Megosztás a következőn keresztül:


Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?

A Microsoft Entra-azonosítóban minden felhasználó megkapja az alapértelmezett engedélyek készletét. A felhasználó hozzáférése a felhasználó típusából, szerepkör-hozzárendeléséből és az egyes objektumok tulajdonjogából áll.

Ez a cikk ismerteti ezeket az alapértelmezett engedélyeket, és összehasonlítja a tag és a vendégfelhasználó alapértelmezett értékét. Az alapértelmezett felhasználói engedélyek csak a Microsoft Entra ID felhasználói beállításaiban módosíthatók.

Tag- és vendégfelhasználók

Az alapértelmezett engedélyek halmaza attól függ, hogy a felhasználó natív tagja-e a bérlőnek (tagfelhasználónak), vagy egy másik címtárból, például egy vállalatközi (B2B) együttműködési vendégből (vendégfelhasználóból) kerül át. További információ a vendégfelhasználók hozzáadásáról: Mi a Microsoft Entra B2B együttműködés? Az alapértelmezett engedélyek képességei a következők:

  • A tagfelhasználók regisztrálhatnak alkalmazásokat, kezelhetik saját profilképüket és mobiltelefonszámukat, módosíthatják saját jelszavukat, és meghívhatnak B2B-vendégeket. Ezek a felhasználók az összes könyvtárinformációt is elolvashatják (néhány kivétellel).

  • A vendégfelhasználók korlátozott címtárengedélyekkel rendelkeznek. Kezelhetik a saját profiljukat, módosíthatják a saját jelszavukat, és lekérhetnek néhány információt más felhasználókról, csoportokról és alkalmazásokról. Azonban nem tudják beolvasni az összes könyvtárinformációt.

    A vendégfelhasználók például nem sorolhatják fel az összes felhasználó, csoport és egyéb címtárobjektum listáját. A vendégek hozzáadhatók rendszergazdai szerepkörökhöz, amelyek teljes olvasási és írási engedélyeket biztosítanak számukra. A vendégek más vendégeket is meghívhatnak.

