Jakie są domyślne uprawnienia użytkownika w identyfikatorze Entra firmy Microsoft?
Artykuł
W usłudze Microsoft Entra ID wszyscy użytkownicy otrzymują zestaw uprawnień domyślnych. Dostęp użytkownika składa się z typu użytkownika, ich przypisań ról i własności poszczególnych obiektów.
W tym artykule opisano te uprawnienia domyślne i porównuje ustawienia domyślne członka i użytkownika-gościa. Domyślne uprawnienia użytkownika można zmienić tylko w ustawieniach użytkownika w usłudze Microsoft Entra ID.
Użytkownicy będący członkami i gośćmi
Zestaw uprawnień domyślnych zależy od tego, czy użytkownik jest natywnym członkiem dzierżawy (użytkownika członkowskiego) lub jest przeniesiony z innego katalogu, takiego jak gość współpracy między firmami (B2B). Aby uzyskać więcej informacji na temat dodawania użytkowników-gości, zobacz Co to jest współpraca firmy Microsoft Entra B2B?. Poniżej przedstawiono możliwości uprawnień domyślnych:
Użytkownicy będący członkami mogą rejestrować aplikacje, zarządzać własnym zdjęciem profilu i numerem telefonu komórkowego, zmieniać własne hasło i zapraszać gości B2B. Ci użytkownicy mogą również odczytywać wszystkie informacje o katalogu (z kilkoma wyjątkami).
Użytkownicy-goście mają ograniczone uprawnienia do katalogu. Mogą zarządzać własnym profilem, zmieniać własne hasło i pobierać informacje o innych użytkownikach, grupach i aplikacjach. Nie mogą jednak odczytać wszystkich informacji o katalogu.
Na przykład użytkownicy-goście nie mogą wyliczać listy wszystkich użytkowników, grup i innych obiektów katalogu. Goście mogą być dodawani do ról administratora, co umożliwia im pełne uprawnienia do odczytu i zapisu. Goście mogą również zapraszać innych gości.
Porównanie uprawnień domyślnych członka i gościa
Obszar
Uprawnienia użytkownika będącego członkiem
Domyślne uprawnienia użytkownika-gościa
Ograniczone uprawnienia użytkownika-gościa
Użytkownicy i kontakty
Wyliczanie listy wszystkich użytkowników i kontaktów
Odczytywanie wszystkich publicznych właściwości użytkowników i kontaktów
Zapraszanie gości
Zmienianie własnego hasła
Zarządzanie własnym numerem telefonu komórkowego
Zarządzanie własnym zdjęciem
Unieważnianie własnych tokenów odświeżania
Odczytywanie własnych właściwości
Odczytywanie nazwy wyświetlanej, adresu e-mail, nazwy logowania, zdjęcia, głównej nazwy użytkownika i właściwości typu użytkownika innych użytkowników i kontaktów
Zmienianie własnego hasła
Wyszukaj innego użytkownika według identyfikatora obiektu (jeśli jest to dozwolone)
Odczytywanie informacji o menedżerze i bezpośrednim raporcie innych użytkowników
Odczytywanie własnych właściwości
Zmienianie własnego hasła
Zarządzanie własnym numerem telefonu komórkowego
Grupy
Tworzenie grup zabezpieczeń
Tworzenie grup platformy Microsoft 365
Wyliczanie listy wszystkich grup
Odczytywanie wszystkich właściwości grup
Odczytywanie nieukrywanego członkostwa w grupach
Odczytywanie ukrytego członkostwa w grupach platformy Microsoft 365 dla grup przyłączonych
Zarządzanie właściwościami, własnością i członkostwem grup, których właścicielem jest użytkownik
Dodawanie gości do posiadanych grup
Zarządzanie ustawieniami członkostwa w grupie
Usuwanie posiadanych grup
Przywracanie należących do grup platformy Microsoft 365
Odczytywanie właściwości nieukrywanej grupy, w tym członkostwa i własności (nawet nieuwzględnianych grup)
Odczytywanie ukrytego członkostwa w grupach platformy Microsoft 365 dla grup przyłączonych
Wyszukaj grupy według nazwy wyświetlanej lub identyfikatora obiektu (jeśli jest to dozwolone)
Odczytywanie identyfikatora obiektu dla grup przyłączonych
Odczytywanie członkostwa i własności dołączonych grup w niektórych aplikacjach platformy Microsoft 365 (jeśli jest to dozwolone)
Aplikacje
Rejestrowanie (tworzenie) nowych aplikacji
Wyliczanie listy wszystkich aplikacji
