Бөлісу құралы:

Разрешения пользователей по умолчанию в внешних клиентах

  • Мақала

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

Клиент Microsoft Entra во внешней конфигурации используется исключительно для Внешняя идентификация Microsoft Entra сценариев. Внешний клиент обеспечивает четкое разделение между корпоративным каталогом рабочей силы и каталогом приложений, подключенным к клиенту. Кроме того, пользователи, созданные во внешнем клиенте, ограничены доступом к информации о других пользователях во внешнем клиенте. По умолчанию клиенты не могут получить доступ к информации о других пользователях, группах или устройствах.

Внешний клиент может содержать следующие типы пользователей:

  • Внешние пользователи являются потребителями и бизнес-клиентами приложений, зарегистрированных в вашем внешнем клиенте. У них есть локальная учетная запись, но выполняется внешняя проверка подлинности. Внешние пользователи ограничены разрешениями пользователей по умолчанию и не могут быть назначены роли. Обычно они создаются с помощью самостоятельной регистрации, но их можно создать с помощью параметра "Создать нового внешнего пользователя " в Центре администрирования Microsoft Entra или с помощью Microsoft Graph.

  • Внутренние пользователи — это пользователи (обычно администраторы), которые выполняют внутреннюю проверку подлинности и назначают роли Microsoft Entra во внешнем клиенте. Если вы не назначаете роль, у них есть разрешения пользователя по умолчанию. Вы можете создать внутренних пользователей с помощью параметра "Создать нового пользователя " в Центре администрирования или с помощью Microsoft Graph.

  • Приглашенные пользователи — это пользователи (обычно администраторы), которые войдите с помощью собственных внешних учетных данных и назначили роли Microsoft Entra во внешнем клиенте. Если вы не назначаете роль, у них есть разрешения пользователя по умолчанию. Вы можете пригласить пользователей с помощью параметра "Пригласить внешнего пользователя " в центре администрирования или с помощью Microsoft Graph.

Разрешения по умолчанию

В следующей таблице описаны разрешения по умолчанию, назначенные пользователю во внешнем клиенте, включая:

  • Пользователи, использующие самостоятельную регистрацию
  • Пользователи, созданные администраторами
  • Приглашенные пользователи
Область Разрешения пользователя клиента
Пользователи и контакты — Чтение и обновление собственного профиля с помощью интерфейса управления профилями приложений
— изменение собственного пароля
— вход с помощью локальной или социальной учетной записи
Приложения — доступ к приложениям
— отзыв согласия на приложения

API и разрешения Microsoft Graph

В следующей таблице указаны операции API, позволяющие клиентам управлять сведениями о профиле. Идентификатор пользователя или userPrincipalName всегда является вошедшего пользователя.

Пользовательская операция Операция API Требуемые разрешения
Чтение профиля GET /me или GET /users/{id или userPrincipalName} User.Read
Обновить профиль PATCH /me или PATCH /users/{id или userPrincipalName}

Следующие свойства являются обновляемыми: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, фамилия и предпочитаемыйLanguage		 User.ReadWrite
Изменить пароль POST /me/changePassword Directory.AccessAsUser.All