Каковы разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

Статья
10/24/2023

В идентификаторе Microsoft Entra все пользователи получают набор разрешений по умолчанию. Доступ пользователя зависит от типа пользователя, назначений ролей и владения отдельными объектами.

В этой статье описываются эти разрешения по умолчанию и содержится сравнение значений по умолчанию для участников и гостевых пользователей. Разрешения пользователей по умолчанию можно изменить только в параметрах пользователя в идентификаторе Microsoft Entra.

Участники и гостевые пользователи

Набор разрешений по умолчанию зависит от того, является ли пользователь собственным членом клиента (пользователь-участник) или пользователь перенесен из другого каталога в качестве гостя (пользователь-гость) в рамках совместной работы (B2B). Дополнительные сведения о добавлении гостевых пользователей см. в статье "Что такое совместная работа Microsoft Entra B2B?". Ниже приведены возможности разрешений по умолчанию.

Пользователи-участники могут регистрировать приложения, управлять фотографией собственного профиля и мобильным номером, изменять пароль и приглашать гостей B2B. Эти пользователи также могут считывать все данные каталога (с некоторыми исключениями).
Гостевые пользователи имеют ограниченные разрешения каталога. Они могут управлять собственным профилем, изменять свой пароль и получать сведения о других пользователях, группах и приложениях. Однако они не могут читать все данные каталога.

Например, гостевые пользователи не могут получить список всех пользователей, групп и других объектов каталога. Гостей можно добавить в роли администраторов, которые предоставят им полные разрешения на чтение и запись. Гости также могут приглашать других гостей.

Сравнение стандартных разрешений участника и гостя

Область	Разрешения участника	Стандартные разрешения гостевого пользователя	Ограниченные разрешения гостевого пользователя
Пользователи и контакты	Перечисление всех пользователей и контактов в списке Чтение всех открытых свойств пользователей и контактов Приглашение гостей Изменение собственного пароля Управление собственным номером мобильного телефона Управление собственной фотографией Аннуляция собственных токенов обновления	Чтение собственных свойств Чтение отображаемого имени, электронной почты, имени для входа, просмотр изображения, чтение имени участника-пользователя и свойств типа пользователя для других пользователей и контактов Изменение собственного пароля Поиск другого пользователя по идентификатору объекта (если разрешено) Чтение сведений о руководителе и подчиненных других пользователей	Чтение собственных свойств Изменение собственного пароля Управление собственным номером мобильного телефона
Группы	Создание групп безопасности Создание групп Microsoft 365 Перечисление всех групп в списке Чтение всех свойств групп Чтение не скрытого членства в группах Чтение скрытых членств в группах Microsoft 365 для объединенных групп Управление свойствами, правами владения и членством в группах, которые принадлежат пользователю Добавление гостей в собственные группы Управление параметрами динамического членства Удаление собственных групп Восстановление собственных групп Microsoft 365	Чтение свойств не скрытых групп, в том числе данных о членстве и владении (даже для неприсоединенных групп) Чтение скрытых членств в группах Microsoft 365 для объединенных групп Поиск групп по отображаемому имени или идентификатору объекта (если разрешено)	Чтение идентификатора объекта для объединенных групп Чтение данных о членстве и владении для объединенных групп в некоторых приложениях Microsoft 365 (если разрешено)
Приложения	Регистрация (создание) приложений Перечисление всех приложений в списке Чтение свойств зарегистрированных и корпоративных приложений Управление свойствами приложения, назначениями и учетными данными собственных приложений Создание или удаление паролей приложений для пользователей Удаление собственных приложений Восстановление собственных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям
.	Перечисление всех устройств в списке Чтение всех свойств устройств Управление всеми свойствами собственных устройств	Нет разрешений	Нет разрешений
Организация	Чтение всей информации о компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов Чтение всех контрактов партнера Чтение основных сведений о мультитенантной организации и активных клиентах	Чтение отображаемого имени компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов	Чтение отображаемого имени компании Чтение всех доменов
Роли и области	Чтение всех административных ролей и членств Чтение всех свойств и членств административных единиц	Нет разрешений	Нет разрешений
Подписки	Чтение всех подписок на лицензирование Включение членства в плане обслуживания	Нет разрешений	Нет разрешений
Политики	Чтение всех свойств политик Управление всеми свойствами собственных политик	Нет разрешений	Нет разрешений

Ограничение стандартных разрешений для пользователей-участников

Можно добавить ограничения для разрешений по умолчанию для пользователей.

