Delen via


Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID?

In Microsoft Entra-id krijgen alle gebruikers een set standaardmachtigingen. De toegang van een gebruiker bestaat uit het type gebruiker, de roltoewijzingen en het eigendom van afzonderlijke objecten.

In dit artikel worden deze standaardmachtigingen beschreven en worden de standaardinstellingen voor leden en gastgebruikers vergeleken. De standaardgebruikersmachtigingen kunnen alleen worden gewijzigd in gebruikersinstellingen in Microsoft Entra-id.

Lid- en gastgebruikers

De set standaardmachtigingen is afhankelijk van of de gebruiker een systeemeigen lid is van de tenant (lidgebruiker) of wordt overgebracht uit een andere directory, zoals een B2B-samenwerkingsgast (business-to-business) (gastgebruiker). Zie Wat is Microsoft Entra B2B-samenwerking? voor meer informatie over het toevoegen van gastgebruikers. Dit zijn de mogelijkheden van de standaardmachtigingen:

  • Leden kunnen toepassingen registreren, hun eigen profielfoto en mobiele telefoonnummer beheren, hun eigen wachtwoord wijzigen en B2B-gasten uitnodigen. Deze gebruikers kunnen ook alle adreslijstgegevens lezen (met een paar uitzonderingen).

  • Gastgebruikers hebben beperkte mapmachtigingen. Ze kunnen hun eigen profiel beheren, hun eigen wachtwoord wijzigen en bepaalde informatie over andere gebruikers, groepen en apps ophalen. Ze kunnen echter niet alle adreslijstgegevens lezen.

    Gastgebruikers kunnen bijvoorbeeld de lijst met alle gebruikers, groepen en andere mapobjecten niet inventariseren. Gasten kunnen worden toegevoegd aan beheerdersrollen, waardoor ze volledige lees- en schrijfmachtigingen krijgen. U kunt ook andere gasten uitnodigen.

Standaardmachtigingen voor leden en gasten vergelijken

Gebied Gebruikersmachtigingen voor leden Standaardmachtigingen voor gastgebruikers Beperkte machtigingen voor gastgebruikers
Gebruikers en contactpersonen
  • De lijst met alle gebruikers en contactpersonen opsommen
  • Alle openbare eigenschappen van gebruikers en contactpersonen lezen
  • Gasten uitnodigen
  • Hun eigen wachtwoord wijzigen
  • Hun eigen mobiele telefoonnummer beheren
  • Hun eigen foto beheren
  • Hun eigen vernieuwingstokens ongeldig maken
  • Hun eigen eigenschappen lezen
  • Weergavenaam, e-mail, aanmeldingsnaam, foto, user principal name en eigenschappen van andere gebruikers en contactpersonen lezen
  • Hun eigen wachtwoord wijzigen
  • Zoeken naar een andere gebruiker op object-id (indien toegestaan)
  • Informatie over manager en direct rapport van andere gebruikers lezen
  • Hun eigen eigenschappen lezen
  • Hun eigen wachtwoord wijzigen
  • Hun eigen mobiele telefoonnummer beheren
Groepen
  • Beveiligingsgroepen maken
  • Microsoft 365-groepen maken
  • De lijst met alle groepen opsommen
  • Alle eigenschappen van groepen lezen
  • Niet-zichtbaar groepslidmaatschap lezen
  • Verborgen Microsoft 365-groepslidmaatschap lezen voor gekoppelde groepen
  • Eigenschappen, eigendom en lidmaatschap van groepen beheren waarvan de gebruiker eigenaar is
  • Gasten toevoegen aan groepen in eigendom
  • Instellingen voor groepslidmaatschap beheren
  • Groepen in eigendom verwijderen
  • Microsoft 365-groepen in eigendom herstellen
  • Eigenschappen van niet-weergegeven groepen lezen, inclusief lidmaatschap en eigendom (zelfs niet-gekoppelde groepen)
  • Verborgen Microsoft 365-groepslidmaatschap lezen voor gekoppelde groepen
  • Zoeken naar groepen op weergavenaam of object-id (indien toegestaan)
  • Object-id voor gekoppelde groepen lezen
  • Lidmaatschap en eigendom lezen van gekoppelde groepen in sommige Microsoft 365-apps (indien toegestaan)
Toepassingen
  • Nieuwe toepassingen registreren (maken)
  • De lijst met alle toepassingen opsommen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Toepassingseigenschappen, toewijzingen en referenties beheren voor toepassingen die eigendom zijn
  • Toepassingswachtwoorden maken of verwijderen voor gebruikers
  • Toepassingen in eigendom verwijderen
  • Toepassingen in eigendom herstellen
  • Machtigingen weergeven die zijn verleend aan toepassingen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Machtigingen weergeven die zijn verleend aan toepassingen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Machtigingen weergeven die zijn verleend aan toepassingen
Apparaten
  • De lijst met alle apparaten opsommen
  • Alle eigenschappen van apparaten lezen
  • Alle eigenschappen van apparaten in eigendom beheren
Geen machtigingen Geen machtigingen
Organisatie
  • Alle bedrijfsgegevens lezen
  • Alle domeinen lezen
  • Configuratie van verificatie op basis van certificaten lezen
  • Alle partnercontracten lezen
  • Basisdetails en actieve tenants van meerdere tenants lezen
  • Weergavenaam van bedrijf lezen
  • Alle domeinen lezen
  • Configuratie van verificatie op basis van certificaten lezen
  • Weergavenaam van bedrijf lezen
  • Alle domeinen lezen
Rollen en bereiken
  • Alle beheerdersrollen en lidmaatschappen lezen
  • Alle eigenschappen en lidmaatschap van beheereenheden lezen
Geen machtigingen Geen machtigingen
Abonnementen
  • Alle licentieabonnementen lezen
  • Lidmaatschappen van serviceabonnementen inschakelen
Geen machtigingen Geen machtigingen
Beleid
  • Alle eigenschappen van beleidsregels lezen
  • Alle eigenschappen van beleidsregels in eigendom beheren
Geen machtigingen Geen machtigingen