A tagok és a vendég alapértelmezett engedélyeinek összehasonlítása

Terület Tagfelhasználói engedélyek Alapértelmezett vendégfelhasználói engedélyek Korlátozott vendégfelhasználói engedélyek
Felhasználók és névjegyek
  • Az összes felhasználó és partner listájának számbavétele
  • A felhasználók és névjegyek összes nyilvános tulajdonságának olvasása
  • Vendégek meghívása
  • Saját jelszó módosítása
  • Saját mobiltelefonszám kezelése
  • Saját fénykép kezelése
  • Saját frissítési jogkivonatok érvénytelenítése
  • Saját tulajdonságok olvasása
  • Más felhasználók és névjegyek megjelenítendő neve, e-mail-címe, bejelentkezési neve, fényképe, egyszerű felhasználóneve és felhasználótípus-tulajdonságai
  • Saját jelszó módosítása
  • Másik felhasználó keresése objektumazonosító szerint (ha engedélyezett)
  • A kezelő és a közvetlen jelentés adatainak olvasása más felhasználók számára
  • Saját tulajdonságok olvasása
  • Saját jelszó módosítása
  • Saját mobiltelefonszám kezelése
Csoportok
  • Biztonsági csoportok létrehozása
  • Microsoft 365-csoportok létrehozása
  • Az összes csoport listájának számbavétele
  • A csoportok összes tulajdonságának olvasása
  • Nem rejtett csoporttagság olvasása
  • Rejtett Microsoft 365-csoporttagság olvasása a csatlakoztatott csoportokhoz
  • A felhasználó tulajdonában lévő csoportok tulajdonságainak, tulajdonjogának és tagságának kezelése
  • Vendégek hozzáadása saját csoportokhoz
  • Csoporttagság beállításainak kezelése
  • Saját csoportok törlése
  • Saját Microsoft 365-csoportok visszaállítása
  • Nem felfedett csoportok olvasási tulajdonságai, beleértve a tagságot és a tulajdonjogot (még a nem összekapcsolt csoportokat is)
  • Rejtett Microsoft 365-csoporttagság olvasása a csatlakoztatott csoportokhoz
  • Csoportok keresése megjelenítendő név vagy objektumazonosító szerint (ha engedélyezett)
  • Az összekapcsolt csoportok objektumazonosítójának olvasása
  • Az egyes Microsoft 365-alkalmazásokban lévő csatlakoztatott csoportok tagságának és tulajdonjogának olvasása (ha engedélyezett)
Alkalmazások
  • Új alkalmazások regisztrálása (létrehozása)
  • Az összes alkalmazás listájának számbavétele
  • Regisztrált és vállalati alkalmazások olvasási tulajdonságai
  • Saját alkalmazások alkalmazástulajdonságainak, hozzárendeléseinek és hitelesítő adatainak kezelése
  • Alkalmazásjelszavak létrehozása vagy törlése felhasználók számára
  • Saját alkalmazások törlése
  • Saját alkalmazások visszaállítása
  • Alkalmazásoknak adott engedélyek listázása
  • Regisztrált és vállalati alkalmazások olvasási tulajdonságai
  • Alkalmazásoknak adott engedélyek listázása
  • Regisztrált és vállalati alkalmazások olvasási tulajdonságai
  • Alkalmazásoknak adott engedélyek listázása
Eszközök
  • Az összes eszköz listájának számbavétele
  • Az eszközök összes tulajdonságának olvasása
  • A tulajdonban lévő eszközök összes tulajdonságának kezelése
Nincs engedély Nincs engedély
Szervezet
  • Az összes vállalati információ olvasása
  • Az összes tartomány olvasása
  • Tanúsítványalapú hitelesítés olvasási konfigurációja
  • Az összes partnerszerződés olvasása
  • Több-bérlős szervezet alapadatainak és aktív bérlőinek olvasása
  • A vállalat megjelenítendő nevének olvasása
  • Az összes tartomány olvasása
  • Tanúsítványalapú hitelesítés olvasási konfigurációja
  • A vállalat megjelenítendő nevének olvasása
  • Az összes tartomány olvasása
Szerepkörök és hatókörök
  • Az összes felügyeleti szerepkör és tagság elolvasása
  • A felügyeleti egységek összes tulajdonságának és tagságának olvasása
Nincs engedély Nincs engedély
Előfizetések
  • Az összes licencelési előfizetés olvasása
  • Szolgáltatáscsomag-tagságok engedélyezése
Nincs engedély Nincs engedély
Kiáltvány
  • A szabályzatok összes tulajdonságának olvasása
  • Saját szabályzatok összes tulajdonságának kezelése
Nincs engedély Nincs engedély

Tagfelhasználók alapértelmezett engedélyeinek korlátozása

Korlátozásokat adhat a felhasználók alapértelmezett engedélyeihez.

A tagfelhasználók alapértelmezett engedélyeit a következő módokon korlátozhatja:

Figyelmeztet

A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása kapcsoló használata NEM biztonsági intézkedés. A funkcióval kapcsolatos további információkért tekintse meg az alábbi táblázatot.

