Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban
A Microsoft Entra-azonosító, a Microsoft Entra része, lehetővé teszi, hogy korlátozza, hogy a külső vendégfelhasználók mit láthatnak a szervezetükben a Microsoft Entra ID-ban. A vendégfelhasználók alapértelmezés szerint korlátozott engedélyszintre vannak beállítva a Microsoft Entra-azonosítóban, míg a tagfelhasználók esetében az alapértelmezett beállítás a felhasználói engedélyek teljes készlete. A Microsoft Entra-szervezet külső együttműködési beállításaiban egy másik vendégfelhasználói jogosultsági szint is elérhető a még korlátozottabb hozzáférés érdekében, így a vendéghozzáférési szintek a következők:
Engedélyszint | Hozzáférési szint | Érték |
---|---|---|
A tag felhasználókéval azonos | A vendégek ugyanolyan hozzáféréssel rendelkeznek a Microsoft Entra-erőforrásokhoz, mint a tagfelhasználók | a0b1b346-4d3e-4e8b-98f8-753987be4970 |
Korlátozott hozzáférés (Alapértelmezett) | A vendégek megtekinthetik az összes nem rejtett csoport tagságát | 10dae51f-b6af-4016-8d66-8c2a99b929b3 |
Korlátozott hozzáférés (új) | A vendégek nem láthatják a csoporttagságokat | 2af84b1e-32c8-42b7-82bc-daa82404023b |
Ha a vendég hozzáférése korlátozva van, akkor a vendégek csak a saját felhasználói profiljukat tekinthetik meg. Más felhasználók megtekintésének engedélyezése akkor sem engedélyezett, ha a vendég a User Principal Name vagy az objectId alapján keres. A korlátozott hozzáférés esetén a vendégfelhasználók azt sem láthatják, hogy melyik csoportoknak a tagjai. További információ az általános alapértelmezett felhasználói engedélyekről, beleértve a vendégfelhasználói engedélyeket is, olvassa el a Microsoft Entra ID alapértelmezett felhasználói engedélyeit ismertető témakört.
Frissítés a Microsoft Entra Felügyeleti központban
Módosítottuk a vendégfelhasználói engedélyek meglévő Azure Portal-vezérlőinek beállításait.
Jelentkezzen be a Microsoft Entra felügyeleti központba, mint felhasználói rendszergazda.
Válassza az Identitás>
Válassza a külső együttműködési beállításokat.
A Külső együttműködési beállítások lapon válassza a Vendégfelhasználói hozzáférés lehetőséget, amely a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik.
Válassza a Mentés lehetőséget. A módosítások a vendégfelhasználók számára akár 15 percet is igénybe vehetnek.
Frissítés a Microsoft Graph API-val
Egy új Microsoft Graph API-val konfigurálhatja a vendégengedélyeket a Microsoft Entra-szervezetben. Az alábbi API-hívások bármilyen jogosultsági szint hozzárendeléséhez kezdeményezhetők. Az itt használt guestUserRoleId érték a leginkább korlátozott vendégfelhasználói beállítások szemléltetésére szolgál. A Vendégengedélyek beállításához a Microsoft Graph használatával kapcsolatos további információkért tekintse meg authorizationPolicy
az erőforrás típusát.
Első konfigurálás
POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
A válasznak siker 204-nek kell lennie.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
A meglévő érték frissítése
PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
A válasznak siker 204-nek kell lennie.
Az aktuális érték megtekintése
GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
Példaválasz:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
"id": "authorizationPolicy",
"displayName": "Authorization Policy",
"description": "Used to manage authorization related settings across the company.",
"enabledPreviewFeatures": [],
"guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"permissionGrantPolicyIdsAssignedToDefaultUserRole": [
"user-default-legacy"
]
}
Frissítés PowerShell-parancsmagokkal
Ezzel a funkcióval lehetővé tettük a korlátozott engedélyek konfigurálását PowerShell v2-parancsmagokkal. A PowerShell-parancsmagok lekérése és frissítése verzióban 2.0.2.85
lett közzétéve.
Parancs lekérése: Get-MgPolicyAuthorizationPolicy
Példa:
Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom : everyone
AllowUserConsentForRiskyApps :
AllowedToSignUpEmailBasedSubscriptions : True
AllowedToUseSspr : True
BlockMsolPowerShell : False
DefaultUserRolePermissions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime :
Description : Used to manage authorization related settings across the company.
DisplayName : Authorization Policy
GuestUserRoleId : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id : authorizationPolicy
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}
Frissítési parancs: Update-MgPolicyAuthorizationPolicy
Példa:
Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
Támogatott Microsoft 365-szolgáltatások
Támogatott szolgáltatások
A támogatottak azt jelentik, hogy a tapasztalat a vártnak megfelelően történik; konkrétan azt, hogy ugyanaz, mint a jelenlegi vendégélmény.
- Teams
- Outlook (OWA)
- SharePoint
- Planner a Teamsben
- Planner mobilalkalmazás
- Planner webalkalmazás
- Webes Project
- Projektműveletek
Jelenleg nem támogatott szolgáltatások
A jelenlegi támogatás nélküli szolgáltatás kompatibilitási problémákat tapasztalhat az új vendégkorlátozási beállítással.
- Űrlapok
- Project Online
- Yammer
- Planner a SharePointban
Gyakori kérdések (GYIK)
Következő lépések
- Ha többet szeretne megtudni a Microsoft Entra ID-ban meglévő vendégengedélyekről, olvassa el a Microsoft Entra ID alapértelmezett felhasználói engedélyeit ismertető témakört .
- A vendéghozzáférés korlátozására szolgáló Microsoft Graph API-metódusok megtekintéséhez tekintse meg
authorizationPolicy
az erőforrás típusát - Ha egy felhasználó összes hozzáférését vissza szeretné vonni, olvassa el a Felhasználói hozzáférés visszavonása a Microsoft Entra-azonosítóban című témakört