Standaardmachtigingen van lidgebruikers beperken

Het is mogelijk om beperkingen toe te voegen aan de standaardmachtigingen van gebruikers.

U kunt de standaardmachtigingen voor lidgebruikers op de volgende manieren beperken:

Voorzichtigheid

Het gebruik van de switch Toegang tot de Microsoft Entra-beheerportal beperken is GEEN beveiligingsmaatregel. Zie de volgende tabel voor meer informatie over de functionaliteit.

Toestemming Uitleg van instelling
Toepassingen registreren Als u deze optie instelt op Nee , kunnen gebruikers geen toepassingsregistraties maken. Vervolgens kunt u de mogelijkheid aan specifieke personen toewijzen door ze toe te voegen aan de rol van toepassingsontwikkelaar.
Gebruikers toestaan om een werk- of schoolaccount te verbinden met LinkedIn Als u deze optie instelt op Nee , kunnen gebruikers hun werk- of schoolaccount niet verbinden met hun LinkedIn-account. Zie LinkedIn-accountverbindingen voor gegevens delen en toestemming voor meer informatie.
Beveiligingsgroepen maken Als u deze optie instelt op Nee , kunnen gebruikers geen beveiligingsgroepen maken. Deze gebruikers die ten minste de rol Gebruikersbeheerders hebben toegewezen, kunnen nog steeds beveiligingsgroepen maken. Zie Microsoft Entra-cmdlets voor het configureren van groepsinstellingen voor meer informatie.
Microsoft 365-groepen maken Als u deze optie instelt op Nee , kunnen gebruikers Geen Microsoft 365-groepen maken. Als u deze optie instelt op Sommige , kan een groep gebruikers Microsoft 365-groepen maken. Iedereen die ten minste de rol Gebruikersbeheerder heeft toegewezen, kan nog steeds Microsoft 365-groepen maken. Zie Microsoft Entra-cmdlets voor het configureren van groepsinstellingen voor meer informatie.
Toegang tot de Microsoft Entra-beheerportal beperken Wat doet deze schakeloptie?
Hiermee kunnen niet-beheerders niet door de Microsoft Entra-beheerportal bladeren.
Ja beperkt niet-beheerders om door de Microsoft Entra-beheerportal te bladeren. Niet-beheerders die eigenaar zijn van groepen of toepassingen, kunnen de Azure-portal niet gebruiken om hun eigen resources te beheren.

