Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?

A Microsoft Entra-azonosítóban minden felhasználó megkapja az alapértelmezett engedélyek készletét. A felhasználó hozzáférése a felhasználó típusából, szerepkör-hozzárendeléséből és az egyes objektumok tulajdonjogából áll.

Ez a cikk ismerteti ezeket az alapértelmezett engedélyeket, és összehasonlítja a tag és a vendégfelhasználó alapértelmezett értékét. Az alapértelmezett felhasználói engedélyek csak a Microsoft Entra ID felhasználói beállításaiban módosíthatók.

Tag- és vendégfelhasználók

Az alapértelmezett engedélyek halmaza attól függ, hogy a felhasználó natív tagja-e a bérlőnek (tagfelhasználónak), vagy egy másik címtárból, például egy vállalatközi (B2B) együttműködési vendégből (vendégfelhasználóból) kerül át. További információ a vendégfelhasználók hozzáadásáról: Mi a Microsoft Entra B2B együttműködés? Az alapértelmezett engedélyek képességei a következők:

• A tagfelhasználók regisztrálhatnak alkalmazásokat, kezelhetik saját profilképüket és mobiltelefonszámukat, módosíthatják saját jelszavukat, és meghívhatnak B2B-vendégeket. Ezek a felhasználók az összes könyvtárinformációt is elolvashatják (néhány kivétellel).

• A vendégfelhasználók korlátozott címtárengedélyekkel rendelkeznek. Kezelhetik a saját profiljukat, módosíthatják a saját jelszavukat, és lekérhetnek néhány információt más felhasználókról, csoportokról és alkalmazásokról. Azonban nem tudják beolvasni az összes könyvtárinformációt.

  A vendégfelhasználók például nem sorolhatják fel az összes felhasználó, csoport és egyéb címtárobjektum listáját. A vendégek hozzáadhatók rendszergazdai szerepkörökhöz, amelyek teljes olvasási és írási engedélyeket biztosítanak számukra. A vendégek más vendégeket is meghívhatnak.

