Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?

A Microsoft Entra-azonosítóban minden felhasználó megkapja az alapértelmezett engedélyek készletét. A felhasználó hozzáférése a felhasználó típusából, szerepkör-hozzárendeléséből és az egyes objektumok tulajdonjogából áll.

Ez a cikk ismerteti ezeket az alapértelmezett engedélyeket, és összehasonlítja a tag és a vendégfelhasználó alapértelmezett értékét. Az alapértelmezett felhasználói engedélyek csak a Microsoft Entra ID felhasználói beállításaiban módosíthatók.

Tag- és vendégfelhasználók

Az alapértelmezett engedélyek készlete attól függ, hogy a felhasználó natív tagja-e a bérlőnek (tagfelhasználónak), vagy hogy a felhasználót egy másik címtárból hozták-e át vállalatközi (B2B) együttműködési vendégként (vendégfelhasználóként). További információ a vendégfelhasználók hozzáadásáról: Mi a Microsoft Entra B2B együttműködés? Az alapértelmezett engedélyek képességei a következők:

• A tagfelhasználók regisztrálhatnak alkalmazásokat, kezelhetik saját profilképüket és mobiltelefonszámukat, módosíthatják saját jelszavukat, és meghívhatnak B2B-vendégeket. Ezek a felhasználók az összes könyvtárinformációt is elolvashatják (néhány kivétellel).

• A vendégfelhasználók korlátozott címtárengedélyekkel rendelkeznek. Kezelhetik a saját profiljukat, módosíthatják a saját jelszavukat, és lekérhetnek néhány információt más felhasználókról, csoportokról és alkalmazásokról. Azonban nem tudják beolvasni az összes könyvtárinformációt.

  A vendégfelhasználók például nem sorolhatják fel az összes felhasználó, csoport és egyéb címtárobjektum listáját. A vendégek hozzáadhatók rendszergazdai szerepkörökhöz, amelyek teljes olvasási és írási engedélyeket biztosítanak számukra. A vendégek más vendégeket is meghívhatnak.