Engedély A beállítás magyarázata
Alkalmazások regisztrálása Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre alkalmazásregisztrációkat. Ezt követően adott személyeknek adhat vissza lehetőséget, ha hozzáadja őket az alkalmazásfejlesztői szerepkörhöz.
Munkahelyi vagy iskolai fiók csatlakoztatásának engedélyezése a felhasználók számára a LinkedIn szolgáltatással Ha ezt a beállítást Nem értékre állítja, a felhasználók nem tudják összekapcsolni a munkahelyi vagy iskolai fiókjukat a LinkedIn-fiókjukkal. További információ: LinkedIn-fiókkapcsolatok adatmegosztása és hozzájárulás.
Biztonsági csoportok létrehozása Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre biztonsági csoportokat. Azok a felhasználók, akik legalább a Felhasználói rendszergazdák szerepkörhöz tartoznak, továbbra is létrehozhatnak biztonsági csoportokat. A csoportbeállítások konfigurálásához tekintse meg a Microsoft Entra parancsmagjait.
Microsoft 365-csoportok létrehozása Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre Microsoft 365-csoportokat. Ha ezt a beállítást Néhány értékre állítja, a felhasználók egy csoportja Microsoft 365-csoportokat hozhat létre. Bárki, aki legalább a felhasználói rendszergazda szerepkörhöz van hozzárendelve, továbbra is létrehozhat Microsoft 365-csoportokat. A csoportbeállítások konfigurálásához tekintse meg a Microsoft Entra parancsmagjait.
A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása Mire használható ez a kapcsoló?
A nemminisztrátorok nem böngészhetnek a Microsoft Entra felügyeleti portálján.
Igen Korlátozza a nemminisztrátorok számára a Microsoft Entra felügyeleti portál böngészését. A csoportok vagy alkalmazások tulajdonosai nem használhatják az Azure Portalt a saját erőforrásaik kezelésére.

Mit nem csinál?
Nem korlátozza a Microsoft Entra-adatokhoz való hozzáférést a PowerShell, a Microsoft GraphAPI vagy más ügyfelek, például a Visual Studio használatával.
Nem korlátozza a hozzáférést mindaddig, amíg a felhasználóhoz egyéni szerepkör (vagy szerepkör) van rendelve.

Mikor érdemes használni ezt a kapcsolót?
Ezzel a beállítással megakadályozhatja, hogy a felhasználók helytelenül konfigurálják a saját erőforrásaikat.

Mikor ne használjam ezt a kapcsolót?
Ne használja ezt a kapcsolót biztonsági mértékként. Ehelyett hozzon létre egy feltételes hozzáférési szabályzatot, amely a Windows Azure Service Management API-t célozza, amely letiltja a nemminisztrátorok hozzáférését a Windows Azure Service Management API-hoz.

Hogyan csak bizonyos, nem rendszergazdai felhasználók számára engedélyezi a Microsoft Entra felügyeleti portál használatát?
Állítsa ezt a beállítást Igen értékre, majd rendeljen hozzájuk egy szerepkört, például globális olvasót.

A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása
A Windows Azure Service Management API-t célzó feltételes hozzáférési szabályzat az összes Azure-felügyelethez való hozzáférést célozza.

Nem rendszergazdai felhasználók korlátozása bérlők létrehozására A felhasználók a Bérlő kezelése területen a Microsoft Entra ID és a Microsoft Entra felügyeleti portálon hozhatnak létre bérlőket. A bérlő létrehozása a naplózási naplóban címtár-kezelés és tevékenység létrehozása vállalatként lesz rögzítve. Bárki, aki létrehoz egy bérlőt, a bérlő globális rendszergazdájává válik. Az újonnan létrehozott bérlő nem örökli a beállításokat és konfigurációkat.

Mire használható ez a kapcsoló?
Ha ezt a beállítást Igen értékre állítja, akkor a Microsoft Entra-bérlők létrehozása mindenkire korlátozódik, aki legalább a Bérlő létrehozója szerepkörhöz van hozzárendelve. Ha ezt a beállítást Nem értékre állítja, a nem független felhasználók Microsoft Entra-bérlőket hozhatnak létre. A bérlői létrehozás továbbra is rögzítésre kerül a naplózási naplóban.

Hogyan csak adott, nem rendszergazdai felhasználók számára engedélyezi az új bérlők létrehozását?
Állítsa be ezt a beállítást Igen értékre, majd rendelje hozzá őket a bérlő létrehozói szerepköréhez.