A tagok és a vendég alapértelmezett engedélyeinek összehasonlítása

Terület	Tagfelhasználói engedélyek	Alapértelmezett vendégfelhasználói engedélyek	Korlátozott vendégfelhasználói engedélyek
Felhasználók és névjegyek	Az összes felhasználó és partner listájának számbavétele A felhasználók és névjegyek összes nyilvános tulajdonságának olvasása Vendégek meghívása Saját jelszó módosítása Saját mobiltelefonszám kezelése Saját fénykép kezelése Saját frissítési jogkivonatok érvénytelenítése	Saját tulajdonságok olvasása Más felhasználók és névjegyek megjelenítendő neve, e-mail-címe, bejelentkezési neve, fényképe, egyszerű felhasználóneve és felhasználótípus-tulajdonságai Saját jelszó módosítása Másik felhasználó keresése objektumazonosító szerint (ha engedélyezett) A kezelő és a közvetlen jelentés adatainak olvasása más felhasználók számára	Saját tulajdonságok olvasása Saját jelszó módosítása Saját mobiltelefonszám kezelése
Csoportok	Biztonsági csoportok létrehozása Microsoft 365-csoportok létrehozása Az összes csoport listájának számbavétele A csoportok összes tulajdonságának olvasása Nem rejtett csoporttagság olvasása Rejtett Microsoft 365-csoporttagság olvasása a csatlakoztatott csoportokhoz A felhasználó tulajdonában lévő csoportok tulajdonságainak, tulajdonjogának és tagságának kezelése Vendégek hozzáadása saját csoportokhoz Csoporttagság beállításainak kezelése Saját csoportok törlése Saját Microsoft 365-csoportok visszaállítása	Nem felfedett csoportok olvasási tulajdonságai, beleértve a tagságot és a tulajdonjogot (még a nem összekapcsolt csoportokat is) Rejtett Microsoft 365-csoporttagság olvasása a csatlakoztatott csoportokhoz Csoportok keresése megjelenítendő név vagy objektumazonosító szerint (ha engedélyezett)	Az összekapcsolt csoportok objektumazonosítójának olvasása Az egyes Microsoft 365-alkalmazásokban lévő csatlakoztatott csoportok tagságának és tulajdonjogának olvasása (ha engedélyezett)
Alkalmazások	Új alkalmazások regisztrálása (létrehozása) Az összes alkalmazás listájának számbavétele Regisztrált és vállalati alkalmazások olvasási tulajdonságai Saját alkalmazások alkalmazástulajdonságainak, hozzárendeléseinek és hitelesítő adatainak kezelése Alkalmazásjelszavak létrehozása vagy törlése felhasználók számára Saját alkalmazások törlése Saját alkalmazások visszaállítása Alkalmazásoknak adott engedélyek listázása	Regisztrált és vállalati alkalmazások olvasási tulajdonságai Alkalmazásoknak adott engedélyek listázása	Regisztrált és vállalati alkalmazások olvasási tulajdonságai Alkalmazásoknak adott engedélyek listázása
Eszközök	Az összes eszköz listájának számbavétele Az eszközök összes tulajdonságának olvasása A tulajdonban lévő eszközök összes tulajdonságának kezelése	Nincs engedély	Nincs engedély
Szervezet	Az összes vállalati információ olvasása Az összes tartomány olvasása Tanúsítványalapú hitelesítés olvasási konfigurációja Az összes partnerszerződés olvasása Több-bérlős szervezet alapadatainak és aktív bérlőinek olvasása	A vállalat megjelenítendő nevének olvasása Az összes tartomány olvasása Tanúsítványalapú hitelesítés olvasási konfigurációja	A vállalat megjelenítendő nevének olvasása Az összes tartomány olvasása
Szerepkörök és hatókörök	Az összes felügyeleti szerepkör és tagság elolvasása A felügyeleti egységek összes tulajdonságának és tagságának olvasása	Nincs engedély	Nincs engedély
Előfizetések	Az összes licencelési előfizetés olvasása Szolgáltatáscsomag-tagságok engedélyezése	Nincs engedély	Nincs engedély
Kiáltvány	A szabályzatok összes tulajdonságának olvasása Saját szabályzatok összes tulajdonságának kezelése	Nincs engedély	Nincs engedély

Tagfelhasználók alapértelmezett engedélyeinek korlátozása

Korlátozásokat adhat a felhasználók alapértelmezett engedélyeihez.

A tagfelhasználók alapértelmezett engedélyeit a következő módokon korlátozhatja:

Figyelmeztet

A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása kapcsoló használata NEM biztonsági intézkedés. A funkcióval kapcsolatos további információkért tekintse meg az alábbi táblázatot.