Tagok és vendégek alapértelmezett engedélyeinek összehasonlítása

Terület	Tagfelhasználók engedélyei	Alapértelmezett vendégfelhasználói engedélyek	Korlátozott vendégfelhasználói engedélyek
Felhasználók és kapcsolatok	Az összes felhasználó és partner listájának számbavétele Felhasználók és kapcsolatok összes nyilvános tulajdonságának olvasása Vendégek meghívása Saját jelszó módosítása Saját mobiltelefonszám kezelése Saját fénykép kezelése Saját frissítési jogkivonatok érvénytelenítése	Saját tulajdonságok olvasása Más felhasználók és kapcsolatok megjelenített nevének, e-mail-címének, bejelentkezési nevének, fényképének, egyszerű felhasználónevének, valamint felhasználótípus-tulajdonságainak olvasása Saját jelszó módosítása Másik felhasználó keresése objektumazonosító szerint (ha engedélyezett) A kezelő és a közvetlen jelentés adatainak olvasása más felhasználók számára	Saját tulajdonságok olvasása Saját jelszó módosítása Saját mobiltelefonszám kezelése
Csoportok	Biztonsági csoportok létrehozása Microsoft 365-csoportok létrehozása Az összes csoport listájának számbavétele Minden csoporttulajdonság olvasása Nem rejtett csoporttagságok olvasása Rejtett Microsoft 365-csoporttagságok olvasása a csatlakoztatott csoportokhoz A felhasználó tulajdonában lévő csoportok tulajdonságainak, tulajdonjogának és tagságának kezelése Vendégek hozzáadása saját csoportokhoz Dinamikus tagsági beállítások kezelése Saját csoportok törlése Saját Microsoft 365-csoportok visszaállítása	Nem rejtett csoportok olvasási tulajdonságai, beleértve a tagságot és a tulajdonjogot (még a nem csatlakoztatott csoportokat is) Rejtett Microsoft 365-csoporttagságok olvasása a csatlakoztatott csoportokhoz Csoportok keresése megjelenítendő név vagy objektumazonosító szerint (ha engedélyezett)	Az összekapcsolt csoportok objektumazonosítójának olvasása Az egyes Microsoft 365-alkalmazásokban lévő csatlakoztatott csoportok tagságának és tulajdonjogának olvasása (ha engedélyezett)
Alkalmazások	Új alkalmazások regisztrálása (létrehozása) Az összes alkalmazás listájának számbavétele Regisztrált és vállalati alkalmazások tulajdonságainak olvasása Saját alkalmazások tulajdonságainak, hozzárendeléseinek és hitelesítő adatainak kezelése Alkalmazásjelszavak létrehozása vagy törlése felhasználók számára Saját alkalmazások törlése Saját alkalmazások visszaállítása Alkalmazásoknak adott engedélyek listázása	Regisztrált és vállalati alkalmazások tulajdonságainak olvasása Alkalmazásoknak adott engedélyek listázása	Regisztrált és vállalati alkalmazások tulajdonságainak olvasása Alkalmazásoknak adott engedélyek listázása
Eszközök	Az összes eszköz listájának számbavétele Minden eszköztulajdonság olvasása Saját eszközök minden tulajdonságának olvasása	Nincs engedély	Nincs engedély
Organization	Minden vállalati adat olvasása Minden tartomány olvasása Tanúsítványalapú hitelesítés olvasási konfigurációja Minden partnerszerződés olvasása Több-bérlős szervezeti alapadatok és aktív bérlők olvasása	A vállalat megjelenítendő nevének olvasása Minden tartomány olvasása Tanúsítványalapú hitelesítés olvasási konfigurációja	A vállalat megjelenítendő nevének olvasása Minden tartomány olvasása
Szerepkörök és hatókörök	Minden rendszergazdai szerepkör és tagság olvasása Felügyeleti egységek minden tulajdonságának és tagságának olvasása	Nincs engedély	Nincs engedély
Előfizetések	Az összes licencelési előfizetés olvasása Szolgáltatáscsomag-tagságok engedélyezése	Nincs engedély	Nincs engedély
Házirendek	Szabályzatok minden tulajdonságának olvasása Saját szabályzatok összes tulajdonságának kezelése	Nincs engedély	Nincs engedély

Tagfelhasználók alapértelmezett engedélyeinek korlátozása

Lehetőség van a felhasználók alapértelmezett engedélyeinek korlátozására.

A tagfelhasználók alapértelmezett engedélyeinek korlátozására az alábbi lehetőségek állnak rendelkezésre:

Figyelemfelhívás

A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása kapcsoló használata NEM biztonsági intézkedés. A funkcióval kapcsolatos további információkért tekintse meg az alábbi táblázatot.

