Apa saja izin pengguna default di MICROSOFT Entra ID?

Di ID Microsoft Entra, semua pengguna diberi sekumpulan izin default. Akses pengguna terdiri dari jenis pengguna, penetapan peran, dan kepemilikan objek individu.

Artikel ini menjelaskan izin default tersebut dan membandingkan default pengguna anggota dan tamu. Izin pengguna default hanya dapat diubah di pengaturan pengguna di ID Microsoft Entra.

Pengguna anggota dan tamu

Kumpulan izin default bergantung pada apakah pengguna adalah anggota asli penyewa (pengguna anggota) atau apakah pengguna dibawa dari direktori lain sebagai tamu kolaborasi bisnis-ke-bisnis (B2B) (pengguna tamu). Untuk informasi selengkapnya tentang menambahkan pengguna tamu, lihat Apa itu kolaborasi Microsoft Entra B2B?. Berikut adalah kemampuan izin default:

• Pengguna anggota dapat mendaftarkan aplikasi, mengelola foto profil dan nomor ponsel mereka sendiri, mengubah kata sandi mereka sendiri, dan mengundang tamu B2B. Pengguna ini juga dapat membaca semua informasi direktori (dengan beberapa pengecualian).

• Pengguna tamu memiliki izin direktori terbatas. Mereka dapat mengelola profil mereka sendiri, mengubah kata sandi mereka sendiri, dan mengambil beberapa informasi tentang pengguna, grup, dan aplikasi lain. Namun, mereka tidak dapat membaca semua informasi direktori.

  Misalnya, pengguna tamu tidak dapat menghitung daftar semua pengguna, grup, dan objek direktori lainnya. Tamu dapat ditambahkan ke peran administrator, yang memberi mereka izin baca dan tulis penuh. Anda juga dapat mengundang tamu lain.

Membandingkan izin default anggota dan tamu

Area	Izin pengguna anggota	Izin pengguna tamu default	Izin pengguna tamu terbatas
Pengguna dan kontak	Hitung daftar semua pengguna dan kontak Membaca semua properti publik pengguna dan kontak Mengundang tamu Ubah kata sandi mereka sendiri Kelola nomor ponsel mereka sendiri Kelola foto mereka sendiri Batalkan token refresh mereka sendiri	Baca properti mereka sendiri Baca nama tampilan, email, nama masuk, foto, nama prinsipal pengguna, dan properti tipe pengguna dari pengguna dan kontak lain Ubah kata sandi mereka sendiri Cari pengguna lain berdasarkan ID objek (jika diizinkan) Membaca manajer dan informasi laporan langsung pengguna lain	Baca properti mereka sendiri Ubah kata sandi mereka sendiri Kelola nomor ponsel mereka sendiri
Grup	Membuat grup keamanan Membuat grup Microsoft 365 Hitung daftar semua grup Membaca semua properti grup Membaca keanggotaan grup yang tidak tersembunyi Membaca keanggotaan grup Microsoft 365 tersembunyi untuk grup yang bergabung Kelola properti, kepemilikan, dan keanggotaan grup yang dimiliki pengguna Menambahkan tamu ke grup yang dimiliki Mengelola pengaturan keanggotaan dinamis Menghapus grup yang dimiliki Memulihkan grup Microsoft 365 yang dimiliki	Membaca properti grup yang tidak disembunyikan, seperti keanggotaan dan kepemilikan (bahkan grup yang tidak bergabung) Membaca keanggotaan grup Microsoft 365 tersembunyi untuk grup yang bergabung Cari grup berdasarkan nama tampilan atau ID objek (jika diizinkan)	Baca ID objek untuk grup yang bergabung Membaca keanggotaan dan kepemilikan grup yang bergabung di beberapa aplikasi Microsoft 365 (jika diizinkan)
Aplikasi	Daftarkan (buat) aplikasi baru Hitung daftar semua aplikasi Membaca properti aplikasi terdaftar dan perusahaan Mengelola properti aplikasi, tugas, dan kredensial untuk aplikasi yang dimiliki Buat atau hapus kata sandi aplikasi untuk pengguna Menghapus aplikasi yang dimiliki Memulihkan aplikasi yang dimiliki Mencantumkan izin yang diberikan ke aplikasi	Membaca properti aplikasi terdaftar dan perusahaan Mencantumkan izin yang diberikan ke aplikasi	Membaca properti aplikasi terdaftar dan perusahaan Mencantumkan izin yang diberikan ke aplikasi
Perangkat	Hitung daftar semua perangkat Membaca semua properti perangkat Mengelola semua properti perangkat yang dimiliki	Tidak ada izin	Tidak ada izin
Organization	Membaca semua informasi perusahaan Menampilkan semua domain Membaca konfigurasi autentikasi berbasis sertifikat Membaca semua kontrak mitra Membaca detail dasar organisasi multi-penyewa dan penyewa aktif	Membaca nama tampilan perusahaan Menampilkan semua domain Membaca konfigurasi autentikasi berbasis sertifikat	Membaca nama tampilan perusahaan Menampilkan semua domain
Peran dan ruang lingkup	Membaca semua peran dan keanggotaan administratif Membaca semua properti dan keanggotaan unit administratif	Tidak ada izin	Tidak ada izin
Langganan	Membaca semua langganan lisensi Aktifkan keanggotaan paket layanan	Tidak ada izin	Tidak ada izin
Kebijakan	Membaca semua properti kebijakan Kelola semua properti dari kebijakan yang dimiliki	Tidak ada izin	Tidak ada izin