Engedély	A beállítás magyarázata
Alkalmazások regisztrálása	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre alkalmazásregisztrációkat. Ezt követően adott személyeknek adhat vissza lehetőséget, ha hozzáadja őket az alkalmazásfejlesztői szerepkörhöz.
Munkahelyi vagy iskolai fiók csatlakoztatásának engedélyezése a felhasználók számára a LinkedIn szolgáltatással	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem tudják összekapcsolni a munkahelyi vagy iskolai fiókjukat a LinkedIn-fiókjukkal. További információ: LinkedIn-fiókkapcsolatok adatmegosztása és hozzájárulás.
Biztonsági csoportok létrehozása	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre biztonsági csoportokat. Azok a felhasználók, akik legalább a Felhasználói rendszergazdák szerepkörhöz tartoznak, továbbra is létrehozhatnak biztonsági csoportokat. A csoportbeállítások konfigurálásához tekintse meg a Microsoft Entra parancsmagjait.
Microsoft 365-csoportok létrehozása	Ha ezt a beállítást Nem értékre állítja, a felhasználók nem hozhatnak létre Microsoft 365-csoportokat. Ha ezt a beállítást Néhány értékre állítja, a felhasználók egy csoportja Microsoft 365-csoportokat hozhat létre. Bárki, aki legalább a felhasználói rendszergazda szerepkörhöz van hozzárendelve, továbbra is létrehozhat Microsoft 365-csoportokat. A csoportbeállítások konfigurálásához tekintse meg a Microsoft Entra parancsmagjait.
A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása	Mire használható ez a kapcsoló? A nemminisztrátorok nem böngészhetnek a Microsoft Entra felügyeleti portálján. Igen Korlátozza a nemminisztrátorok számára a Microsoft Entra felügyeleti portál böngészését. A csoportok vagy alkalmazások tulajdonosai nem használhatják az Azure Portalt a saját erőforrásaik kezelésére. Mit nem csinál? Nem korlátozza a Microsoft Entra-adatokhoz való hozzáférést a PowerShell, a Microsoft GraphAPI vagy más ügyfelek, például a Visual Studio használatával. Nem korlátozza a hozzáférést mindaddig, amíg a felhasználóhoz egyéni szerepkör (vagy szerepkör) van rendelve. Mikor érdemes használni ezt a kapcsolót? Ezzel a beállítással megakadályozhatja, hogy a felhasználók helytelenül konfigurálják a saját erőforrásaikat. Mikor ne használjam ezt a kapcsolót? Ne használja ezt a kapcsolót biztonsági mértékként. Ehelyett hozzon létre egy feltételes hozzáférési szabályzatot, amely a Windows Azure Service Management API-t célozza, amely letiltja a nemminisztrátorok hozzáférését a Windows Azure Service Management API-hoz. Hogyan csak bizonyos, nem rendszergazdai felhasználók számára engedélyezi a Microsoft Entra felügyeleti portál használatát? Állítsa ezt a beállítást Igen értékre, majd rendeljen hozzájuk egy szerepkört, például globális olvasót. A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása A Windows Azure Service Management API-t célzó feltételes hozzáférési szabályzat az összes Azure-felügyelethez való hozzáférést célozza.
Nem rendszergazdai felhasználók korlátozása bérlők létrehozására	A felhasználók a Bérlő kezelése területen a Microsoft Entra ID és a Microsoft Entra felügyeleti portálon hozhatnak létre bérlőket. A bérlő létrehozása a naplózási naplóban címtár-kezelés és tevékenység létrehozása vállalatként lesz rögzítve. Bárki, aki létrehoz egy bérlőt, a bérlő globális rendszergazdájává válik. Az újonnan létrehozott bérlő nem örökli a beállításokat és konfigurációkat. Mire használható ez a kapcsoló? Ha ezt a beállítást Igen értékre állítja, akkor a Microsoft Entra-bérlők létrehozása mindenkire korlátozódik, aki legalább a Bérlő létrehozója szerepkörhöz van hozzárendelve. Ha ezt a beállítást Nem értékre állítja, a nem független felhasználók Microsoft Entra-bérlőket hozhatnak létre. A bérlői létrehozás továbbra is rögzítésre kerül a naplózási naplóban. Hogyan csak adott, nem rendszergazdai felhasználók számára engedélyezi az új bérlők létrehozását? Állítsa be ezt a beállítást Igen értékre, majd rendelje hozzá őket a bérlő létrehozói szerepköréhez.
A felhasználók korlátozása a BitLocker-kulcs(ok) helyreállítására a saját eszközeiken	Ez a beállítás a Microsoft Entra Felügyeleti központban, az Eszközbeállítások területen található. Ha ezt a beállítást Igen értékre állítja, azzal korlátozza a felhasználókat abban, hogy önkiszolgáló módon helyreállíthassák a BitLocker-kulcsokat a saját eszközeiken. A felhasználóknak kapcsolatba kell lépniük a szervezet ügyfélszolgálatánál a BitLocker-kulcsok lekéréséhez. Ha ezt a beállítást Nem értékre állítja, a felhasználók visszaállíthatják a BitLocker-kulcs(ok) értékét.
További felhasználók olvasása	Ez a beállítás csak a Microsoft Graphban és a PowerShellben érhető el. Ha ezt a jelzőt úgy állítja be, hogy megakadályozza, hogy $false az összes nem admins felhasználó olvashassa a felhasználói adatokat a címtárból. Ez a jelző megakadályozhatja a felhasználói adatok olvasását más Microsoft-szolgáltatások, például a Microsoft Teamsben. Ez a beállítás speciális körülményekre vonatkozik, ezért nem javasoljuk, hogy a jelölőt a következőre $falseállítsa.

