Каковы разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

Статья
08/23/2024

В идентификаторе Microsoft Entra все пользователи получают набор разрешений по умолчанию. Доступ пользователя состоит из типа пользователя, назначения ролей и их владения отдельными объектами.

В этой статье описаны разрешения по умолчанию и сравниваются значения по умолчанию для участников и гостевых пользователей. Разрешения пользователей по умолчанию можно изменить только в параметрах пользователя в идентификаторе Microsoft Entra.

Участники и гостевые пользователи

Набор разрешений по умолчанию зависит от того, является ли пользователь собственным членом клиента (пользователя-участника) или передан из другого каталога, например гостевого пользователя для совместной работы (B2B). Дополнительные сведения о добавлении гостевых пользователей см. в статье "Что такое совместная работа Microsoft Entra B2B?". Ниже приведены возможности разрешений по умолчанию:

Пользователи-члены могут регистрировать приложения, управлять собственными фото профиля и номером мобильного телефона, изменять свой пароль и приглашать гостей B2B. Эти пользователи также могут считывать все сведения о каталоге (с несколькими исключениями).
Гостевые пользователи имеют ограниченные разрешения на каталог. Они могут управлять собственным профилем, изменять свой пароль и получать некоторые сведения о других пользователях, группах и приложениях. Однако они не могут считывать все сведения о каталоге.

Например, гостевые пользователи не могут перечислять список всех пользователей, групп и других объектов каталога. Гости могут быть добавлены в роли администратора, которые предоставляют им полные разрешения на чтение и запись. Гости также могут пригласить других гостей.

Сравнение разрешений участника и гостя по умолчанию

Площадь	Разрешения пользователя участника	Разрешения гостевых пользователей по умолчанию	Разрешения ограниченного гостевого пользователя
Пользователи и контакты	Перечисление списка всех пользователей и контактов Чтение всех общедоступных свойств пользователей и контактов Приглашение гостей Изменение собственного пароля Управление собственным номером мобильного телефона Управление собственной фотографией Недопустимые собственные маркеры обновления	Чтение собственных свойств Чтение отображаемого имени, электронной почты, имени входа, фотографии, имени участника-пользователя и свойств типа пользователя других пользователей и контактов Изменение собственного пароля Поиск другого пользователя по идентификатору объекта (если разрешено) Чтение сведений о диспетчере и прямом отчете других пользователей	Чтение собственных свойств Изменение собственного пароля Управление собственным номером мобильного телефона
Группы	Создание групп безопасности Создание групп Microsoft 365 Перечисление списка всех групп Чтение всех свойств групп Чтение членства в нехиддированных группах Чтение скрытого членства в группах Microsoft 365 для присоединенных групп Управление свойствами, владением и членством в группах, которым владеет пользователь Добавление гостей в принадлежащие группы Управление параметрами членства в группах Удаление принадлежащих групп Восстановление групп Microsoft 365	Чтение свойств нехидированных групп, включая членство и владение (даже несоединяемые группы) Чтение скрытого членства в группах Microsoft 365 для присоединенных групп Поиск групп по отображаемого имени или идентификатору объекта (если разрешено)	Чтение идентификатора объекта для присоединенных групп Чтение членства и владения присоединенными группами в некоторых приложениях Microsoft 365 (если разрешено)
Приложений	Регистрация (создание) новых приложений Перечисление списка всех приложений Чтение свойств зарегистрированных и корпоративных приложений Управление свойствами приложения, назначениями и учетными данными для собственных приложений Создание или удаление паролей приложений для пользователей Удаление собственных приложений Восстановление принадлежащих приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям
Приборы	Перечисление списка всех устройств Чтение всех свойств устройств Управление всеми свойствами собственных устройств	Нет разрешений	Нет разрешений
Организация	Чтение всех сведений о компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов Чтение всех контрактов партнера Чтение основных сведений о мультитенантной организации и активных клиентах	Чтение отображаемого имени компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов	Чтение отображаемого имени компании Чтение всех доменов
Роли и области	Чтение всех административных ролей и членства Чтение всех свойств и членства в административных единицах	Нет разрешений	Нет разрешений
Подписки	Чтение всех подписок на лицензирование Включение членства в плане обслуживания	Нет разрешений	Нет разрешений
Политики	Чтение всех свойств политик Управление всеми свойствами собственных политик	Нет разрешений	Нет разрешений

Ограничение разрешений пользователей-участников по умолчанию

Можно добавить ограничения для разрешений пользователей по умолчанию.

Разрешения по умолчанию для пользователей-участников можно ограничить следующими способами:

Осторожность

Использование параметра "Ограничить доступ к порталу администрирования Microsoft Entra" не является мерой безопасности. Дополнительные сведения о функциональных возможностях см. в следующей таблице.