Wat doet het niet?
De toegang tot Microsoft Entra-gegevens wordt niet beperkt met behulp van PowerShell, Microsoft GraphAPI of andere clients, zoals Visual Studio.
De toegang wordt niet beperkt zolang aan een gebruiker een aangepaste rol (of een andere rol) is toegewezen.

Wanneer moet ik deze switch gebruiken?
Gebruik deze optie om te voorkomen dat gebruikers de resources die ze bezitten onjuist configureren.

Wanneer moet ik deze schakeloptie niet gebruiken?
Gebruik deze schakeloptie niet als een beveiligingsmaatregel. Maak in plaats daarvan een beleid voor voorwaardelijke toegang dat is gericht op de Windows Azure Service Management-API waarmee niet-beheerderstoegang tot Windows Azure Service Management APIl worden geblokkeerd.

Hoe kan ik alleen specifieke niet-beheerders de mogelijkheid verlenen om de Microsoft Entra-beheerportal te gebruiken?
Stel deze optie in op Ja en wijs ze vervolgens een rol toe, zoals globale lezer.

Toegang tot de Microsoft Entra-beheerportal beperken
Een beleid voor voorwaardelijke toegang dat is gericht op windows Azure Service Management-API, is gericht op toegang tot alle Azure-beheertaken.

Niet-beheerders beperken tot het maken van tenants Gebruikers kunnen tenants maken in de Microsoft Entra-id en de Microsoft Entra-beheerportal onder Tenant beheren. Het maken van een tenant wordt vastgelegd in het auditlogboek als categorie DirectoryManagement en activiteit Maken van bedrijf. Iedereen die een tenant maakt, wordt de globale beheerder van die tenant. De zojuist gemaakte tenant neemt geen instellingen of configuraties over.

Wat doet deze schakeloptie?
Als u deze optie instelt op Ja , wordt het maken van Microsoft Entra-tenants beperkt tot iedereen die ten minste de rol TenantMaker heeft toegewezen. Als u deze optie instelt op Nee , kunnen niet-beheerders Microsoft Entra-tenants maken. Het maken van tenants wordt nog steeds vastgelegd in het auditlogboek.

Hoe kan ik alleen specifieke niet-beheerders de mogelijkheid verlenen om nieuwe tenants te maken?
Stel deze optie in op Ja en wijs deze vervolgens de rol Tenantmaker toe.

Voorkomen dat gebruikers de BitLocker-sleutel(s) voor hun apparaten herstellen Deze instelling vindt u in het Microsoft Entra-beheercentrum in de apparaatinstellingen. Als u deze optie instelt op Ja , kunnen gebruikers geen BitLocker-sleutel(en) zelf herstellen voor hun apparaten. Gebruikers moeten contact opnemen met de helpdesk van hun organisatie om hun BitLocker-sleutels op te halen. Als u deze optie instelt op Nee , kunnen gebruikers hun BitLocker-sleutel(en) herstellen.
Andere gebruikers lezen Deze instelling is alleen beschikbaar in Microsoft Graph en PowerShell. Als u deze vlag instelt om te $false voorkomen dat alle niet-beheerders gebruikersgegevens uit de directory lezen. Deze vlag voorkomt mogelijk dat gebruikersgegevens worden gelezen in andere Microsoft-services zoals Microsoft Teams.

Deze instelling is bedoeld voor speciale omstandigheden, dus we raden u niet aan om de vlag in te stellen op $false.

De optie Beperkte niet-beheerders van het maken van tenants wordt weergegeven in de volgende schermopname.

Schermopname van de optie voor het beperken van niet-beheerders van het maken van tenants.