Odczytywanie właściwości zarejestrowanych aplikacji i aplikacji dla przedsiębiorstw
Zarządzanie właściwościami, przydziałami i poświadczeniami posiadanych aplikacji
Tworzenie lub usuwanie haseł aplikacji dla użytkowników
Usuwanie posiadanych aplikacji
Przywracanie posiadanych aplikacji
Wyświetlanie listy uprawnień przyznanych aplikacjom
Odczytywanie właściwości zarejestrowanych aplikacji i aplikacji dla przedsiębiorstw
Wyświetlanie listy uprawnień przyznanych aplikacjom
Odczytywanie właściwości zarejestrowanych aplikacji i aplikacji dla przedsiębiorstw
Wyświetlanie listy uprawnień przyznanych aplikacjom
Urządzenia
Wyliczanie listy wszystkich urządzeń
Odczytywanie wszystkich właściwości urządzenia
Zarządzanie wszystkimi właściwościami posiadanych urządzeń
Brak uprawnień
Brak uprawnień
Organizacja
Odczytywanie wszystkich informacji o firmie
Odczytywanie wszystkich domen
Odczytywanie konfiguracji uwierzytelniania opartego na certyfikatach
Odczytywanie wszystkich kontraktów partnera
Odczytywanie podstawowych szczegółów organizacji wielodostępnych i aktywnych dzierżaw
Odczytywanie nazwy wyświetlanej firmy
Odczytywanie wszystkich domen
Odczytywanie konfiguracji uwierzytelniania opartego na certyfikatach
Odczytywanie nazwy wyświetlanej firmy
Odczytywanie wszystkich domen
Role i zakresy
Odczytywanie wszystkich ról administracyjnych i członkostw
Odczytywanie wszystkich właściwości i członkostw jednostek administracyjnych
Brak uprawnień
Brak uprawnień
Subskrypcje
Odczytywanie wszystkich subskrypcji licencjonowania
Włączanie członkostwa w planie usług
Brak uprawnień
Brak uprawnień
Zasady
Odczytywanie wszystkich właściwości zasad
Zarządzanie wszystkimi właściwościami zasad własności
Istnieje możliwość dodania ograniczeń do domyślnych uprawnień użytkowników.
Domyślne uprawnienia użytkowników będących członkami można ograniczyć na następujące sposoby:
Przestroga
Używanie przełącznika Ograniczanie dostępu do portalu administracyjnego firmy Microsoft Entra nie jest środkiem zabezpieczającym. Aby uzyskać więcej informacji na temat funkcji, zobacz poniższą tabelę.
Uprawnienie
Wyjaśnienie ustawienia
Rejestrowanie aplikacji
Ustawienie tej opcji na Nie uniemożliwia użytkownikom tworzenie rejestracji aplikacji. Następnie możesz przyznać możliwość powrotu do określonych osób, dodając je do roli dewelopera aplikacji.
Zezwalanie użytkownikom na łączenie konta służbowego z usługą LinkedIn
Ustawienie tej opcji na Wartość Nie uniemożliwia użytkownikom łączenie konta służbowego z kontem serwisu LinkedIn. Aby uzyskać więcej informacji, zobacz Udostępnianie i wyrażanie zgody na udostępnianie danych połączeń konta linkedin.
Ograniczanie dostępu do portalu administracyjnego firmy Microsoft Entra
Co robi ten przełącznik? Ustawienie Nie pozwala administratorom na przeglądanie portalu administracyjnego firmy Microsoft Entra. Wartość Tak uniemożliwia administratorom przeglądanie portalu administracyjnego firmy Microsoft Entra. Osoby niebędące administratorami, którzy są właścicielami grup lub aplikacji, nie mogą zarządzać zasobami należącymi do nich za pomocą witryny Azure Portal.
Czego to nie robi? Nie ogranicza ona dostępu do danych firmy Microsoft Entra przy użyciu programu PowerShell, interfejsu Microsoft GraphAPI ani innych klientów, takich jak Visual Studio. Nie ogranicza dostępu tak długo, jak użytkownik ma przypisaną rolę niestandardową (lub jakąkolwiek rolę).
Kiedy należy użyć tego przełącznika? Użyj tej opcji, aby uniemożliwić użytkownikom błędne skonfigurowanie zasobów, których są właścicielami.
Kiedy nie należy używać tego przełącznika? Nie używaj tego przełącznika jako środka zabezpieczającego. Zamiast tego utwórz zasady dostępu warunkowego przeznaczone dla interfejsu API zarządzania usługami platformy Windows Azure, które blokują dostęp nieadministratorom do interfejsu API zarządzania usługami platformy Windows Azure.
