Autorisations utilisateur par défaut dans les locataires externes
S’applique à :
Locataires de main-d’œuvre 
Locataires externes (en savoir plus)
Les tenants Microsoft Entra dans une configuration externe servent exclusivement aux scénarios d’ID externe Microsoft Entra. Un locataire externe offre une séparation claire entre l’annuaire des employés de votre entreprise et l’annuaire de votre application orientée client. Par ailleurs, les utilisateurs créés dans votre locataire externe ne peuvent pas accéder aux informations des autres utilisateurs du locataire externe. Par défaut, les clients ne peuvent pas accéder aux informations des autres utilisateurs, groupes ou appareils.
Les tenants externes peuvent contenir les types d’utilisateurs suivants :
Les utilisateurs externes : ces utilisateurs sont des consommateurs et des clients professionnels des applications inscrites dans votre tenant externe. Ils ont un compte local mais s’authentifient en externe. Les utilisateurs externes sont limités aux autorisations utilisateur par défaut et ne peuvent pas se voir attribuer de rôles. Ils sont généralement créés par connexion en libre-service mais vous pouvez les créer avec l’option Créer un utilisateur externe dans le centre d’administration Microsoft Entra ou avec Microsoft Graph.
Les utilisateurs internes sont des utilisateurs (en général des administrateurs) qui s’authentifient en interne et ont des rôles Microsoft Entra attribués dans votre tenant externe. Si vous n’attribuez pas de rôle, ils disposent d’autorisations utilisateur par défaut. Vous pouvez créer des utilisateurs internes avec l’option Créer un utilisateur dans le centre d’administration ou avec Microsoft Graph.
Les invités internes sont des utilisateurs (en général des administrateurs) qui se connectent via leurs propres informations d'identification externes et ont des rôles Microsoft Entra attribués dans votre tenant externe. Si vous n’attribuez pas de rôle, ils disposent d’autorisations utilisateur par défaut. Vous pouvez inviter des utilisateurs avec l’option Inviter un utilisateur externe dans le centre d’administration ou avec Microsoft Graph.
Autorisations par défaut
Le tableau suivant décrit les autorisations par défaut attribuées à un utilisateur dans un client tenant externe :
- Utilisateurs qui utilisent l’inscription en libre-service
- Utilisateurs créés par des administrateurs
- Utilisateurs invités
| Zone | Autorisations utilisateur du client |
|---|---|
| Utilisateurs et contacts | - Lire et mettre à jour son propre profil en utilisant l’expérience de gestion des profils d’application - Changer son propre mot de passe - Se connecter avec un compte local ou social |
| Applications | - Accéder aux applications - Révoquer le consentement des applications |
API et autorisations Microsoft Graph
Le tableau suivant indique les opérations d’API qui permettent aux clients de gérer leurs informations de profil. L’ID utilisateur ou userPrincipalName est toujours celui de l’utilisateur connecté.
| Opération utilisateur | Opération d’API | Autorisations requises |
|---|---|---|
| Lire le profil | GET /me ou GET /users/{id ou userPrincipalName} | User.Read |
| Mettre à jour le profil | PATCH /me ou PATCH /users/{id or userPrincipalName} Les propriétés suivantes peuvent être mises à jour : ville, pays, displayName, gaveName, jobTitle, postalCode, state, streetAddress, name et preferredLanguage |
User.ReadWrite |
| Modifier le mot de passe | POST /me/changePassword | Directory.AccessAsUser.All |