Batasi izin default pengguna anggota

Anda dapat menambahkan batasan ke izin default pengguna.

Anda dapat membatasi izin default untuk pengguna anggota dengan cara berikut:

Perhatian

Menggunakan pengalih Batasi akses ke portal administrasi Microsoft Entra BUKAN ukuran keamanan. Untuk informasi selengkapnya tentang fungsionalitas, lihat tabel di bawah ini.

Izin	Penjelasan pengaturan
Mendaftarkan aplikasi	Mengatur opsi ini ke Tidak akan mencegah pengguna membuat pendaftaran aplikasi. Anda kemudian dapat memberikan kemampuan kembali ke individu tertentu, dengan menambahkannya ke peran pengembang aplikasi.
Mengizinkan pengguna untuk menyambungkan akun kerja atau sekolah dengan LinkedIn	Mengatur opsi ini ke Tidak akan mencegah pengguna menghubungkan akun kerja atau sekolah mereka dengan akun LinkedIn mereka. Untuk informasi selengkapnya, lihat Berbagi data koneksi akun LinkedIn dan persetujuan.
Membuat grup keamanan	Mengatur opsi ini ke Tidak akan mencegah pengguna membuat kelompok keamanan. Administrator Global dan Administrator Pengguna masih dapat membuat grup keamanan. Untuk mempelajari caranya, lihat cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup.
Membuat grup Microsoft 365	Mengatur opsi ini ke Tidak akan mencegah pengguna membuat grup Microsoft 365. Mengatur opsi ini ke Beberapa memungkinkan sekumpulan pengguna membuat grup Microsoft 365. Administrator Global dan Administrator Pengguna masih dapat membuat grup Microsoft 365. Untuk mempelajari caranya, lihat cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup.
Membatasi akses ke portal administrasi Microsoft Entra	Apa yang dilakukan pengalih ini? Tidak memungkinkan non-administrator menelusuri portal administrasi Microsoft Entra. Ya Membatasi non-administrator untuk menelusuri portal administrasi Microsoft Entra. Non-administrator yang merupakan pemilik grup atau aplikasi tidak dapat menggunakan portal Azure untuk mengelola sumber daya yang mereka miliki. Apa yang tidak dilakukannya? Ini tidak membatasi akses ke data Microsoft Entra menggunakan PowerShell, Microsoft GraphAPI, atau klien lain seperti Visual Studio. Ini tidak membatasi akses selama pengguna diberi peran kustom (atau peran apa pun). Kapan saya harus menggunakan sakelar ini? Gunakan opsi ini untuk mencegah pengguna salah mengonfigurasi sumber daya yang mereka miliki. Kapan saya tidak boleh menggunakan sakelar ini? Jangan gunakan sakelar ini sebagai ukuran keamanan. Sebagai gantinya, buat kebijakan Akses Bersyar yang menargetkan API Manajemen Layanan Windows Azure yang memblokir akses non-administrator ke Windows Azure Service Management API. Bagaimana cara memberi pengguna non-administrator tertentu kemampuan untuk menggunakan portal administrasi Microsoft Entra saja? Atur opsi ini ke Ya, lalu tetapkan peran seperti pembaca global. Membatasi akses ke portal administrasi Microsoft Entra Kebijakan Akses Bersyar yang menargetkan WINDOWS Azure Service Management API menargetkan akses ke semua manajemen Azure.
Membatasi pengguna non-admin untuk membuat penyewa	Pengguna dapat membuat penyewa di ID Microsoft Entra dan portal administrasi Microsoft Entra di bawah Kelola penyewa. Pembuatan penyewa dicatat dalam log Audit sebagai kategori DirectoryManagement dan aktivitas Create Company. Siapa pun yang membuat penyewa menjadi Administrator Global penyewa tersebut. Penyewa yang baru dibuat tidak mewarisi pengaturan atau konfigurasi apa pun. Apa yang dilakukan pengalih ini? Mengatur opsi ini ke Ya membatasi pembuatan penyewa Microsoft Entra ke peran Administrator Global atau pembuat penyewa. Mengatur opsi ini ke Tidak memungkinkan pengguna non-admin untuk membuat penyewa Microsoft Entra. Pembuatan penyewa akan terus direkam di log Audit. Bagaimana cara memberi pengguna non-administrator tertentu kemampuan untuk membuat penyewa baru saja? Atur opsi ini ke Ya, lalu tetapkan peran pembuat penyewa.
Membatasi pengguna memulihkan kunci BitLocker untuk perangkat milik mereka	Pengaturan ini dapat ditemukan di pusat admin Microsoft Entra di Pengaturan Perangkat. Mengatur opsi ini ke Ya membatasi pengguna agar tidak dapat memulihkan kunci BitLocker secara mandiri untuk perangkat miliknya. Pengguna harus menghubungi staf dukungan organisasi mereka untuk mengambil kunci BitLocker mereka. Mengatur opsi ini ke Tidak memungkinkan pengguna memulihkan kunci BitLocker mereka.
Baca pengguna lain	Pengaturan ini hanya tersedia pada Microsoft Graph dan PowerShell. Mengatur tanda ini ke $false akan mencegah semua non-admin membaca informasi pengguna dari direktori. Bendera ini tidak mencegah pembacaan informasi pengguna di layanan Microsoft lain seperti Exchange Online. Pengaturan ini dimaksudkan untuk keadaan khusus, jadi kami tidak menyarankan mengatur tanda ke $false.

