID objektu v seznamu Všichni uživatelé a následným výběrem skupin. Mohou zobrazit pouze omezené podrobnosti o skupině, zejména ID objektu. Sloupce Název a e-mail jsou záměrně prázdné a Typ skupiny není rozpoznán. Na portálu Moje aplikace nemají přístup k seznamu skupin, které vlastní, nebo skupiny, kterých jsou členy. Podrobnější porovnání oprávnění adresáře, která pocházejí z rozhraní Graph API, najdete v tématu Výchozí uživatelská oprávnění.
Které části portálu Moje aplikace ovlivní tuto funkci?	Funkce skupin na portálu Moje aplikace dodržují tato nová oprávnění. Tato funkce zahrnuje všechny cesty k zobrazení seznamu skupin a členství ve skupinách v Moje aplikace. Nebyly provedeny žádné změny dostupnosti dlaždic skupiny. Dostupnost dlaždice skupiny je stále řízena stávajícím nastavením skupiny v portálu Azure.
Přebijí tato oprávnění nastavení hosta v SharePointu nebo v Microsoft Teams?	Ne. Stávající nastavení stále řídí prostředí a přístup k těmto aplikacím. Pokud se například na SharePointu zobrazí problémy, pečlivě zkontrolujte nastavení externího sdílení. Hosté, které přidali vlastníci týmu na úrovni celého týmu, mají přístup pouze ke chatu schůzky kanálu u standardních kanálů, s výjimkou jakýchkoli soukromých a sdílených kanálů.
Jaké jsou známé problémy s kompatibilitou v aplikaci Viva Engage?	S oprávněními nastavenými na "omezený", hosté přihlášení k Viva Engage nemůžou opustit skupinu.
Změní se moje stávající oprávnění hosta v mém tenantovi?	V aktuálním nastavení nebyly provedeny žádné změny. Udržujeme zpětnou kompatibilitu s vašimi stávajícími nastaveními. Rozhodnete se, kdy chcete provést změny.
Nastaví se tato oprávnění ve výchozím nastavení?	Ne. Stávající výchozí oprávnění zůstávají beze změny. Volitelně můžete nastavit oprávnění tak, aby byla více omezující.
Existují pro tuto funkci nějaké licenční požadavky?	Ne, u této funkce nejsou žádné nové licenční požadavky.

Další kroky

• Další informace o existujících oprávněních hosta v MICROSOFT Entra ID najdete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?
• Informace o metodách rozhraní Microsoft Graph API pro omezení přístupu hosta najdete v tématuauthorizationPolicy Typ prostředku.
• Pokud chcete odvolat veškerý přístup pro uživatele, přečtěte si téma Odvolání přístupu uživatele v Microsoft Entra ID.