Разрешение	Описание настройки
Регистрация приложений	Если этот параметр задано значение "Нет", пользователи не могут создавать регистрации приложений. Затем вы можете предоставить возможность отдельным лицам, добавив их в роль разработчика приложений.
Разрешить пользователям подключать рабочую или учебную учетную запись с помощью LinkedIn	Если этот параметр задано значение "Нет" , пользователи не могут подключать рабочую или учебную учетную запись с помощью учетной записи LinkedIn. Дополнительные сведения см. в разделе "Подключение к данным учетной записи LinkedIn" и "Согласие".
Создание групп безопасности	Если этот параметр задано значение "Нет", пользователи не могут создавать группы безопасности. Эти пользователи, которым назначена по крайней мере роль "Администраторы пользователей", по-прежнему могут создавать группы безопасности. Сведения о том, как можно узнать, см . в командлетах Microsoft Entra для настройки параметров группы.
Создание групп Microsoft 365	Если этот параметр задано значение "Нет" , пользователи не могут создавать группы Microsoft 365. Этот параметр имеет значение "Некоторые" позволяет набору пользователей создавать группы Microsoft 365. Любой пользователь, которому назначена по крайней мере роль администратора пользователей, по-прежнему может создавать группы Microsoft 365. Сведения о том, как можно узнать, см . в командлетах Microsoft Entra для настройки параметров группы.
Ограничение доступа к порталу администрирования Microsoft Entra	Что такое переключение? Не позволяет неадминистраторам просматривать портал администрирования Microsoft Entra. Да ограничивает использование неадминистраторов на портале администрирования Microsoft Entra. Неадминистаторы, являющиеся владельцами групп или приложений, не могут использовать портал Azure для управления собственными ресурсами. Что это не делает? Он не ограничивает доступ к данным Microsoft Entra с помощью PowerShell, Microsoft GraphAPI или других клиентов, таких как Visual Studio. Он не ограничивает доступ до тех пор, пока пользователю назначена пользовательская роль (или любая роль). Когда следует использовать этот переключатель? Используйте этот параметр, чтобы запретить пользователям неправильно настроить ресурсы, принадлежащие им. Когда не следует использовать этот переключатель? Не используйте этот параметр в качестве меры безопасности. Вместо этого создайте политику условного доступа, предназначенную для API управления службами Windows Azure, которая блокирует доступ неадминистраторов к API управления службами Windows Azure. Разделы справки предоставить только определенным пользователям, не администраторам, возможность использовать портал администрирования Microsoft Entra? Задайте для этого параметра значение "Да", а затем назначьте им роль, например глобальный читатель. Ограничение доступа к порталу администрирования Microsoft Entra Политика условного доступа, предназначенная для API управления службами Windows Azure, предназначена для доступа ко всем службам управления Azure.
Ограничение пользователей, не являющихся администраторами, от создания клиентов	Пользователи могут создавать арендаторы на портале администрирования Microsoft Entra в разделе "Управление клиентом". Создание клиента записывается в журнал аудита как категория DirectoryManagement и действие Create Company. Любой, кто создает клиент, становится глобальным администратором этого клиента. Только что созданный клиент не наследует никакие параметры или конфигурации. Что такое переключение? Если этот параметр задано значение "Да" , создание клиентов Microsoft Entra ограничивается всем, кому назначена по крайней мере роль создателя клиента. Если этот параметр задан, параметр "Нет", пользователи, не являющиеся администраторами, могут создавать клиенты Microsoft Entra. Создание клиента продолжает записываться в журнал аудита. Разделы справки предоставить только определенным пользователям, не являющихся администраторами, возможность создавать новые клиенты? Задайте для этого параметра значение "Да", а затем назначьте им роль создателя клиента.
Ограничение пользователям восстановления ключей BitLocker для собственных устройств	Этот параметр можно найти в Центре администрирования Microsoft Entra в параметрах устройства. Если этот параметр задано значение "Да" , пользователи смогут самостоятельно восстановить ключи BitLocker для своих собственных устройств. Чтобы получить ключи BitLocker, пользователи должны обратиться в службу технической поддержки своей организации. Если этот параметр задано значение "Нет ", пользователи могут восстановить ключи BitLocker.
Чтение других пользователей	Этот параметр доступен только в Microsoft Graph и PowerShell. Установка этого флага, чтобы `$false` запретить всем неадминилям читать сведения о пользователях из каталога. Этот флаг может предотвратить чтение сведений о пользователях в других службы Майкрософт таких как Microsoft Teams. Этот параметр предназначен для особых обстоятельств, поэтому не рекомендуется задавать флаг `$false`.

На следующем снимке экрана показан параметр "Ограниченные пользователи, не являющиеся администраторами " для создания клиентов.

Ограничение разрешений гостевых пользователей по умолчанию

Разрешения по умолчанию для гостевых пользователей можно ограничить следующими способами.

Заметка

Параметр ограничений доступа гостевых пользователей заменил разрешения гостевых пользователей ограниченными параметрами. Инструкции по использованию этой функции см. в разделе "Ограничение разрешений гостевого доступа" в идентификаторе Microsoft Entra.