A felhasználók korlátozása a BitLocker-kulcs(ok) helyreállítására a saját eszközeiken Ez a beállítás a Microsoft Entra Felügyeleti központban, az Eszközbeállítások területen található. Ha ezt a beállítást Igen értékre állítja, azzal korlátozza a felhasználókat abban, hogy önkiszolgáló módon helyreállíthassák a BitLocker-kulcsokat a saját eszközeiken. A felhasználóknak kapcsolatba kell lépniük a szervezet ügyfélszolgálatánál a BitLocker-kulcsok lekéréséhez. Ha ezt a beállítást Nem értékre állítja, a felhasználók visszaállíthatják a BitLocker-kulcs(ok) értékét.
További felhasználók olvasása Ez a beállítás csak a Microsoft Graphban és a PowerShellben érhető el. Ha ezt a jelzőt úgy állítja be, hogy megakadályozza, hogy $false az összes nem admins felhasználó olvashassa a felhasználói adatokat a címtárból. Ez a jelző megakadályozhatja a felhasználói adatok olvasását más Microsoft-szolgáltatások, például a Microsoft Teamsben.

Ez a beállítás speciális körülményekre vonatkozik, ezért nem javasoljuk, hogy a jelölőt a következőre $falseállítsa.

Az alábbi képernyőképen látható, hogy a nem rendszergazdai felhasználók nem hozhatnak létre bérlőket .

Képernyőkép a bérlők létrehozásával kapcsolatos nem meghatalmazottak korlátozásáról.

Vendégfelhasználók alapértelmezett engedélyeinek korlátozása

A vendégfelhasználók alapértelmezett engedélyeit az alábbi módokon korlátozhatja.

Jegyzet

A vendégfelhasználói hozzáférés korlátozásai a vendégfelhasználók engedélyeinek lecserélése után korlátozottak . A szolgáltatás használatával kapcsolatos útmutatásért lásd : Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban.

Engedély A beállítás magyarázata
Vendégfelhasználói hozzáférési korlátozások Ha ezt a beállítást vendégfelhasználókra állítja, akkor a tagok alapértelmezés szerint minden tagfelhasználói engedélyt megadnak a vendégfelhasználóknak.

Ha ezt a beállítást vendégfelhasználói hozzáférésre állítja, az a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik , alapértelmezés szerint csak a saját felhasználói profiljukra korlátozza a vendéghozzáférést. A többi felhasználó hozzáférése már nem engedélyezett, még akkor sem, ha egyszerű felhasználónév, objektumazonosító vagy megjelenítendő név alapján keresnek. A csoportadatokhoz való hozzáférés, beleértve a csoporttagságokat is, már nem engedélyezett.

Ez a beállítás nem akadályozza meg, hogy egyes Microsoft 365-szolgáltatásokban, például a Microsoft Teamsben hozzáférjenek a csatlakoztatott csoportokhoz. További információ: Microsoft Teams vendéghozzáférés.

A vendégfelhasználók továbbra is hozzáadhatók a rendszergazdai szerepkörökhöz, függetlenül az engedélybeállítástól.

A vendégek meghívhatnak Ha ezt a beállítást Igen értékre állítja, a vendégek meghívhatnak más vendégeket. További információ: Külső együttműködési beállítások konfigurálása.

Objektum tulajdonjoga

Alkalmazásregisztráció-tulajdonos engedélyei

Amikor egy felhasználó regisztrál egy alkalmazást, a rendszer automatikusan hozzáadja őket az alkalmazás tulajdonosaként. Tulajdonosként kezelhetik az alkalmazás metaadatait, például az alkalmazás által kért nevet és engedélyeket. Emellett kezelhetik az alkalmazás bérlőspecifikus konfigurációját is, például az egyszeri bejelentkezés (SSO) konfigurációját és a felhasználói hozzárendeléseket.

A tulajdonos más tulajdonosokat is felvehet vagy eltávolíthat. A legalább alkalmazásadminisztrátori szerepkörrel rendelkező felhasználóktól eltérően a tulajdonosok csak a saját alkalmazásokat kezelhetik.