Engedély	Magyarázat beállítása
Alkalmazások regisztrálása	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre alkalmazásregisztrációkat. Ezt követően adott személyeknek adhat vissza lehetőséget, ha hozzáadja őket az alkalmazásfejlesztői szerepkörhöz.
Munkahelyi vagy iskolai fiók csatlakoztatásának engedélyezése a felhasználók számára a LinkedIn szolgáltatással	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem tudják összekapcsolni a munkahelyi vagy iskolai fiókjukat a LinkedIn-fiókjukkal. További információ: LinkedIn-fiókkapcsolatok adatmegosztása és hozzájárulás.
Biztonsági csoportok létrehozása	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre biztonsági csoportokat. A globális Rendszergazda istratorok és a felhasználói Rendszergazda istratorok továbbra is létrehozhatnak biztonsági csoportokat. A csoportbeállítások konfigurálásához tekintse meg a Microsoft Entra parancsmagjait.
Microsoft 365-csoportok létrehozása	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre Microsoft 365-csoportokat. Ha ezt a beállítást Néhány értékre állítja, a felhasználók egy csoportja Microsoft 365-csoportokat hozhat létre. A globális Rendszergazda istratorok és a felhasználói Rendszergazda istratorok továbbra is létrehozhatnak Microsoft 365-csoportokat. A csoportbeállítások konfigurálásához tekintse meg a Microsoft Entra parancsmagjait.
A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása	Mire használható ez a kapcsoló? A nem rendszergazdák nem böngészhetnek a Microsoft Entra felügyeleti portálján. Igen Korlátozza, hogy a nem rendszergazdák a Microsoft Entra felügyeleti portálján böngésznek. A csoportok vagy alkalmazások tulajdonosai nem használhatják az Azure Portalt a saját erőforrásaik kezelésére. Mit nem csinál? Nem korlátozza a Microsoft Entra-adatokhoz való hozzáférést a PowerShell, a Microsoft GraphAPI vagy más ügyfelek, például a Visual Studio használatával. Nem korlátozza a hozzáférést mindaddig, amíg a felhasználóhoz egyéni szerepkör (vagy szerepkör) van rendelve. Mikor érdemes használni ezt a kapcsolót? Ezzel a beállítással megakadályozhatja, hogy a felhasználók helytelenül konfigurálják a saját erőforrásaikat. Mikor ne használjam ezt a kapcsolót? Ne használja ezt a kapcsolót biztonsági mértékként. Ehelyett hozzon létre egy feltételes hozzáférési szabályzatot, amely a Windows Azure Service Management API-t célozza, amely letiltja a nem rendszergazdák hozzáférését a Windows Azure Service Management API-hoz. Hogyan csak bizonyos, nem rendszergazdai felhasználók számára engedélyezi a Microsoft Entra felügyeleti portál használatát? Állítsa ezt a beállítást Igen értékre, majd rendeljen hozzájuk egy szerepkört, például globális olvasót. A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása A Windows Azure Service Management API-t célzó feltételes hozzáférési szabályzat az összes Azure-felügyelethez való hozzáférést célozza.
Nem rendszergazdai felhasználók korlátozása bérlők létrehozására	A felhasználók a Bérlő kezelése területen a Microsoft Entra ID és a Microsoft Entra felügyeleti portálon hozhatnak létre bérlőket. A bérlő létrehozása a naplózási naplóban címtár-kezelés és tevékenység létrehozása vállalatként lesz rögzítve. Bárki, aki létrehoz egy bérlőt, a bérlő globális Rendszergazda istratorává válik. Az újonnan létrehozott bérlő nem örökli a beállításokat és konfigurációkat. Mire használható ez a kapcsoló? Ha ezt a beállítást Igen értékre állítja, a Microsoft Entra-bérlők létrehozását a globális Rendszergazda istrator vagy a bérlő létrehozói szerepkörökre korlátozza. Ha ezt a beállítást Nem értékre állítja, a nem rendszergazda felhasználók Microsoft Entra-bérlőket hozhatnak létre. A bérlő létrehozása továbbra is rögzítésre kerül a naplózási naplóban. Hogyan csak adott, nem rendszergazdai felhasználók számára engedélyezi az új bérlők létrehozását? Állítsa ezt a beállítást Igen értékre, majd rendelje hozzá őket a bérlő létrehozói szerepköréhez.
A felhasználók korlátozása a BitLocker-kulcs(ok) helyreállítására a saját eszközeiken	Ez a beállítás az Eszköz Gépház Microsoft Entra felügyeleti központjában található. Ha ezt a beállítást Igen értékre állítja, azzal korlátozza a felhasználókat abban, hogy önkiszolgáló módon helyreállíthassák a BitLocker-kulcsokat a saját eszközeiken. A felhasználóknak kapcsolatba kell lépniük a szervezet ügyfélszolgálatánál a BitLocker-kulcsok lekéréséhez. Ha ezt a beállítást Nem értékre állítja, a felhasználók visszaállíthatják a BitLocker-kulcs(ok) értékét.
További felhasználók olvasása	Ez a beállítás csak a Microsoft Graphban és a PowerShellben érhető el. Ha ezt a jelölőt úgy állítja be, hogy $false az összes nem rendszergazda ne olvashassa fel a felhasználói adatokat a címtárból. Ez a jelző nem akadályozza meg a felhasználói adatok olvasását más Microsoft-szolgáltatások, például az Exchange Online-ban. Ez a beállítás speciális körülményekre vonatkozik, ezért nem javasoljuk, hogy a jelölőt a következőre $falseállítsa.

