Permissões de usuário padrão em locatários externos
Aplica-se a:
Locatários da força de
trabalho Locatários externos (saiba mais)
Um locatário do Microsoft Entra em uma configuração externa é usado exclusivamente para cenários de ID Externa do Microsoft Entra. Um locatário externo fornece uma separação clara entre o diretório da força de trabalho corporativa e o diretório de aplicativos voltado para o cliente. Além disso, os usuários criados em seu locatário externo são impedidos de acessar informações sobre outros usuários no locatário externo. Por padrão, os clientes não podem acessar informações sobre outros usuários, grupos ou dispositivos.
Um locatário externo pode conter os seguintes tipos de usuário:
Os utilizadores externos são consumidores e clientes empresariais das aplicações registadas no seu inquilino externo. Eles têm uma conta local, mas autenticam externamente. Os usuários externos estão limitados às permissões de usuário padrão e não podem receber funções. Eles geralmente são criados por meio de inscrição de autoatendimento, mas você pode criá-los com a opção Criar novo usuário externo no centro de administração do Microsoft Entra ou com o Microsoft Graph.
Os usuários internos são usuários (normalmente administradores) que se autenticam internamente e atribuíram funções do Microsoft Entra em seu locatário externo. Se você não atribuir uma função, eles terão permissões de usuário padrão. Você pode criar usuários internos com a opção Criar novo usuário no centro de administração ou com o Microsoft Graph.
Os usuários convidados são usuários (normalmente administradores) que entram com suas próprias credenciais externas e atribuíram funções do Microsoft Entra em seu locatário externo. Se você não atribuir uma função, eles terão permissões de usuário padrão. Você pode convidar usuários com a opção Convidar usuário externo no centro de administração ou com o Microsoft Graph.
Permissões padrão
A tabela a seguir descreve as permissões padrão atribuídas a um usuário em um locatário externo, incluindo:
- Usuários que usam a inscrição de autoatendimento
- Usuários criados por administradores
- Utilizadores convidados
| Área | Permissões de usuário do cliente |
|---|---|
| Utilizadores e contactos | - Leia e atualize seu próprio perfil através da experiência de gerenciamento de perfil do aplicativo - Alterar a sua própria palavra-passe - Inicie sessão com uma conta local ou social |
| Aplicações | - Aceder a aplicações - Revogar o consentimento para pedidos |
APIs e permissões do Microsoft Graph
A tabela a seguir indica as operações de API que permitem que os clientes gerenciem suas informações de perfil. O ID de usuário ou userPrincipalName é sempre do usuário conectado.
| Operação do usuário | Operação da API | Permissões necessárias |
|---|---|---|
| Ler perfil | GET /me ou GET /users/{id ou userPrincipalName} | Usuário.Read |
| Atualizar perfil | PATCH /me ou PATCH /users/{id ou userPrincipalName} As seguintes propriedades são atualizáveis: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, sobrenome e preferredLanguage |
Usuário.ReadWrite |
| Alterar palavra-passe | POST /me/changePassword | Directory.AccessAsUser.All |