Vállalati alkalmazástulajdonosi engedélyek

Amikor egy felhasználó új vállalati alkalmazást ad hozzá, a rendszer automatikusan hozzáadja őket tulajdonosként. Tulajdonosként kezelhetik az alkalmazás bérlőspecifikus konfigurációját, például az egyszeri bejelentkezés konfigurációját, a kiépítést és a felhasználói hozzárendeléseket.

A tulajdonos más tulajdonosokat is felvehet vagy eltávolíthat. A legalább alkalmazásadminisztrátori szerepkörrel rendelkező felhasználóktól eltérően a tulajdonosok csak a saját alkalmazásokat kezelhetik.

Csoporttulajdonosi engedélyek

Amikor egy felhasználó létrehoz egy csoportot, a rendszer automatikusan hozzáadja őket a csoport tulajdonosaként. Tulajdonosként kezelhetik a csoport tulajdonságait (például a nevet) és kezelhetik a csoporttagságokat.

A tulajdonos más tulajdonosokat is felvehet vagy eltávolíthat. A legalább csoportadminisztrátori szerepkörhöz rendelt felhasználóktól eltérően a tulajdonosok csak a saját csoportokat kezelhetik, és csak akkor adhatnak hozzá vagy távolíthatnak el csoporttagokat, ha a csoport tagságtípusa hozzárendelve van.

Csoporttulajdonos hozzárendeléséhez tekintse meg a csoport tulajdonosainak kezelése című témakört.

Ha a Privileged Access Management (PIM) használatával szeretne egy csoportot alkalmassá tenni egy szerepkör-hozzárendelésre, olvassa el a Microsoft Entra-csoportok használata szerepkör-hozzárendelések kezeléséhez című témakört.

Tulajdonjogi engedélyek

Az alábbi táblázatok azokat a Microsoft Entra-azonosítók adott engedélyeit ismertetik, amelyekkel a tagfelhasználók rendelkeznek saját tulajdonú objektumokkal. A felhasználók csak a saját objektumaikra rendelkeznek ilyen engedélyekkel.

Saját alkalmazásregisztrációk

A felhasználók a következő műveleteket hajthatják végre a saját alkalmazásregisztrációkon:

Akció Leírás
microsoft.directory/applications/audience/update Frissítse a tulajdonságot a applications.audience Microsoft Entra-azonosítóban.
microsoft.directory/applications/authentication/update Frissítse a tulajdonságot a applications.authentication Microsoft Entra-azonosítóban.
microsoft.directory/applications/basic/update Az alkalmazások alapvető tulajdonságainak frissítése a Microsoft Entra-azonosítóban.
microsoft.directory/applications/hitelesítő adatok/frissítés Frissítse a tulajdonságot a applications.credentials Microsoft Entra-azonosítóban.
microsoft.directory/applications/delete Alkalmazások törlése a Microsoft Entra-azonosítóban.
microsoft.directory/applications/owners/update Frissítse a tulajdonságot a applications.owners Microsoft Entra-azonosítóban.
microsoft.directory/applications/permissions/update Frissítse a tulajdonságot a applications.permissions Microsoft Entra-azonosítóban.
microsoft.directory/applications/policies/update Frissítse a tulajdonságot a applications.policies Microsoft Entra-azonosítóban.
microsoft.directory/applications/restore Alkalmazások visszaállítása a Microsoft Entra-azonosítóban.

Saját tulajdonú vállalati alkalmazások

A felhasználók a következő műveleteket hajthatják végre a saját vállalati alkalmazásokon. A vállalati alkalmazások egy szolgáltatásnévből, egy vagy több alkalmazásszabályzatból és néha egy alkalmazásobjektumból állnak ugyanabban a bérlőben, mint a szolgáltatásnév.

