Udostępnij za pośrednictwem


Ograniczanie uprawnień dostępu gościa w identyfikatorze Entra firmy Microsoft

Microsoft Entra ID, część firmy Microsoft Entra, umożliwia ograniczenie tego, co zewnętrzni użytkownicy-goście mogą zobaczyć w swojej organizacji w usłudze Microsoft Entra ID. Użytkownicy-goście są domyślnie ustawiani na ograniczony poziom uprawnień w usłudze Microsoft Entra ID, a ustawieniem domyślnym dla użytkowników członkowskich jest pełny zestaw uprawnień użytkownika. Istnieje inny poziom uprawnień użytkownika-gościa w ustawieniach współpracy zewnętrznej organizacji firmy Microsoft Entra w celu uzyskania jeszcze bardziej ograniczonego dostępu, dzięki czemu poziomy dostępu gościa są następujące:

Poziom uprawnień Poziom dostępu Wartość
Taki sam jak użytkowników będących członkami Goście mają ten sam dostęp do zasobów firmy Microsoft Entra co użytkownicy będący członkami a0b1b346-4d3e-4e8b-98f8-753987be4970
Dostęp limitowany (domyślnie) Goście mogą zobaczyć członkostwo wszystkich nieukrytych grup 10dae51f-b6af-4016-8d66-8c2a99b929b3
Ograniczony dostęp (nowy) Goście nie widzą członkostwa w żadnych grupach 2af84b1e-32c8-42b7-82bc-daa82404023b

Gdy dostęp gościa jest ograniczony, goście mogą wyświetlać tylko własny profil użytkownika. Uprawnienie do wyświetlania innych użytkowników nie jest dozwolone, nawet jeśli gość wyszukuje główną nazwę użytkownika lub identyfikator obiektu. Ograniczony dostęp nie pozwala również użytkownikom-gościom wyświetlać członkostwa w grupach, w których się znajdują. Aby uzyskać więcej informacji na temat ogólnych domyślnych uprawnień użytkownika, w tym uprawnień użytkownika-gościa, zobacz What are the default user permissions in Microsoft Entra ID? (Jakie są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?).

Aktualizowanie w witrynie Azure Portal

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wprowadziliśmy zmiany w istniejących kontrolkach witryny Azure Portal dla uprawnień użytkowników-gości.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.

  2. Wybierz pozycję Tożsamości>zewnętrzne tożsamości.

  3. Wybierz pozycję Ustawienia współpracy zewnętrznej.

  4. Na stronie Ustawienia współpracy zewnętrznej wybierz opcję Dostęp użytkownika-gościa jest ograniczony do właściwości i członkostwa w ich własnych obiektach katalogu.

    Zrzut ekranu przedstawiający stronę ustawień współpracy zewnętrznej firmy Microsoft.

  5. Wybierz pozycję Zapisz. Wprowadzenie zmian może potrwać do 15 minut dla użytkowników-gości.

Aktualizowanie za pomocą interfejsu API programu Microsoft Graph

Dodaliśmy nowy interfejs API programu Microsoft Graph do konfigurowania uprawnień gościa w organizacji firmy Microsoft Entra. Następujące wywołania interfejsu API można wykonać w celu przypisania dowolnego poziomu uprawnień. Wartość guestUserRoleId użyta tutaj jest zilustrować najbardziej ograniczone ustawienie użytkownika-gościa. Aby uzyskać więcej informacji na temat ustawiania uprawnień gościa przy użyciu programu Microsoft Graph, zobacz authorizationPolicy typ zasobu.

Konfigurowanie po raz pierwszy

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Odpowiedź powinna mieć wartość Powodzenie 204.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Aktualizowanie istniejącej wartości

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Odpowiedź powinna mieć wartość Powodzenie 204.

Wyświetlanie bieżącej wartości

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Przykładowa odpowiedź:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Aktualizowanie za pomocą poleceń cmdlet programu PowerShell

Dzięki tej funkcji dodaliśmy możliwość konfigurowania ograniczonych uprawnień za pomocą poleceń cmdlet programu PowerShell w wersji 2. Polecenia cmdlet get i Update programu PowerShell zostały opublikowane w wersji 2.0.2.85.

Pobierz polecenie: Get-MgPolicyAuthorizationPolicy

Przykład:

Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Polecenie aktualizacji: Update-MgPolicyAuthorizationPolicy

Przykład:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Obsługiwane usługi Platformy Microsoft 365

Obsługiwane usługi

Dzięki wspieraniu oznaczamy, że środowisko jest zgodnie z oczekiwaniami; w szczególności, że jest to samo co bieżące środowisko gościa.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Planner w aplikacji Teams
  • Aplikacja mobilna Planner
  • Aplikacja internetowa Planner
  • Project dla sieci Web
  • Operacje projektu

Obecnie usługi nie są obsługiwane

Usługa bez bieżącej pomocy technicznej może mieć problemy ze zgodnością z nowym ustawieniem ograniczeń gościa.

