Machtigingen voor gasttoegang beperken in Microsoft Entra-id
Met Microsoft Entra ID, onderdeel van Microsoft Entra, kunt u beperken wat externe gastgebruikers in hun organisatie kunnen zien in Microsoft Entra-id. Gastgebruikers zijn standaard ingesteld op een beperkt machtigingsniveau in Microsoft Entra-id, terwijl de standaardinstelling voor lidgebruikers de volledige set gebruikersmachtigingen is. Er is nog een machtigingsniveau voor gastgebruikers in de instellingen voor externe samenwerking van uw Microsoft Entra-organisatie voor nog beperktere toegang, zodat de gasttoegangsniveaus:
| Machtigingsniveau | Toegangsniveau | Weergegeven als |
|---|---|---|
| Hetzelfde als leden/gebruikers | Gasten hebben dezelfde toegang tot Microsoft Entra-resources als lidgebruikers | a0b1b346-4d3e-4e8b-98f8-753987be4970 |
| Beperkte toegang (standaard) | Gasten kunnen het lidmaatschap van alle niet-verborgen groepen zien | 10dae51f-b6af-4016-8d66-8c2a99b929b3 |
| Beperkte toegang (nieuw) | Gasten kunnen het lidmaatschap van groepen niet zien | 2af84b1e-32c8-42b7-82bc-daa82404023b |
Wanneer gasttoegang is beperkt, kunnen gasten alleen hun eigen gebruikersprofiel bekijken. Machtigingen voor het weergeven van andere gebruikers zijn niet toegestaan, zelfs niet als de gast zoekt op User Principal Name of objectId. Beperkte toegang beperkt gastgebruikers ook in de zichtbaarheid van het lidmaatschap van groepen waarin ze zich bevinden. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over de algemene standaardgebruikersmachtigingen, inclusief machtigingen voor gastgebruikers.
Machtigingen en licenties
U moet de rol Globale beheerder hebben om de toegang voor gastgebruikers te configureren. Er zijn geen aanvullende licentievereisten om gasttoegang te beperken.
Bijwerken in Azure Portal
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Er zijn wijzigingen aangebracht in de bestaande besturingselementen in Azure Portal voor gastgebruikersmachtigingen.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Globale Beheer istrator.
Selecteer Microsoft Entra ID >Users>All users.
Ga naar Externe gebruikers en selecteer Instellingen voor externe samenwerking beheren.
Selecteer op de pagina Instellingen voor externe samenwerking de optie Gastgebruikerstoegang is beperkt tot eigenschappen en lidmaatschappen van hun eigen mapobjecten.
Selecteer Opslaan. Het kan tot 15 minuten duren voordat de wijzigingen van kracht zijn voor gastgebruikers.
Bijwerken met de Microsoft Graph-API
We hebben een nieuwe Microsoft Graph API toegevoegd om gastmachtigingen in uw Microsoft Entra-organisatie te configureren. De volgende API-aanroepen kunnen worden uitgevoerd om elk machtigingsniveau toe te wijzen. Hier is de waarde voor guestUserRoleId gebruikt om de meest beperkte instelling voor gastgebruikers te illustreren. Zie het resourcetype voor meer informatie over het gebruik van Microsoft Graph om gastmachtigingen authorizationPolicy in te stellen.
Voor de eerste keer configureren
POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
Het antwoord moet Success 204 zijn.
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
De bestaande waarde bijwerken
PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
Het antwoord moet Success 204 zijn.
De huidige waarde weergeven
GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
Voorbeeld van een reactie:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
"id": "authorizationPolicy",
"displayName": "Authorization Policy",
"description": "Used to manage authorization related settings across the company.",
"enabledPreviewFeatures": [],
"guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"permissionGrantPolicyIdsAssignedToDefaultUserRole": [
"user-default-legacy"
]
}
Bijwerken met PowerShell-cmdlets
Met deze functie hebben we de mogelijkheid toegevoegd om de beperkte machtigingen te configureren via PowerShell v2-cmdlets. PowerShell-cmdlets ophalen en bijwerken zijn gepubliceerd in versie 2.0.2.85.
Opdracht Ophalen: Get-MgPolicyAuthorizationPolicyPolicy
Voorbeeld:
Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom : everyone
AllowUserConsentForRiskyApps :
AllowedToSignUpEmailBasedSubscriptions : True
AllowedToUseSspr : True
BlockMsolPowerShell : False
DefaultUserRolePermissions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime :
Description : Used to manage authorization related settings across the company.