Az alábbi képernyőképen látható, hogy a nem rendszergazdai felhasználók nem hozhatnak létre bérlőket .

Vendégfelhasználók alapértelmezett engedélyeinek korlátozása

A vendégfelhasználók alapértelmezett engedélyeit az alábbi módokon korlátozhatja.

Jegyzet

A vendégfelhasználói hozzáférés korlátozásai a vendégfelhasználók engedélyeinek lecserélése után korlátozottak . A szolgáltatás használatával kapcsolatos útmutatásért lásd : Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban.

Engedély	A beállítás magyarázata
Vendégfelhasználói hozzáférési korlátozások	Ha ezt a beállítást vendégfelhasználókra állítja, akkor a tagok alapértelmezés szerint minden tagfelhasználói engedélyt megadnak a vendégfelhasználóknak. Ha ezt a beállítást vendégfelhasználói hozzáférésre állítja, az a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik , alapértelmezés szerint csak a saját felhasználói profiljukra korlátozza a vendéghozzáférést. A többi felhasználó hozzáférése már nem engedélyezett, még akkor sem, ha egyszerű felhasználónév, objektumazonosító vagy megjelenítendő név alapján keresnek. A csoportadatokhoz való hozzáférés, beleértve a csoporttagságokat is, már nem engedélyezett. Ez a beállítás nem akadályozza meg, hogy egyes Microsoft 365-szolgáltatásokban, például a Microsoft Teamsben hozzáférjenek a csatlakoztatott csoportokhoz. További információ: Microsoft Teams vendéghozzáférés. A vendégfelhasználók továbbra is hozzáadhatók a rendszergazdai szerepkörökhöz, függetlenül az engedélybeállítástól.
A vendégek meghívhatnak	Ha ezt a beállítást Igen értékre állítja, a vendégek meghívhatnak más vendégeket. További információ: Külső együttműködési beállítások konfigurálása.

Objektum tulajdonjoga

Alkalmazásregisztráció-tulajdonos engedélyei

Amikor egy felhasználó regisztrál egy alkalmazást, a rendszer automatikusan hozzáadja őket az alkalmazás tulajdonosaként. Tulajdonosként kezelhetik az alkalmazás metaadatait, például az alkalmazás által kért nevet és engedélyeket. Emellett kezelhetik az alkalmazás bérlőspecifikus konfigurációját is, például az egyszeri bejelentkezés (SSO) konfigurációját és a felhasználói hozzárendeléseket.

A tulajdonos más tulajdonosokat is felvehet vagy eltávolíthat. A legalább alkalmazásadminisztrátori szerepkörrel rendelkező felhasználóktól eltérően a tulajdonosok csak a saját alkalmazásokat kezelhetik.

Vállalati alkalmazástulajdonosi engedélyek

Amikor egy felhasználó új vállalati alkalmazást ad hozzá, a rendszer automatikusan hozzáadja őket tulajdonosként. Tulajdonosként kezelhetik az alkalmazás bérlőspecifikus konfigurációját, például az egyszeri bejelentkezés konfigurációját, a kiépítést és a felhasználói hozzárendeléseket.