Jak mogę przyznać tylko określonym użytkownikom niebędącym administratorem możliwość korzystania z portalu administracyjnego firmy Microsoft Entra? Ustaw tę opcję na Wartość Tak, a następnie przypisz im rolę, taką jak czytelnik globalny.
Ograniczanie dostępu do portalu administracyjnego firmy Microsoft Entra Zasady dostępu warunkowego przeznaczone dla interfejsu API zarządzania usługami platformy Windows Azure są przeznaczone dla wszystkich funkcji zarządzania platformą Azure.
Ograniczanie użytkowników niebędących administratorami przed tworzeniem dzierżaw
Użytkownicy mogą tworzyć dzierżawy w portalu administracyjnym Microsoft Entra ID i Microsoft Entra w obszarze Zarządzanie dzierżawą. Tworzenie dzierżawy jest rejestrowane w dzienniku inspekcji jako kategoria KatalogZarządzanie i działanie Tworzenie firmy. Każdy, kto tworzy dzierżawę, staje się administratorem globalnym tej dzierżawy. Nowo utworzona dzierżawa nie dziedziczy żadnych ustawień ani konfiguracji.
Co robi ten przełącznik? Ustawienie tej opcji na Wartość Tak ogranicza tworzenie dzierżaw firmy Microsoft Entra do wszystkich przypisanych co najmniej roli twórcy dzierżawy . Ustawienie tej opcji na Nie umożliwia użytkownikom niebędącym administratorem tworzenie dzierżaw firmy Microsoft Entra. Tworzenie dzierżawy jest nadal rejestrowane w dzienniku inspekcji.
Jak mogę przyznać tylko określonym użytkownikom niebędącym administratorem możliwość tworzenia nowych dzierżaw? Ustaw tę opcję na Wartość Tak, a następnie przypisz im rolę Twórca dzierżawy .
Ograniczanie użytkownikom możliwości odzyskiwania kluczy funkcji BitLocker dla urządzeń należących do użytkownika
To ustawienie można znaleźć w centrum administracyjnym firmy Microsoft Entra w obszarze Ustawienia urządzenia. Ustawienie tej opcji na Wartość Tak uniemożliwia użytkownikom samoobsługowe odzyskiwanie kluczy funkcji BitLocker dla urządzeń należących do użytkownika. Aby pobrać klucze funkcji BitLocker, użytkownicy muszą skontaktować się z pomocą techniczną organizacji. Ustawienie tej opcji na Wartość Nie umożliwia użytkownikom odzyskanie ich kluczy funkcji BitLocker.
Odczytywanie innych użytkowników
To ustawienie jest dostępne tylko w programie Microsoft Graph i programie PowerShell. Ustawienie tej flagi w taki sposób, aby $false uniemożliwić wszystkim administratorom odczytywanie informacji o użytkowniku z katalogu. Ta flaga może uniemożliwić odczytywanie informacji o użytkowniku w innych usługi firmy Microsoft, takich jak Microsoft Teams.
To ustawienie jest przeznaczone dla szczególnych okoliczności, dlatego nie zalecamy ustawienia flagi na $false.
Na poniższym zrzucie ekranu pokazano opcję Użytkownicy niebędący administratorami z ograniczeniami podczas tworzenia dzierżaw .
Możesz ograniczyć uprawnienia domyślne dla użytkowników-gości w następujący sposób.
Uwaga
Ustawienie Ograniczenia dostępu użytkowników-gości zastąpione uprawnieniami użytkowników-gości jest ograniczone . Aby uzyskać wskazówki dotyczące korzystania z tej funkcji, zobacz Ograniczanie uprawnień dostępu gościa w identyfikatorze Entra firmy Microsoft.
Uprawnienie
Wyjaśnienie ustawienia
Ograniczenia dostępu użytkowników-gości
Ustawienie tej opcji dla użytkowników-gości ma taki sam dostęp, jak członkowie domyślnie przyznaje wszystkim członkom uprawnienia użytkowników-gości.
Ustawienie tej opcji na dostęp użytkownika-gościa jest ograniczone do właściwości i członkostwa w ich własnych obiektach katalogu ogranicza dostęp gościa tylko do własnego profilu użytkownika domyślnie. Dostęp do innych użytkowników nie jest już dozwolony, nawet w przypadku wyszukiwania według głównej nazwy użytkownika, identyfikatora obiektu lub nazwy wyświetlanej. Dostęp do informacji o grupach, w tym członkostw w grupach, również nie jest już dozwolony.
To ustawienie nie uniemożliwia dostępu do dołączonych grup w niektórych usługach platformy Microsoft 365, takich jak Microsoft Teams. Aby dowiedzieć się więcej, zobacz Dostęp gościa usługi Microsoft Teams.