Opsi Batasi pengguna non-admin dari pembuatan penyewa ditunjukkan di bawah ini

Batasi izin default pengguna tamu

Anda dapat membatasi izin default untuk pengguna tamu dengan cara berikut.

Catatan

Pengaturan Pembatasan akses pengguna tamu menggantikan pengaturan Izin pengguna tamu terbatas. Untuk panduan tentang menggunakan fitur ini, lihat Membatasi izin akses tamu di ID Microsoft Entra.

Izin	Penjelasan pengaturan
Pembatasan akses pengguna tamu	Mengatur opsi ini ke Pengguna tamu memiliki akses yang sama seperti anggota seperti anggota memberikan semua izin pengguna anggota kepada pengguna tamu secara default. Mengatur opsi ini ke Batasi akses pengguna tamu ke properti dan keanggotaan objek direktori mereka sendiri akan membatasi akses tamu hanya ke profil pengguna mereka sendiri secara default. Akses ke pengguna lain tidak lagi diizinkan, bahkan saat mereka mencari berdasarkan nama prinsipal pengguna, ID objek, atau nama tampilan. Akses ke informasi grup, termasuk keanggotaan grup, juga tidak lagi diizinkan. Pengaturan ini tidak mencegah akses ke grup yang bergabung di beberapa layanan Microsoft 365 seperti Microsoft Teams. Untuk mempelajari selengkapnya, lihat akses tamu Microsoft Teams. Pengguna tamu masih dapat ditambahkan ke peran administrator terlepas dari pengaturan izin ini.
Tamu dapat mengundang	Mengatur opsi ini ke Ya memungkinkan tamu mengundang tamu lain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi pengaturan kolaborasi eksternal.

Kepemilikan objek

Izin pemilik pendaftaran aplikasi

Saat pengguna mendaftarkan aplikasi, mereka secara otomatis ditambahkan sebagai pemilik aplikasi. Sebagai pemilik, mereka dapat mengelola metadata aplikasi, seperti nama dan izin yang diminta aplikasi. Mereka juga dapat mengelola konfigurasi khusus penyewa aplikasi, seperti konfigurasi akses menyeluruh (SSO) dan penetapan pengguna.

Pemilik juga dapat menambahkan atau menghapus pemilik lain. Tidak seperti Administrator Global, pemilik hanya dapat mengelola aplikasi yang mereka miliki.

Izin pemilik aplikasi perusahaan

Saat pengguna menambahkan aplikasi perusahaan baru, mereka secara otomatis ditambahkan sebagai pemilik. Sebagai pemilik, mereka dapat mengelola konfigurasi khusus penyewa aplikasi, seperti konfigurasi SSO, penyediaan, dan penetapan pengguna.

Pemilik juga dapat menambahkan atau menghapus pemilik lain. Tidak seperti Administrator Global, pemilik hanya dapat mengelola aplikasi yang mereka miliki.

Izin pemilik grup

Saat pengguna membuat grup, mereka otomatis ditambahkan sebagai pemilik grup tersebut. Sebagai pemilik, mereka dapat mengelola properti grup (seperti nama) dan mengelola keanggotaan grup.

Pemilik juga dapat menambahkan atau menghapus pemilik lain. Tidak seperti Administrator Global dan Administrator Pengguna, pemilik hanya dapat mengelola grup yang mereka miliki.

Untuk menetapkan pemilik grup, lihat Mengelola pemilik grup.