  • Formularze
  • Project Online
  • Yammer
  • Planner w programie SharePoint

Często zadawane pytania

Pytanie Odpowiedź
Gdzie mają zastosowanie te uprawnienia? Te uprawnienia na poziomie katalogu są wymuszane w usługach Firmy Microsoft Entra, w tym w programie Microsoft Graph, programie PowerShell w wersji 2, witrynie Azure Portal i portalu Moje aplikacje. Usługi platformy Microsoft 365 korzystające z grup platformy Microsoft 365 na potrzeby scenariuszy współpracy również mają wpływ na programy Outlook, Microsoft Teams i SharePoint.
Jak ograniczone uprawnienia mają wpływ na to, które grupy mogą zobaczyć goście? Niezależnie od domyślnych lub ograniczonych uprawnień gościa goście nie mogą wyliczać listy grup ani użytkowników. Goście mogą wyświetlać grupy, których członkowie należą zarówno w witrynie Azure Portal, jak i w portalu Moje aplikacje w zależności od uprawnień:
  • Uprawnienia domyślne: aby znaleźć grupy, których należą do grupy w witrynie Azure Portal, gość musi wyszukać identyfikator obiektu na liście Wszyscy użytkownicy , a następnie wybrać pozycję Grupy. W tym miejscu mogą zobaczyć listę grup, których są członkami, w tym wszystkie szczegóły grupy, w tym nazwę, adres e-mail itd. W portalu Moje aplikacje mogą zobaczyć listę grup, których należą, i grup, w których się znajdują.
  • Ograniczone uprawnienia gościa: w witrynie Azure Portal mogą znaleźć listę grup, w których się znajdują, wyszukując identyfikator obiektu na liście Wszyscy użytkownicy , a następnie wybierając pozycję Grupy. Mogą wyświetlać tylko ograniczone szczegóły dotyczące grupy, w szczególności identyfikator obiektu. Zgodnie z projektem kolumny Name (Nazwa) i Email (Adres e-mail) są puste, a typ grupy jest nierozpoznany. W portalu Moje aplikacje nie mogą uzyskać dostępu do listy grup, których są właścicielami lub grupami, do których należą.

Aby uzyskać bardziej szczegółowe porównanie uprawnień katalogu pochodzących z interfejsu API programu Graph, zobacz Domyślne uprawnienia użytkownika.
Które części portalu Moje aplikacje będą mieć wpływ na tę funkcję? Funkcje grup w portalu Moje aplikacje będą honorować te nowe uprawnienia. Ta funkcja obejmuje wszystkie ścieżki do wyświetlania listy grup i członkostwa w grupach w Moje aplikacje. Nie wprowadzono żadnych zmian w dostępności kafelka grupy. Dostępność kafelka grupy jest nadal kontrolowana przez istniejące ustawienie grupy w witrynie Azure Portal.
Czy te uprawnienia zastępują ustawienia gości programu SharePoint lub Microsoft Teams? L.p. Te istniejące ustawienia nadal kontrolują środowisko i dostęp w tych aplikacjach. Jeśli na przykład występują problemy w programie SharePoint, sprawdź dokładnie ustawienia udostępniania zewnętrznego. Goście dodani przez właścicieli zespołu na poziomie zespołu mają dostęp do kanału czatu konferencyjnego tylko dla standardowych kanałów, z wyłączeniem jakichkolwiek kanałów prywatnych i udostępnionych.
Jakie są znane problemy ze zgodnością w usłudze Yammer? Jeśli uprawnienia są ustawione na "ograniczone", goście zalogowani do usługi Yammer nie będą mogli opuścić grupy.
Czy moje istniejące uprawnienia gościa zostaną zmienione w mojej dzierżawie? Nie wprowadzono żadnych zmian w bieżących ustawieniach. Zachowamy zgodność z poprzednimi wersjami z istniejącymi ustawieniami. Decydujesz, kiedy chcesz wprowadzić zmiany.
Czy te uprawnienia zostaną ustawione domyślnie? L.p. Istniejące uprawnienia domyślne pozostają niezmienione. Opcjonalnie można ustawić uprawnienia jako bardziej restrykcyjne.
Czy istnieją jakieś wymagania licencyjne dotyczące tej funkcji? Nie, nie ma żadnych nowych wymagań dotyczących licencjonowania z tą funkcją.

Następne kroki