Delen via

Machtigingen voor gasttoegang beperken in Microsoft Entra-id

  • Artikel

Met Microsoft Entra ID, onderdeel van Microsoft Entra, kunt u beperken wat externe gastgebruikers in hun organisatie kunnen zien in Microsoft Entra-id. Gastgebruikers zijn standaard ingesteld op een beperkt machtigingsniveau in Microsoft Entra-id, terwijl de standaardinstelling voor lidgebruikers de volledige set gebruikersmachtigingen is. Er is nog een machtigingsniveau voor gastgebruikers in de instellingen voor externe samenwerking van uw Microsoft Entra-organisatie voor nog beperktere toegang, zodat de gasttoegangsniveaus:

Machtigingsniveau Toegangsniveau Weergegeven als
Hetzelfde als leden/gebruikers Gasten hebben dezelfde toegang tot Microsoft Entra-resources als lidgebruikers a0b1b346-4d3e-4e8b-98f8-753987be4970
Beperkte toegang (standaard) Gasten kunnen het lidmaatschap van alle niet-verborgen groepen zien 10dae51f-b6af-4016-8d66-8c2a99b929b3
Beperkte toegang (nieuw) Gasten kunnen het lidmaatschap van groepen niet zien 2af84b1e-32c8-42b7-82bc-daa82404023b

Wanneer gasttoegang is beperkt, kunnen gasten alleen hun eigen gebruikersprofiel bekijken. Machtigingen voor het weergeven van andere gebruikers zijn niet toegestaan, zelfs niet als de gast zoekt op User Principal Name of objectId. Beperkte toegang beperkt gastgebruikers ook in de zichtbaarheid van het lidmaatschap van groepen waarin ze zich bevinden. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID voor meer informatie over de algemene standaardgebruikersmachtigingen, inclusief machtigingen voor gastgebruikers.

Bijwerken in Azure Portal

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Er zijn wijzigingen aangebracht in de bestaande besturingselementen in Azure Portal voor gastgebruikersmachtigingen.

  1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

  2. >Selecteer Externe identiteiten.

  3. Selecteer Instellingen voor externe samenwerking.

  4. Selecteer op de pagina Instellingen voor externe samenwerking de optie Gastgebruikerstoegang is beperkt tot eigenschappen en lidmaatschappen van hun eigen mapobjecten.

    Schermopname van de pagina met instellingen voor externe samenwerking van Microsoft Entra.

  5. Selecteer Opslaan. Het kan tot 15 minuten duren voordat de wijzigingen van kracht zijn voor gastgebruikers.

Bijwerken met de Microsoft Graph-API

We hebben een nieuwe Microsoft Graph API toegevoegd om gastmachtigingen in uw Microsoft Entra-organisatie te configureren. De volgende API-aanroepen kunnen worden uitgevoerd om elk machtigingsniveau toe te wijzen. Hier is de waarde voor guestUserRoleId gebruikt om de meest beperkte instelling voor gastgebruikers te illustreren. Zie het resourcetype voor meer informatie over het gebruik van Microsoft Graph om gastmachtigingen authorizationPolicy in te stellen.

Voor de eerste keer configureren

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Het antwoord moet Success 204 zijn.

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

De bestaande waarde bijwerken

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Het antwoord moet Success 204 zijn.

De huidige waarde weergeven

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Voorbeeld van een reactie:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Bijwerken met PowerShell-cmdlets

Met deze functie hebben we de mogelijkheid toegevoegd om de beperkte machtigingen te configureren via PowerShell v2-cmdlets. PowerShell-cmdlets ophalen en bijwerken zijn gepubliceerd in versie 2.0.2.85.

Opdracht Ophalen: Get-MgPolicyAuthorizationPolicyPolicy

Voorbeeld:

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Updateopdracht: Update-MgPolicyAuthorizationPolicy

Voorbeeld:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Ondersteunde Microsoft 365-services

Ondersteunde services

Met ondersteund wordt bedoeld dat de ervaring naar verwachting is; preciezer gezegd: dat deze gelijk is aan de huidige gastervaring.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Planner in Teams
  • Mobiele app Planner
  • Web-app Planner
  • Project voor het web
  • Projectbewerkingen

Services die momenteel niet worden ondersteund

Een service zonder actuele ondersteuning kan compatibiliteitsproblemen ondervinden met de nieuwe instelling voor beperking van gasten.