Izin kepemilikan

Tabel berikut ini menjelaskan izin tertentu di ID Microsoft Entra yang dimiliki pengguna anggota atas objek yang dimiliki. Pengguna memiliki izin ini hanya pada objek yang mereka miliki.

Pendaftaran aplikasi yang dimiliki

Pengguna dapat melakukan tindakan berikut pada pendaftaran aplikasi yang dimiliki:

Perbuatan	Keterangan
microsoft.directory/applications/audience/update	applications.audience Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/authentication/perbarui	applications.authentication Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/basic/update	Perbarui properti dasar pada aplikasi di ID Microsoft Entra.
microsoft.directory/applications/credentials/update	applications.credentials Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/delete	Menghapus aplikasi di ID Microsoft Entra.
microsoft.directory/applications/owners/update	applications.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/permissions/update	applications.permissions Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/policies/update	applications.policies Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/restore	Memulihkan aplikasi di ID Microsoft Entra.

Aplikasi perusahaan yang dimiliki

Pengguna dapat melakukan tindakan berikut di aplikasi perusahaan yang dimiliki. Aplikasi perusahaan terdiri dari perwakilan layanan, satu atau beberapa kebijakan aplikasi, dan terkadang objek aplikasi di penyewa yang sama dengan perwakilan layanan.

Perbuatan	Keterangan
microsoft.directory/auditLogs/allProperties/read	Baca semua properti (termasuk properti istimewa) pada log audit di ID Microsoft Entra.
microsoft.directory/policies/basic/update	Perbarui properti dasar pada kebijakan di ID Microsoft Entra.
microsoft.directory/policies/delete	Menghapus kebijakan di ID Microsoft Entra.
microsoft.directory/policies/owners/update	policies.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui	servicePrincipals.appRoleAssignedTo Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update	users.appRoleAssignments Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/audience/perbarui	servicePrincipals.audience Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/perbarui	servicePrincipals.authentication Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update	Perbarui properti dasar pada perwakilan layanan di ID Microsoft Entra.
microsoft.directory/servicePrincipals/mandat/perbarui	servicePrincipals.credentials Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/hapus	Hapus perwakilan layanan di ID Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update	servicePrincipals.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update	servicePrincipals.permissions Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/policies/perbarui	servicePrincipals.policies Perbarui properti di ID Microsoft Entra.
microsoft.directory/signInReports/allProperties/read	Baca semua properti (termasuk properti istimewa) pada laporan masuk di ID Microsoft Entra.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronization/standard/read	Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda

Perangkat yang dimiliki

Pengguna dapat melakukan tindakan berikut pada perangkat yang dimiliki:

Perbuatan	Keterangan
microsoft.directory/devices/bitLockerRecoveryKeys/read	devices.bitLockerRecoveryKeys Baca properti di ID Microsoft Entra.
microsoft.directory/devices/disable	Nonaktifkan perangkat di ID Microsoft Entra.

Grup yang dimiliki

Pengguna dapat melakukan tindakan berikut pada grup yang dimiliki.

Catatan

Pemilik grup dinamis harus memiliki peran Administrator Global, Administrator Grup, Administrator Intune, atau Administrator Pengguna untuk mengedit aturan keanggotaan grup. Untuk informasi selengkapnya, lihat Membuat atau memperbarui grup dinamis di ID Microsoft Entra.

Perbuatan	Keterangan
microsoft.directory/groups/appRoleAssignments/update	groups.appRoleAssignments Perbarui properti di ID Microsoft Entra.
microsoft.directory/groups/basic/update	Perbarui properti dasar pada grup di ID Microsoft Entra.
microsoft.directory/groups/delete	Hapus grup di ID Microsoft Entra.
microsoft.directory/groups/members/update	groups.members Perbarui properti di ID Microsoft Entra.
microsoft.directory/groups/owners/update	groups.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/groups/restore	Memulihkan grup di ID Microsoft Entra.
microsoft.directory/groups/settings/update	groups.settings Perbarui properti di ID Microsoft Entra.

Langkah berikutnya

• Untuk mempelajari selengkapnya tentang pengaturan Pembatasan akses pengguna tamu, lihat Membatasi izin akses tamu di ID Microsoft Entra.
• Untuk mempelajari selengkapnya tentang cara menetapkan peran administrator Microsoft Entra, lihat Menetapkan pengguna ke peran administrator di ID Microsoft Entra.
• Untuk mempelajari selengkapnya tentang bagaimana akses sumber daya dikontrol di Microsoft Azure, lihat Memahami akses sumber daya di Azure.
• Untuk informasi selengkapnya tentang bagaimana ID Microsoft Entra terkait dengan langganan Azure Anda, lihat Cara langganan Azure dikaitkan dengan ID Microsoft Entra.
• Kelola pengguna.