Użytkownicy-goście mogą nadal być dodawani do ról administratorów niezależnie od tego ustawienia uprawnień.
Goście mogą zapraszać
Ustawienie tej opcji na Wartość Tak umożliwia gościom zapraszanie innych gości. Aby dowiedzieć się więcej, zobacz Konfigurowanie ustawień współpracy zewnętrznej.
Własność obiektu
Uprawnienia właściciela przy rejestracji aplikacji
Gdy użytkownik zarejestruje aplikację, zostanie automatycznie dodany jako właściciel aplikacji. Jako właściciel może zarządzać metadanymi aplikacji, takimi jak nazwa i uprawnienia, które aplikacja żąda. Mogą również zarządzać konfiguracją aplikacji specyficzną dla dzierżawy, taką jak konfiguracja logowania jednokrotnego i przypisania użytkowników.
Właściciel może również dodawać i usuwać innych właścicieli. W przeciwieństwie do tych użytkowników, którym przypisano co najmniej rolę Administratora aplikacji, właściciele mogą zarządzać tylko aplikacjami, których są właścicielami.
Uprawnienia właściciela aplikacji dla przedsiębiorstw
Gdy użytkownik doda nową aplikację dla przedsiębiorstw, zostanie automatycznie dodany jako właściciel. Jako właściciel może zarządzać konfiguracją aplikacji specyficzną dla dzierżawy, na przykład konfiguracją logowania jednokrotnego, aprowizowaniem i przypisaniami użytkowników.
Właściciel może również dodawać i usuwać innych właścicieli. W przeciwieństwie do tych użytkowników, którym przypisano co najmniej rolę Administratora aplikacji, właściciele mogą zarządzać tylko aplikacjami, których są właścicielami.
Uprawnienia właściciela grupy
Gdy użytkownik utworzy grupę, zostanie automatycznie dodany jako właściciel tej grupy. Jako właściciel może zarządzać właściwościami grupy (na przykład nazwą) i zarządzać członkostwem w grupach.
Właściciel może również dodawać i usuwać innych właścicieli. W przeciwieństwie do tych użytkowników, którym przypisano co najmniej rolę Administrator grup, właściciele mogą zarządzać tylko grupami, których są właścicielami, i mogą dodawać lub usuwać członków grupy tylko wtedy, gdy typ członkostwa grupy ma wartość Przypisane.
Aby dowiedzieć się, jak przypisać właściciela grupy, zobacz Managing owners for a group (Zarządzanie właścicielami grupy).
Aby użyć usługi Privileged Access Management (PIM), aby utworzyć grupę kwalifikującą się do przypisania roli, zobacz Zarządzanie przypisaniami ról za pomocą grup Firmy Microsoft Entra.
Uprawnienia własności
W poniższych tabelach opisano określone uprawnienia w identyfikatorze Entra firmy Microsoft, które użytkownicy będący członkami mają obiekty należące do użytkownika. Użytkownicy mają te uprawnienia tylko w obiektach, których są właścicielami.
Rejestracje aplikacji należącej do firmy
Użytkownicy mogą wykonywać następujące akcje dotyczące rejestracji aplikacji należących do użytkownika:
Akcja
Opis
microsoft.directory/applications/audience/update
applications.audience Zaktualizuj właściwość w identyfikatorze Entra firmy Microsoft.
applications.permissions Zaktualizuj właściwość w identyfikatorze Entra firmy Microsoft.
microsoft.directory/applications/policies/update
applications.policies Zaktualizuj właściwość w identyfikatorze Entra firmy Microsoft.
microsoft.directory/applications/restore
Przywracanie aplikacji w identyfikatorze Entra firmy Microsoft.
Należące do firmy aplikacje dla przedsiębiorstw
Użytkownicy mogą wykonywać następujące akcje dla należących do nich aplikacji dla przedsiębiorstw. Aplikacja dla przedsiębiorstw składa się z jednostki usługi, co najmniej jednej zasady aplikacji, a czasami obiektu aplikacji w tej samej dzierżawie co jednostka usługi.
Akcja
Opis
microsoft.directory/auditLogs/allProperties/read
Odczytywanie wszystkich właściwości (w tym właściwości uprzywilejowanych) w dziennikach inspekcji w usłudze Microsoft Entra ID.
microsoft.directory/policies/basic/update
Zaktualizuj podstawowe właściwości zasad w identyfikatorze Entra firmy Microsoft.
microsoft.directory/policies/delete
Usuń zasady w identyfikatorze Entra firmy Microsoft.
microsoft.directory/policies/owner/update
policies.owners Zaktualizuj właściwość w identyfikatorze Entra firmy Microsoft.