Akció Leírás
microsoft.directory/auditLogs/allProperties/read Olvassa el az összes tulajdonságot (beleértve a kiemelt tulajdonságokat is) a Microsoft Entra ID naplóiban.
microsoft.directory/policies/basic/update A Házirendek alapvető tulajdonságainak frissítése a Microsoft Entra-azonosítóban.
microsoft.directory/policies/delete Szabályzatok törlése a Microsoft Entra-azonosítóban.
microsoft.directory/policies/owners/update Frissítse a tulajdonságot a policies.owners Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Frissítse a tulajdonságot a servicePrincipals.appRoleAssignedTo Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/appRoleAssignments/update Frissítse a tulajdonságot a users.appRoleAssignments Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/audience/update Frissítse a tulajdonságot a servicePrincipals.audience Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/authentication/update Frissítse a tulajdonságot a servicePrincipals.authentication Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/basic/update Frissítse az egyszerű szolgáltatásnevek alapvető tulajdonságait a Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/hitelesítő adatok/frissítés Frissítse a tulajdonságot a servicePrincipals.credentials Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/delete Szolgáltatásnevek törlése a Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/owners/update Frissítse a tulajdonságot a servicePrincipals.owners Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/permissions/update Frissítse a tulajdonságot a servicePrincipals.permissions Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/policies/update Frissítse a tulajdonságot a servicePrincipals.policies Microsoft Entra-azonosítóban.
microsoft.directory/signInReports/allProperties/read Olvassa el az összes tulajdonságot (beleértve a kiemelt tulajdonságokat is) a bejelentkezési jelentésekben a Microsoft Entra ID-ban.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Alkalmazáskiépítési titkos kódok és hitelesítő adatok kezelése
microsoft.directory/servicePrincipals/synchronizationJobs/manage Alkalmazáskiépítési szinkronizálási feladatok indítása, újraindítása és szüneteltetése
microsoft.directory/servicePrincipals/synchronizationSchema/manage Alkalmazáskiépítési szinkronizálási feladatok és séma létrehozása és kezelése
microsoft.directory/servicePrincipals/synchronization/standard/read A szolgáltatásnévhez társított kiépítési beállítások olvasása

Saját eszközök

A felhasználók a következő műveleteket hajthatják végre a saját eszközökön:

Akció Leírás
microsoft.directory/devices/bitLockerRecoveryKeys/read Olvassa el a tulajdonságot a devices.bitLockerRecoveryKeys Microsoft Entra-azonosítóban.
microsoft.directory/devices/disable Eszközök letiltása a Microsoft Entra-azonosítóban.

Saját csoportok

A felhasználók a következő műveleteket hajthatják végre a saját csoportokon.

Jegyzet

A dinamikus tagsági csoportok tulajdonosainak csoportadminisztrátori, Intune-rendszergazdai vagy felhasználói rendszergazdai szerepkörre van szükség a dinamikus tagsági csoportok szabályainak szerkesztéséhez. További információ: Dinamikus tagsági csoport létrehozása vagy frissítése a Microsoft Entra-azonosítóban.

Akció Leírás
microsoft.directory/groups/appRoleAssignments/update Frissítse a tulajdonságot a groups.appRoleAssignments Microsoft Entra-azonosítóban.
microsoft.directory/groups/basic/update A Microsoft Entra ID-ban lévő csoportok alapvető tulajdonságainak frissítése.
microsoft.directory/groups/delete Csoportok törlése a Microsoft Entra-azonosítóban.
microsoft.directory/groups/members/update Frissítse a tulajdonságot a groups.members Microsoft Entra-azonosítóban.
microsoft.directory/groups/owners/update Frissítse a tulajdonságot a groups.owners Microsoft Entra-azonosítóban.
microsoft.directory/groups/restore Csoportok visszaállítása a Microsoft Entra-azonosítóban.
microsoft.directory/groups/settings/update Frissítse a tulajdonságot a groups.settings Microsoft Entra-azonosítóban.

Következő lépések