De standaardmachtigingen van gastgebruikers beperken

U kunt de standaardmachtigingen voor gastgebruikers op de volgende manieren beperken.

Notitie

De instelling voor toegangsbeperkingen voor gastgebruikers is vervangen door de machtigingen voor gastgebruikers is beperkt . Zie Machtigingen voor gasttoegang beperken in Microsoft Entra ID voor hulp bij het gebruik van deze functie.

Toestemming Uitleg van instelling
Toegangsbeperkingen voor gastgebruikers Als u deze optie instelt op gastgebruikers, heeft dezelfde toegang als leden , verleent u standaard alle gebruikersmachtigingen voor leden.

Als u deze optie instelt op gastgebruikerstoegang, geldt dit alleen voor eigenschappen en lidmaatschappen van hun eigen adreslijstobjecten beperkt gasttoegang tot alleen hun eigen gebruikersprofiel. Toegang tot andere gebruikers is niet meer toegestaan, zelfs niet wanneer ze zoeken op user principal name, object ID of weergavenaam. Toegang tot groepsinformatie, inclusief groepslidmaatschappen, is ook niet meer toegestaan.

Deze instelling voorkomt geen toegang tot gekoppelde groepen in sommige Microsoft 365-services, zoals Microsoft Teams. Zie Gasttoegang van Microsoft Teams voor meer informatie.

Gastgebruikers kunnen nog steeds worden toegevoegd aan beheerdersrollen, ongeacht deze machtigingsinstelling.

Gasten kunnen uitnodigen Als u deze optie instelt op Ja , kunnen gasten andere gasten uitnodigen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Eigendom van object

Machtigingen voor de eigenaar van de toepassingsregistratie

Wanneer een gebruiker een toepassing registreert, wordt deze automatisch toegevoegd als eigenaar voor de toepassing. Als eigenaar kunnen ze de metagegevens van de toepassing beheren, zoals de naam en machtigingen die de app aanvraagt. Ze kunnen ook de tenantspecifieke configuratie van de toepassing beheren, zoals de configuratie van eenmalige aanmelding (SSO) en gebruikerstoewijzingen.

Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot die gebruikers die ten minste de rol Toepassingsbeheerder hebben toegewezen, kunnen eigenaren alleen de toepassingen beheren die ze bezitten.

Machtigingen voor bedrijfstoepassingseigenaar

Wanneer een gebruiker een nieuwe bedrijfstoepassing toevoegt, worden deze automatisch toegevoegd als eigenaar. Als eigenaar kunnen ze de tenantspecifieke configuratie van de toepassing beheren, zoals de configuratie voor eenmalige aanmelding, inrichting en gebruikerstoewijzingen.

Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot die gebruikers die ten minste de rol Toepassingsbeheerder hebben toegewezen, kunnen eigenaren alleen de toepassingen beheren die ze bezitten.

Machtigingen voor groepseigenaar

Wanneer een gebruiker een groep maakt, worden deze automatisch toegevoegd als eigenaar voor die groep. Als eigenaar kunnen ze eigenschappen van de groep (zoals de naam) beheren en groepslidmaatschap beheren.

Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot die gebruikers die ten minste de rol Groepsbeheerder hebben toegewezen, kunnen eigenaren alleen de groepen beheren die ze bezitten en kunnen ze alleen groepsleden toevoegen of verwijderen als het lidmaatschapstype van de groep is toegewezen.

Zie Eigenaren voor een groep beheren om een groepseigenaar toe te wijzen.

Als u Privileged Access Management (PIM) wilt gebruiken om een groep in aanmerking te laten komen voor een roltoewijzing, raadpleegt u Microsoft Entra-groepen gebruiken om roltoewijzingen te beheren.

Eigendomsmachtigingen

In de volgende tabellen worden de specifieke machtigingen in Microsoft Entra-id beschreven die lidgebruikers over objecten in eigendom hebben. Gebruikers hebben deze machtigingen alleen voor objecten die ze bezitten.