DisplayName : Authorization Policy
GuestUserRoleId : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id : authorizationPolicy
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}
Updateopdracht: Update-MgPolicyAuthorizationPolicy
Voorbeeld:
Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
Ondersteunde Microsoft 365-services
Ondersteunde services
Met ondersteund wordt bedoeld dat de ervaring naar verwachting is; preciezer gezegd: dat deze gelijk is aan de huidige gastervaring.
- Teams
- Outlook (OWA)
- SharePoint
- Planner in Teams
- Mobiele app Planner
- Web-app Planner
- Project voor het web
- Projectbewerkingen
Services die momenteel niet worden ondersteund
Een service zonder actuele ondersteuning kan compatibiliteitsproblemen ondervinden met de nieuwe instelling voor beperking van gasten.
- Formulieren
- Project Online
- Yammer
- Planner in SharePoint
Veelgestelde vragen
| Vraag | Antwoord |
|---|---|
| Waar zijn deze machtigingen van toepassing? | Deze machtigingen op mapniveau worden afgedwongen voor Microsoft Entra-services, waaronder Microsoft Graph, PowerShell v2, Azure Portal en Mijn apps Portal. Microsoft 365-services die gebruikmaken van Microsoft 365-groepen voor samenwerkingsscenario's worden ook beïnvloed, met name Outlook, Microsoft Teams en SharePoint. |
| Hoe hebben beperkte machtigingen invloed op welke groepen gasten kunnen zien? | Ongeacht de standaard- of beperkte gastmachtigingen kunnen gasten de lijst met groepen of gebruikers niet inventariseren. Gasten kunnen groepen zien waarvan ze lid zijn in zowel Azure Portal als de Mijn apps-portal, afhankelijk van de machtigingen:
Zie Standaardgebruikersmachtigingen voor gedetailleerdere vergelijking van de mapmachtigingen die afkomstig zijn van het Graph API. |
| Op welke onderdelen van de Mijn apps-portal is deze functie van invloed? | De groepsfunctionaliteit in de Mijn apps-portal zal deze nieuwe machtigingen respecteren. Deze functionaliteit omvat alle paden om de lijst met groepen en groepslidmaatschappen in Mijn apps weer te geven. Er zijn geen wijzigingen aangebracht in de beschikbaarheid van de groepstegel. De beschikbaarheid van de groepstegel wordt nog steeds geregeld door de bestaande groepsinstelling in Azure Portal. |
| Overschrijven deze machtigingen de gastinstellingen van SharePoint of Microsoft Teams? | Nee Deze bestaande instellingen regelen nog steeds de ervaring en toegang in deze toepassingen. Als u bijvoorbeeld problemen opmerkt in SharePoint, controleert u de instellingen voor extern delen. Gasten die zijn toegevoegd door teameigenaren op teamniveau hebben alleen toegang tot vergaderchats voor standaardkanalen, met uitzondering van privé- en gedeelde kanalen. |
| Wat zijn de bekende compatibiliteitsproblemen bij Yammer? | Wanneer machtigingen zijn ingesteld op 'beperkt', kunnen gasten die zijn aangemeld bij Yammer de groep niet verlaten. |
| Worden mijn bestaande gastmachtigingen gewijzigd in mijn tenant? | Er zijn geen wijzigingen aangebracht in uw huidige instellingen. Compatibiliteit met uw bestaande instellingen van eerdere versies wordt behouden. U bepaalt wanneer u wijzigingen wilt aanbrengen. |
| Worden deze machtigingen standaard ingesteld? | Nee De bestaande standaardmachtigingen blijven ongewijzigd. U kunt eventueel de machtigingen zo instellen dat ze meer beperkend zijn. |
| Zijn er licentievereisten voor deze functie? | Nee, er zijn geen nieuwe licentievereisten voor deze functie. |
Volgende stappen
- Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over bestaande gastmachtigingen in Microsoft Entra ID?
- Zie
authorizationPolicyhet resourcetype voor informatie over de Microsoft Graph API-methoden voor het beperken van gasttoegang - Als u alle toegang voor een gebruiker wilt intrekken, raadpleegt u Gebruikerstoegang intrekken in Microsoft Entra-id