  • Formulieren
  • Project Online
  • Yammer
  • Planner in SharePoint

Veelgestelde vragen

Vraag Antwoord
Waar zijn deze machtigingen van toepassing? Deze machtigingen op mapniveau worden afgedwongen voor Microsoft Entra-services, waaronder Microsoft Graph, PowerShell v2, Azure Portal en Mijn apps Portal. Microsoft 365-services die gebruikmaken van Microsoft 365-groepen voor samenwerkingsscenario's worden ook beïnvloed, met name Outlook, Microsoft Teams en SharePoint.
Hoe hebben beperkte machtigingen invloed op welke groepen gasten kunnen zien? Ongeacht de standaard- of beperkte gastmachtigingen kunnen gasten de lijst met groepen of gebruikers niet inventariseren. Gasten kunnen groepen zien waarvan ze lid zijn in zowel Azure Portal als de Mijn apps-portal, afhankelijk van de machtigingen:
  • Standaardmachtigingen: als gasten de groepen willen zoeken waarvan ze lid zijn in Azure Portal, moeten ze zoeken naar hun object-id in de lijst Alle gebruikers en vervolgens Groepen selecteren. Hier kunnen ze de lijst zien met groepen waarvan ze lid zijn, inclusief alle groepsdetails, waaronder naam, e-mail, enzovoort. In de Mijn apps-portal zien ze een lijst met groepen waarvan ze eigenaar zijn en groepen waarin ze zich bevinden.
  • Beperkte gastmachtigingen: in Azure Portal kunnen ze de lijst met groepen vinden waarin ze zich bevinden door te zoeken naar hun object-id in de lijst Alle gebruikers en door vervolgens Groepen te selecteren. Ze kunnen alleen beperkte details over de groep zien, met name de object-id. De kolommen Naam en E-mail zijn standaard leeg en Groepstype wordt Niet-herkend. In de Mijn apps-portal hebben ze geen toegang tot de lijst met groepen waarvan ze eigenaar zijn of groepen waarvan ze lid zijn.

Zie Standaardgebruikersmachtigingen voor gedetailleerdere vergelijking van de mapmachtigingen die afkomstig zijn van het Graph API.
Op welke onderdelen van de Mijn apps-portal is deze functie van invloed? De groepsfunctionaliteit in de Mijn apps-portal zal deze nieuwe machtigingen respecteren. Deze functionaliteit omvat alle paden om de lijst met groepen en groepslidmaatschappen in Mijn apps weer te geven. Er zijn geen wijzigingen aangebracht in de beschikbaarheid van de groepstegel. De beschikbaarheid van de groepstegel wordt nog steeds geregeld door de bestaande groepsinstelling in Azure Portal.
Overschrijven deze machtigingen de gastinstellingen van SharePoint of Microsoft Teams? Nee Deze bestaande instellingen regelen nog steeds de ervaring en toegang in deze toepassingen. Als u bijvoorbeeld problemen opmerkt in SharePoint, controleert u de instellingen voor extern delen. Gasten die zijn toegevoegd door teameigenaren op teamniveau hebben alleen toegang tot vergaderchats voor standaardkanalen, met uitzondering van privé- en gedeelde kanalen.
Wat zijn de bekende compatibiliteitsproblemen bij Yammer? Wanneer machtigingen zijn ingesteld op 'beperkt', kunnen gasten die zijn aangemeld bij Yammer de groep niet verlaten.
Worden mijn bestaande gastmachtigingen gewijzigd in mijn tenant? Er zijn geen wijzigingen aangebracht in uw huidige instellingen. Compatibiliteit met uw bestaande instellingen van eerdere versies wordt behouden. U bepaalt wanneer u wijzigingen wilt aanbrengen.
Worden deze machtigingen standaard ingesteld? Nee De bestaande standaardmachtigingen blijven ongewijzigd. U kunt eventueel de machtigingen zo instellen dat ze meer beperkend zijn.
Zijn er licentievereisten voor deze functie? Nee, er zijn geen nieuwe licentievereisten voor deze functie.

Volgende stappen