A nem rendszergazdai felhasználók bérlők létrehozásának korlátozása beállítás alább látható

Vendégfelhasználók alapértelmezett engedélyeinek korlátozása

A vendégfelhasználók alapértelmezett engedélyeit az alábbi módokon korlátozhatja.

Feljegyzés

A vendégfelhasználói hozzáférés korlátozásai a vendégfelhasználók engedélyeinek lecserélése után korlátozottak . A szolgáltatás használatával kapcsolatos útmutatásért lásd : Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban.

Engedély	Magyarázat beállítása
Vendégfelhasználói hozzáférési korlátozások	Ha ezt a beállítást vendégfelhasználókra állítja, akkor a tagok alapértelmezés szerint minden tagfelhasználói engedélyt megadnak a vendégfelhasználóknak. Ha ezt a beállítást vendégfelhasználói hozzáférésre állítja, az a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik , alapértelmezés szerint csak a saját felhasználói profiljukra korlátozza a vendéghozzáférést. A többi felhasználó hozzáférése már nem engedélyezett, még akkor sem, ha egyszerű felhasználónév, objektumazonosító vagy megjelenítendő név alapján keresnek. A csoportadatokhoz való hozzáférés, beleértve a csoporttagságokat is, már nem engedélyezett. Ez a beállítás nem akadályozza meg, hogy egyes Microsoft 365-szolgáltatásokban, például a Microsoft Teamsben hozzáférjenek a csatlakoztatott csoportokhoz. További információ: Microsoft Teams vendéghozzáférés. A vendégfelhasználók továbbra is hozzáadhatók a rendszergazdai szerepkörökhöz, függetlenül az engedélybeállítástól.
A vendégek meghívhatnak	Ha ezt a beállítást Igen értékre állítja, a vendégek meghívhatnak más vendégeket. További információ: Külső együttműködési beállítások konfigurálása.

Objektumok tulajdonjoga

Alkalmazásregisztrációs tulajdonosi engedélyek

Amikor egy felhasználó regisztrál egy alkalmazást, a rendszer automatikusan hozzáadja őket az alkalmazás tulajdonosaként. Tulajdonosként kezelhetik az alkalmazás metaadatait, például az alkalmazás által kért nevet és engedélyeket. Emellett kezelhetik az alkalmazás bérlőspecifikus konfigurációját is, például az egyszeri bejelentkezés (SSO) konfigurációját és a felhasználói hozzárendeléseket.

A tulajdonosok ezen kívül eltávolíthatnak vagy hozzáadhatnak más tulajdonosokat. A globális Rendszergazda istratoroktól eltérően a tulajdonosok csak a saját alkalmazásokat kezelhetik.

Vállalati alkalmazástulajdonosi engedélyek

Amikor egy felhasználó új vállalati alkalmazást ad hozzá, a rendszer automatikusan hozzáadja őket tulajdonosként. Tulajdonosként kezelhetik az alkalmazás bérlőspecifikus konfigurációját, például az egyszeri bejelentkezés konfigurációját, a kiépítést és a felhasználói hozzárendeléseket.

