Standardbenutzerberechtigungen in externen Mandanten
Ein Microsoft Entra-Mandant in einer externen Konfiguration wird ausschließlich für Microsoft Entra External ID-Szenarien verwendet. Ein externen Mandanten bietet eine klare Trennung zwischen dem Mitarbeiterverzeichnis ihres Unternehmens und Ihrem Anwendungsverzeichnis für Kundinnen und Kunden. Außerdem können Benutzerinnen und Benutzer, die in Ihrem externen Mandanten angelegt wurden, nicht auf Informationen über andere Benutzerinnen und Benutzer im externen Mandanten zugreifen. Standardmäßig können Kundinnen und Kunden nicht auf Informationen zu anderen Benutzenden, Gruppen oder Geräten zugreifen.
Ein externer Mandant kann die folgenden Benutzertypen enthalten:
Externe Benutzer sind Verbraucher und Geschäftskunden der Apps, die in Ihrem externen Mandanten registriert sind. Sie haben ein lokales Konto, authentifizieren sich jedoch extern. Externe Benutzer sind auf Standardbenutzerberechtigungen beschränkt, und ihnen können keine Rollen zugewiesen werden. Sie werden in der Regel über die Self-Service-Registrierung erstellt, aber Sie können sie mit der Option Neuen externen Benutzer erstellen im Microsoft Entra Admin Center oder mit Microsoft Graph erstellen.
Interne Benutzer (in der Regel Administratoren) authentifizieren sich intern, und ihnen sind Microsoft Entra-Rollen in Ihrem externen Mandanten zugewiesen. Wenn Sie keine Rolle zuweisen, verfügen sie über Standardbenutzerberechtigungen. Sie können interne Benutzer mit der Option Neuen Benutzer erstellen im Admin Center oder mit Microsoft Graph erstellen.
Eingeladene Benutzer (in der Regel Administratoren) melden sich mit eigenen externen Anmeldeinformationen an, und ihnen sind Microsoft Entra-Rollen in Ihrem externen Mandanten zugewiesen. Wenn Sie keine Rolle zuweisen, verfügen sie über Standardbenutzerberechtigungen. Sie können Benutzer mit der Option Externen Benutzer einladen im Admin Center oder mit Microsoft Graph einladen.
Standardberechtigungen
In der folgenden Tabelle werden die Standardberechtigungen beschrieben, die einem Benutzer in einem externen Mandanten zugewiesen werden.
- Benutzer, die die Self-Service-Registrierung verwenden
- Benutzer, die von Administratoren erstellt werden
- Benutzer, die eingeladen werden
| Bereich | Benutzerberechtigungen der Kundin bzw. des Kunden |
|---|---|
| Benutzer und Kontakte | - Lesen und Aktualisieren des eigenen Profils über die Anwendungs-Profilverwaltung - Ändern des eigenen Kennworts - Anmelden mit einem lokalen Konto oder einem Social Media-Konto |
| Anwendungen | – Zugreifen auf Anwendungen - Widerrufen der Zustimmung zu Anwendungen |
Microsoft Graph-APIs und -Berechtigungen
In der folgenden Tabelle sind die API-Vorgänge aufgeführt, mit denen Kunden ihre Profilinformationen verwalten können. Die Benutzer-ID oder der userPrincipalName ist immer der angemeldete Benutzer.
| Benutzervorgang | API-Vorgang | Erforderliche Berechtigungen |
|---|---|---|
| Profil lesen | GET /me oder GET /users/{id oder userPrincipalName} | User.Read |
| Profil aktualisieren | PATCH /me oder PATCH /users/{id oder userPrincipalName} Die folgenden Eigenschaften sind aktualisierbar: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname, and preferredLanguage (Stadt, Land, Anzeigename, Vorname, Position, Postleitzahl, Bundesland/Kanton, Straße, Nachname und bevorzugte Sprache) |
User.ReadWrite |
| Kennwort ändern | POST /me/changePassword | Directory.AccessAsUser.All |