Izin pengguna default di penyewa eksternal
Berlaku untuk: 
Penyewa Tenaga Kerja Penyewa 
eksternal (pelajari lebih lanjut)
Penyewa Microsoft Entra dalam konfigurasi eksternal digunakan secara eksklusif untuk skenario ID Eksternal Microsoft Entra. Penyewa eksternal menyediakan pemisahan yang jelas antara direktori tenaga kerja perusahaan Anda dan direktori aplikasi yang menghadap pelanggan Anda. Selain itu, pengguna yang dibuat di penyewa eksternal Anda dibatasi untuk mengakses informasi tentang pengguna lain di penyewa eksternal. Secara default, pelanggan tidak dapat mengakses informasi tentang pengguna, grup, atau perangkat lain.
Penyewa eksternal dapat berisi jenis pengguna berikut:
Pengguna eksternal adalah konsumen dan pelanggan bisnis aplikasi yang terdaftar di penyewa eksternal Anda. Mereka memiliki akun lokal, tetapi mengautentikasi secara eksternal. Pengguna eksternal terbatas pada izin pengguna default dan tidak dapat ditetapkan peran. Mereka biasanya dibuat melalui pendaftaran layanan mandiri, tetapi Anda dapat membuatnya dengan opsi Buat pengguna eksternal baru di pusat admin Microsoft Entra atau dengan Microsoft Graph.
Pengguna internal adalah pengguna (biasanya admin) yang mengautentikasi secara internal dan telah menetapkan peran Microsoft Entra di penyewa eksternal Anda. Jika Anda tidak menetapkan peran, mereka memiliki izin pengguna default. Anda dapat membuat pengguna internal dengan opsi Buat pengguna baru di pusat admin atau dengan Microsoft Graph.
Pengguna yang diundang adalah pengguna (biasanya admin) yang masuk dengan kredensial eksternal mereka sendiri dan telah menetapkan peran Microsoft Entra di penyewa eksternal Anda. Jika Anda tidak menetapkan peran, mereka memiliki izin pengguna default. Anda dapat mengundang pengguna dengan opsi Undang pengguna eksternal di pusat admin atau dengan Microsoft Graph.
Izin default
Tabel berikut ini menjelaskan izin default yang ditetapkan untuk pengguna di penyewa eksternal, termasuk:
- Pengguna yang menggunakan pendaftaran layanan mandiri
- Pengguna yang dibuat oleh administrator
- Pengguna yang diundang
| Area | Izin pengguna pelanggan |
|---|---|
| Pengguna dan kontak | - Membaca dan memperbarui profil mereka sendiri melalui pengalaman manajemen profil aplikasi - Mengubah kata sandi mereka sendiri - Masuk dengan akun lokal atau sosial |
| Aplikasi | - Mengakses aplikasi - Mencabut persetujuan untuk aplikasi |
API dan izin Microsoft Graph
Tabel berikut menunjukkan operasi API yang memungkinkan pelanggan mengelola informasi profil mereka. ID pengguna atau userPrincipalName selalu menjadi milik pengguna yang masuk.
| Operasi pengguna | Operasi API | Izin yang diperlukan |
|---|---|---|
| Membaca profil | GET /me atau GET /users/{id atau userPrincipalName} | User.Read |
| Perbarui profil | PATCH /me atau PATCH /users/{id atau userPrincipalName} Properti berikut dapat diperbarui: kota, negara, displayName, givenName, jobTitle, postalCode, state, streetAddress, nama keluarga, dan preferredLanguage |
User.ReadWrite |
| Ubah kata sandi | POST /me/changePassword | Directory.AccessAsUser.All |