A tulajdonosok ezen kívül eltávolíthatnak vagy hozzáadhatnak más tulajdonosokat. A globális Rendszergazda istratoroktól eltérően a tulajdonosok csak a saját alkalmazásokat kezelhetik.

Csoporttulajdonosi engedélyek

Amikor egy felhasználó létrehoz egy csoportot, a rendszer automatikusan hozzáadja őket a csoport tulajdonosaként. Tulajdonosként kezelhetik a csoport tulajdonságait (például a nevet) és kezelhetik a csoporttagságokat.

A tulajdonosok ezen kívül eltávolíthatnak vagy hozzáadhatnak más tulajdonosokat. A globális Rendszergazda istratoroktól és a felhasználói Rendszergazda istratoroktól eltérően a tulajdonosok csak a saját csoportokat kezelhetik, és csak akkor adhatnak hozzá vagy távolíthatnak el csoporttagokat, ha a csoport tagságtípusa hozzárendelve van.

A csoporttulajdonosok hozzárendelésével kapcsolatban lásd: Csoporttulajdonosok kezelése.

Tulajdonjogi engedélyek

Az alábbi táblázatok azokat a Microsoft Entra-azonosítók adott engedélyeit ismertetik, amelyekkel a tagfelhasználók rendelkeznek saját tulajdonú objektumokkal. A felhasználók csak a saját objektumaikra rendelkeznek ilyen engedélyekkel.

Saját alkalmazásregisztrációk

A felhasználók a következő műveleteket hajthatják végre a saját alkalmazásregisztrációkon:

Művelet	Leírás
microsoft.directory/applications/audience/update	Frissítse a tulajdonságot a applications.audience Microsoft Entra-azonosítóban.
microsoft.directory/applications/authentication/update	Frissítse a tulajdonságot a applications.authentication Microsoft Entra-azonosítóban.
microsoft.directory/applications/basic/update	Az alkalmazások alapvető tulajdonságainak frissítése a Microsoft Entra-azonosítóban.
microsoft.directory/applications/hitelesítő adatok/frissítés	Frissítse a tulajdonságot a applications.credentials Microsoft Entra-azonosítóban.
microsoft.directory/applications/delete	Alkalmazások törlése a Microsoft Entra-azonosítóban.
microsoft.directory/applications/owners/update	Frissítse a tulajdonságot a applications.owners Microsoft Entra-azonosítóban.
microsoft.directory/applications/permissions/update	Frissítse a tulajdonságot a applications.permissions Microsoft Entra-azonosítóban.
microsoft.directory/applications/policies/update	Frissítse a tulajdonságot a applications.policies Microsoft Entra-azonosítóban.
microsoft.directory/applications/restore	Alkalmazások visszaállítása a Microsoft Entra-azonosítóban.

Saját tulajdonú vállalati alkalmazások

A felhasználók a következő műveleteket hajthatják végre a saját vállalati alkalmazásokon. A vállalati alkalmazások egy szolgáltatásnévből, egy vagy több alkalmazásszabályzatból és néha egy alkalmazásobjektumból állnak ugyanabban a bérlőben, mint a szolgáltatásnév.