Разрешение	Описание настройки
Ограничения доступа гостевых пользователей	При настройке этого параметра гостевым пользователям предоставляется тот же доступ, что и члены , предоставляют всем пользователям-участникам разрешения гостевым пользователям по умолчанию. Установка этого параметра для гостевого доступа пользователей ограничена свойствами и членством в своих собственных объектах каталога, ограничивает гостевой доступ только к собственному профилю пользователя по умолчанию. Доступ к другим пользователям больше не разрешен, даже если он выполняет поиск по имени участника-пользователя, идентификатору объекта или отображаемого имени. Доступ к сведениям о группах, включая членство в группах, больше не разрешен. Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье о гостевом доступе Microsoft Teams. Гостевые пользователи по-прежнему могут добавляться к ролям администратора независимо от этого параметра разрешений.
Гости могут пригласить	Параметр "Да" позволяет гостям приглашать других гостей. Дополнительные сведения см. в разделе "Настройка параметров внешней совместной работы".

Разрешение

Описание настройки

Ограничения доступа гостевых пользователей

При настройке этого параметра гостевым пользователям предоставляется тот же доступ, что и члены , предоставляют всем пользователям-участникам разрешения гостевым пользователям по умолчанию.

Установка этого параметра для гостевого доступа пользователей ограничена свойствами и членством в своих собственных объектах каталога, ограничивает гостевой доступ только к собственному профилю пользователя по умолчанию. Доступ к другим пользователям больше не разрешен, даже если он выполняет поиск по имени участника-пользователя, идентификатору объекта или отображаемого имени. Доступ к сведениям о группах, включая членство в группах, больше не разрешен.

Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье о гостевом доступе Microsoft Teams.

Гостевые пользователи по-прежнему могут добавляться к ролям администратора независимо от этого параметра разрешений.

Гости могут пригласить

Параметр "Да" позволяет гостям приглашать других гостей. Дополнительные сведения см. в разделе "Настройка параметров внешней совместной работы".

Владение объектами

Разрешения владельца регистрации приложения

Когда пользователь регистрирует приложение, он автоматически добавляется в качестве владельца приложения. Как владелец, он может управлять метаданными приложения, такими как имя и разрешения, запрашиваемые приложением. Они также могут управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа (SSO) и назначениями пользователей.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора приложений, владельцы могут управлять только собственными приложениями.

Разрешения владельца корпоративного приложения

Когда пользователь добавляет новое корпоративное приложение, он автоматически добавляется в качестве владельца. Как владелец, он может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа, подготовкой и назначениями пользователей.

Разрешения владельца группы

Когда пользователь создает группу, он автоматически добавляется в качестве владельца для этой группы. В качестве владельца они могут управлять свойствами группы (например, именем) и управлять членством в группах.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора групп, владельцы могут управлять только теми группами, которыми они владеет, и могут добавлять или удалять участников группы только в том случае, если назначен тип членства в группе.

Чтобы назначить владельца группы, см. статью "Управление владельцами для группы".

Сведения об использовании управления привилегированным доступом (PIM) для создания группы, подходящей для назначения ролей, см. в статье "Использование групп Microsoft Entra для управления назначениями ролей".

Разрешения владения

В следующих таблицах описываются определенные разрешения в идентификаторе Microsoft Entra, которые пользователи-члены имеют над собственными объектами. У пользователей есть эти разрешения только для объектов, принадлежащих им.

Регистрация принадлежащих приложений

Пользователи могут выполнять следующие действия при регистрации собственных приложений:

Действие	Описание
microsoft.directory/applications/audience/update	`applications.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/authentication/update	`applications.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/basic/update	Обновите базовые свойства приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/credentials/update	`applications.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/delete	Удаление приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/owners/update	`applications.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/permissions/update	`applications.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/policies/update	`applications.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/restore	Восстановление приложений в идентификаторе Microsoft Entra.

Корпоративные приложения

Пользователи могут выполнять следующие действия в корпоративных приложениях. Корпоративное приложение состоит из субъекта-службы, одной или нескольких политик приложений, а иногда и объекта приложения в том же клиенте, что и субъект-служба.

Действие	Описание
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в журналах аудита в идентификаторе Microsoft Entra.
microsoft.directory/policies/basic/update	Обновите базовые свойства политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/delete	Удаление политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/owners/update	`policies.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	`servicePrincipals.appRoleAssignedTo` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update	`users.appRoleAssignments` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/audience/update	`servicePrincipals.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/update	`servicePrincipals.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update	Обновите базовые свойства субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/credentials/update	`servicePrincipals.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update	`servicePrincipals.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update	`servicePrincipals.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/policies/update	`servicePrincipals.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в отчетах о входе в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление секретами и учетными данными подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки, связанных с субъектом-службой

Принадлежащие устройства

Пользователи могут выполнять следующие действия на собственных устройствах:

Действие	Описание
microsoft.directory/devices/bitLockerRecoveryKeys/read	Чтение свойства в идентификаторе `devices.bitLockerRecoveryKeys` Microsoft Entra.
microsoft.directory/devices/disable	Отключите устройства в идентификаторе Microsoft Entra.

Принадлежащие группы

Пользователи могут выполнять следующие действия на собственных группах.