A tulajdonos más tulajdonosokat is felvehet vagy eltávolíthat. A legalább alkalmazásadminisztrátori szerepkörrel rendelkező felhasználóktól eltérően a tulajdonosok csak a saját alkalmazásokat kezelhetik.

Csoporttulajdonosi engedélyek

Amikor egy felhasználó létrehoz egy csoportot, a rendszer automatikusan hozzáadja őket a csoport tulajdonosaként. Tulajdonosként kezelhetik a csoport tulajdonságait (például a nevet) és kezelhetik a csoporttagságokat.

A tulajdonos más tulajdonosokat is felvehet vagy eltávolíthat. A legalább csoportadminisztrátori szerepkörhöz rendelt felhasználóktól eltérően a tulajdonosok csak a saját csoportokat kezelhetik, és csak akkor adhatnak hozzá vagy távolíthatnak el csoporttagokat, ha a csoport tagságtípusa hozzárendelve van.

Csoporttulajdonos hozzárendeléséhez tekintse meg a csoport tulajdonosainak kezelése című témakört.

Ha a Privileged Access Management (PIM) használatával szeretne egy csoportot alkalmassá tenni egy szerepkör-hozzárendelésre, olvassa el a Microsoft Entra-csoportok használata szerepkör-hozzárendelések kezeléséhez című témakört.

Tulajdonjogi engedélyek

Az alábbi táblázatok azokat a Microsoft Entra-azonosítók adott engedélyeit ismertetik, amelyekkel a tagfelhasználók rendelkeznek saját tulajdonú objektumokkal. A felhasználók csak a saját objektumaikra rendelkeznek ilyen engedélyekkel.

Saját alkalmazásregisztrációk

A felhasználók a következő műveleteket hajthatják végre a saját alkalmazásregisztrációkon:

Akció	Leírás
microsoft.directory/applications/audience/update	Frissítse a tulajdonságot a applications.audience Microsoft Entra-azonosítóban.
microsoft.directory/applications/authentication/update	Frissítse a tulajdonságot a applications.authentication Microsoft Entra-azonosítóban.
microsoft.directory/applications/basic/update	Az alkalmazások alapvető tulajdonságainak frissítése a Microsoft Entra-azonosítóban.
microsoft.directory/applications/hitelesítő adatok/frissítés	Frissítse a tulajdonságot a applications.credentials Microsoft Entra-azonosítóban.
microsoft.directory/applications/delete	Alkalmazások törlése a Microsoft Entra-azonosítóban.
microsoft.directory/applications/owners/update	Frissítse a tulajdonságot a applications.owners Microsoft Entra-azonosítóban.
microsoft.directory/applications/permissions/update	Frissítse a tulajdonságot a applications.permissions Microsoft Entra-azonosítóban.
microsoft.directory/applications/policies/update	Frissítse a tulajdonságot a applications.policies Microsoft Entra-azonosítóban.
microsoft.directory/applications/restore	Alkalmazások visszaállítása a Microsoft Entra-azonosítóban.

Saját tulajdonú vállalati alkalmazások

A felhasználók a következő műveleteket hajthatják végre a saját vállalati alkalmazásokon. A vállalati alkalmazások egy szolgáltatásnévből, egy vagy több alkalmazásszabályzatból és néha egy alkalmazásobjektumból állnak ugyanabban a bérlőben, mint a szolgáltatásnév.