Művelet	Leírás
microsoft.directory/auditLogs/allProperties/read	Olvassa el az összes tulajdonságot (beleértve a kiemelt tulajdonságokat is) a Microsoft Entra ID naplóiban.
microsoft.directory/policies/basic/update	A Házirendek alapvető tulajdonságainak frissítése a Microsoft Entra-azonosítóban.
microsoft.directory/policies/delete	Szabályzatok törlése a Microsoft Entra-azonosítóban.
microsoft.directory/policies/owners/update	Frissítse a tulajdonságot a policies.owners Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Frissítse a tulajdonságot a servicePrincipals.appRoleAssignedTo Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Frissítse a tulajdonságot a users.appRoleAssignments Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/audience/update	Frissítse a tulajdonságot a servicePrincipals.audience Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/authentication/update	Frissítse a tulajdonságot a servicePrincipals.authentication Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/basic/update	Frissítse az egyszerű szolgáltatásnevek alapvető tulajdonságait a Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/hitelesítő adatok/frissítés	Frissítse a tulajdonságot a servicePrincipals.credentials Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/delete	Szolgáltatásnevek törlése a Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/owners/update	Frissítse a tulajdonságot a servicePrincipals.owners Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/permissions/update	Frissítse a tulajdonságot a servicePrincipals.permissions Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/policies/update	Frissítse a tulajdonságot a servicePrincipals.policies Microsoft Entra-azonosítóban.
microsoft.directory/signInReports/allProperties/read	Olvassa el az összes tulajdonságot (beleértve a kiemelt tulajdonságokat is) a bejelentkezési jelentésekben a Microsoft Entra ID-ban.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Alkalmazáskiépítési titkos kódok és hitelesítő adatok kezelése
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Alkalmazáskiépítési szinkronizálási feladatok indítása, újraindítása és szüneteltetése
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Alkalmazáskiépítési szinkronizálási feladatok és séma létrehozása és kezelése
microsoft.directory/servicePrincipals/synchronization/standard/read	A szolgáltatásnévhez társított kiépítési beállítások olvasása

Saját eszközök

A felhasználók a következő műveleteket hajthatják végre a saját eszközökön:

Művelet	Leírás
microsoft.directory/devices/bitLockerRecoveryKeys/read	Olvassa el a tulajdonságot a devices.bitLockerRecoveryKeys Microsoft Entra-azonosítóban.
microsoft.directory/devices/disable	Eszközök letiltása a Microsoft Entra-azonosítóban.

Saját csoportok

A felhasználók a következő műveleteket hajthatják végre a saját csoportokon.

Feljegyzés

A csoporttagsági szabályok szerkesztéséhez a dinamikus csoportok tulajdonosainak globális Rendszergazda istrator, csoport Rendszergazda istrator, Intune Rendszergazda istrator vagy Felhasználói Rendszergazda istrator szerepkörrel kell rendelkezniük. További információ: Dinamikus csoport létrehozása vagy frissítése a Microsoft Entra-azonosítóban.

Művelet	Leírás
microsoft.directory/groups/appRoleAssignments/update	Frissítse a tulajdonságot a groups.appRoleAssignments Microsoft Entra-azonosítóban.
microsoft.directory/groups/basic/update	A Microsoft Entra ID-ban lévő csoportok alapvető tulajdonságainak frissítése.
microsoft.directory/groups/delete	Csoportok törlése a Microsoft Entra-azonosítóban.
microsoft.directory/groups/members/update	Frissítse a tulajdonságot a groups.members Microsoft Entra-azonosítóban.
microsoft.directory/groups/owners/update	Frissítse a tulajdonságot a groups.owners Microsoft Entra-azonosítóban.
microsoft.directory/groups/restore	Csoportok visszaállítása a Microsoft Entra-azonosítóban.
microsoft.directory/groups/settings/update	Frissítse a tulajdonságot a groups.settings Microsoft Entra-azonosítóban.

Következő lépések

• A vendégfelhasználói hozzáférési korlátozások beállításával kapcsolatos további információkért lásd: Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban.
• A Microsoft Entra rendszergazdai szerepkörök hozzárendelésével kapcsolatos további információkért lásd : Felhasználó hozzárendelése rendszergazdai szerepkörökhöz a Microsoft Entra-azonosítóban.
• Az erőforrás-hozzáférés Microsoft Azure-beli szabályozásáról további információt az Azure-beli erőforrás-hozzáférés ismertetése című témakörben talál.
• További információ arról, hogy a Microsoft Entra ID hogyan kapcsolódik az Azure-előfizetéshez: Hogyan vannak társítva az Azure-előfizetések a Microsoft Entra-azonosítóval.
• Felhasználók kezelése.