Toepassingsregistraties in eigendom

Gebruikers kunnen de volgende acties uitvoeren op toepassingsregistraties in eigendom:

Actie Beschrijving
microsoft.directory/applications/audience/update Werk de applications.audience eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/authentication/update Werk de applications.authentication eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/basic/update Basiseigenschappen bijwerken voor toepassingen in Microsoft Entra-id.
microsoft.directory/applications/credentials/update Werk de applications.credentials eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/delete Toepassingen verwijderen in Microsoft Entra-id.
microsoft.directory/applications/owners/update Werk de applications.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/permissions/update Werk de applications.permissions eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/policies/update Werk de applications.policies eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/restore Toepassingen herstellen in Microsoft Entra-id.

Bedrijfstoepassingen in eigendom

Gebruikers kunnen de volgende acties uitvoeren op bedrijfstoepassingen die eigendom zijn. Een bedrijfstoepassing bestaat uit een service-principal, een of meer toepassingsbeleidsregels en soms een toepassingsobject in dezelfde tenant als de service-principal.

Actie Beschrijving
microsoft.directory/auditLogs/allProperties/read Lees alle eigenschappen (inclusief bevoegde eigenschappen) in auditlogboeken in Microsoft Entra-id.
microsoft.directory/policies/basic/update Basiseigenschappen bijwerken voor beleidsregels in Microsoft Entra-id.
microsoft.directory/policies/delete Beleid verwijderen in Microsoft Entra-id.
microsoft.directory/policies/owners/update Werk de policies.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Werk de servicePrincipals.appRoleAssignedTo eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/appRoleAssignments/update Werk de users.appRoleAssignments eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/audience/update Werk de servicePrincipals.audience eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/authentication/update Werk de servicePrincipals.authentication eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken in Microsoft Entra-id.
microsoft.directory/servicePrincipals/credentials/update Werk de servicePrincipals.credentials eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/delete Verwijder service-principals in Microsoft Entra-id.
microsoft.directory/servicePrincipals/owners/update Werk de servicePrincipals.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/permissions/update Werk de servicePrincipals.permissions eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/policies/update Werk de servicePrincipals.policies eigenschap bij in Microsoft Entra-id.
microsoft.directory/signInReports/allProperties/read Lees alle eigenschappen (inclusief bevoegde eigenschappen) in aanmeldingsrapporten in Microsoft Entra-id.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor het inrichten van toepassingen beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/synchronization/standard/read Inrichtingsinstellingen lezen die zijn gekoppeld aan uw service-principal

Apparaten in eigendom

Gebruikers kunnen de volgende acties uitvoeren op apparaten die eigendom zijn:

Actie Beschrijving
microsoft.directory/devices/bitLockerRecoveryKeys/read Lees de devices.bitLockerRecoveryKeys eigenschap in Microsoft Entra ID.
microsoft.directory/devices/disable Schakel apparaten uit in Microsoft Entra ID.

Groepen in eigendom

Gebruikers kunnen de volgende acties uitvoeren op groepen in eigendom.

Notitie

Eigenaren van dynamische lidmaatschapsgroepen moeten de rol Groepsbeheerder, Intune-beheerder of Gebruikersbeheerder hebben om regels voor dynamische lidmaatschapsgroepen te bewerken. Zie Een dynamische lidmaatschapsgroep maken of bijwerken in Microsoft Entra-id voor meer informatie.

Actie Beschrijving
microsoft.directory/groups/appRoleAssignments/update Werk de groups.appRoleAssignments eigenschap bij in Microsoft Entra-id.
microsoft.directory/groups/basic/update Basiseigenschappen voor groepen bijwerken in Microsoft Entra-id.
microsoft.directory/groups/delete Groepen verwijderen in Microsoft Entra-id.
microsoft.directory/groups/members/update Werk de groups.members eigenschap bij in Microsoft Entra-id.
microsoft.directory/groups/owners/update Werk de groups.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/groups/restore Groepen herstellen in Microsoft Entra-id.
microsoft.directory/groups/settings/update Werk de groups.settings eigenschap bij in Microsoft Entra-id.

Volgende stappen