Akció	Leírás
microsoft.directory/auditLogs/allProperties/read	Olvassa el az összes tulajdonságot (beleértve a kiemelt tulajdonságokat is) a Microsoft Entra ID naplóiban.
microsoft.directory/policies/basic/update	A Házirendek alapvető tulajdonságainak frissítése a Microsoft Entra-azonosítóban.
microsoft.directory/policies/delete	Szabályzatok törlése a Microsoft Entra-azonosítóban.
microsoft.directory/policies/owners/update	Frissítse a tulajdonságot a policies.owners Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Frissítse a tulajdonságot a servicePrincipals.appRoleAssignedTo Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Frissítse a tulajdonságot a users.appRoleAssignments Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/audience/update	Frissítse a tulajdonságot a servicePrincipals.audience Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/authentication/update	Frissítse a tulajdonságot a servicePrincipals.authentication Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/basic/update	Frissítse az egyszerű szolgáltatásnevek alapvető tulajdonságait a Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/hitelesítő adatok/frissítés	Frissítse a tulajdonságot a servicePrincipals.credentials Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/delete	Szolgáltatásnevek törlése a Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/owners/update	Frissítse a tulajdonságot a servicePrincipals.owners Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/permissions/update	Frissítse a tulajdonságot a servicePrincipals.permissions Microsoft Entra-azonosítóban.
microsoft.directory/servicePrincipals/policies/update	Frissítse a tulajdonságot a servicePrincipals.policies Microsoft Entra-azonosítóban.
microsoft.directory/signInReports/allProperties/read	Olvassa el az összes tulajdonságot (beleértve a kiemelt tulajdonságokat is) a bejelentkezési jelentésekben a Microsoft Entra ID-ban.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Alkalmazáskiépítési titkos kódok és hitelesítő adatok kezelése
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Alkalmazáskiépítési szinkronizálási feladatok indítása, újraindítása és szüneteltetése
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Alkalmazáskiépítési szinkronizálási feladatok és séma létrehozása és kezelése
microsoft.directory/servicePrincipals/synchronization/standard/read	A szolgáltatásnévhez társított kiépítési beállítások olvasása

Saját eszközök

A felhasználók a következő műveleteket hajthatják végre a saját eszközökön:

Akció	Leírás
microsoft.directory/devices/bitLockerRecoveryKeys/read	Olvassa el a tulajdonságot a devices.bitLockerRecoveryKeys Microsoft Entra-azonosítóban.
microsoft.directory/devices/disable	Eszközök letiltása a Microsoft Entra-azonosítóban.

Saját csoportok

A felhasználók a következő műveleteket hajthatják végre a saját csoportokon.

Jegyzet

A dinamikus tagsági csoportok tulajdonosainak csoportadminisztrátori, Intune-rendszergazdai vagy felhasználói rendszergazdai szerepkörre van szükség a dinamikus tagsági csoportok szabályainak szerkesztéséhez. További információ: Dinamikus tagsági csoport létrehozása vagy frissítése a Microsoft Entra-azonosítóban.

Akció	Leírás
microsoft.directory/groups/appRoleAssignments/update	Frissítse a tulajdonságot a groups.appRoleAssignments Microsoft Entra-azonosítóban.
microsoft.directory/groups/basic/update	A Microsoft Entra ID-ban lévő csoportok alapvető tulajdonságainak frissítése.
microsoft.directory/groups/delete	Csoportok törlése a Microsoft Entra-azonosítóban.
microsoft.directory/groups/members/update	Frissítse a tulajdonságot a groups.members Microsoft Entra-azonosítóban.
microsoft.directory/groups/owners/update	Frissítse a tulajdonságot a groups.owners Microsoft Entra-azonosítóban.
microsoft.directory/groups/restore	Csoportok visszaállítása a Microsoft Entra-azonosítóban.
microsoft.directory/groups/settings/update	Frissítse a tulajdonságot a groups.settings Microsoft Entra-azonosítóban.

Következő lépések

• A vendégfelhasználói hozzáférési korlátozások beállításával kapcsolatos további információkért lásd: Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban.

• A Microsoft Entra rendszergazdai szerepkörök hozzárendelésével kapcsolatos további információkért lásd : Felhasználó hozzárendelése rendszergazdai szerepkörökhöz a Microsoft Entra-azonosítóban.

• Az erőforrás-hozzáférés Microsoft Azure-beli szabályozásáról további információt az Azure-beli erőforrás-hozzáférés ismertetése című témakörben talál.

• Felhasználók kezelése.