Разрешения по умолчанию для пользователей-участников можно ограничить одним из описанных ниже способов.

Внимание

Использование параметра "Ограничить доступ к порталу администрирования Microsoft Entra" не является мерой безопасности. Дополнительные сведения о функциональных возможностях см. в таблице ниже.

Разрешение	Описание параметра
Регистрация приложений	Если установить для этого параметра значение Нет, пользователи не смогут создавать регистрации приложения. Затем вы можете предоставить возможность отдельным лицам, добавив их в роль разработчика приложений.
Разрешить пользователям подключать рабочую или учебную учетную запись с помощью LinkedIn	Если установить для этого параметра значение Нет, пользователи не смогут подключать свою рабочую или учебную учетную запись к учетной записи LinkedIn. Дополнительные сведения см. в статье Согласие пользователя и предоставление общего доступа к данным через подключение к учетной записи LinkedIn.
Создание групп безопасности	Если установить для этого параметра значение Нет, пользователи не смогут создавать группы безопасности. Глобальные Администратор istrator и пользовательские Администратор istratorы по-прежнему могут создавать группы безопасности. Сведения о том, как можно узнать, см . в командлетах Microsoft Entra для настройки параметров группы.
Создание групп Microsoft 365	Если установить для этого параметра значение Нет, пользователи не смогут создавать группы Microsoft 365. Если установить для этого параметра значение Некоторые, набору пользователей разрешается создание групп Microsoft 365. Глобальные Администратор istrator и пользовательские Администратор istratorы по-прежнему могут создавать группы Microsoft 365. Сведения о том, как можно узнать, см . в командлетах Microsoft Entra для настройки параметров группы.
Ограничение доступа к порталу администрирования Microsoft Entra	Что делает этот коммутатор? Не позволяет неадминистраторам просматривать портал администрирования Microsoft Entra. Да , неадминистраторы могут просматривать портал администрирования Microsoft Entra. Владельцы групп или приложений, которые не являются администраторами, не могут использовать портал Azure для управления собственными ресурсами. Чего он не делает? Он не ограничивает доступ к данным Microsoft Entra с помощью PowerShell, Microsoft GraphAPI или других клиентов, таких как Visual Studio. Он не ограничивает доступ до тех пор, пока пользователю назначена пользовательская роль (или любая роль). Когда следует использовать этот коммутатор? Используйте этот параметр, чтобы запретить пользователям неправильно настроить ресурсы, принадлежащие им. Когда не следует использовать этот коммутатор? Не используйте этот параметр в качестве меры безопасности. Вместо этого создайте политику условного доступа, предназначенную для API управления службами Windows Azure, которая блокирует доступ неадминистраторов к API управления службами Windows Azure. Разделы справки предоставить только определенным пользователям, не администраторам, возможность использовать портал администрирования Microsoft Entra? Установите для этого параметра значение Да, а затем назначьте им роль глобального читателя. Ограничение доступа к порталу администрирования Microsoft Entra Политика условного доступа, предназначенная для API управления службами Windows Azure, предназначена для доступа ко всем службам управления Azure.
Ограничение пользователей, не являющихся администраторами, от создания клиентов	Пользователи могут создавать арендаторы на портале администрирования Microsoft Entra в разделе "Управление клиентом". Создание клиента записывается в журнал аудита как категория DirectoryManagement и действие Create Company. Любой, кто создает клиент, становится глобальным Администратор istrator этого клиента. Только что созданный клиент не наследует никакие параметры или конфигурации. Что делает этот коммутатор? Если этот параметр задано значение "Да", создание клиентов Microsoft Entra ограничивается ролями глобального Администратор istrator или создателя клиента. Если этот параметр задан, параметр "Нет" , пользователи, не являющиеся администраторами, могут создавать клиенты Microsoft Entra. Создание клиента будет продолжать записываться в журнал аудита. Разделы справки предоставить только определенным пользователям, не являющихся администраторами, возможность создавать новые клиенты? Задайте для этого параметра значение "Да", а затем назначьте им роль создателя клиента.
Ограничение пользователям восстановления ключей BitLocker для собственных устройств	Этот параметр можно найти в Центре администрирования Microsoft Entra в Параметры устройства. Если этот параметр задано значение "Да" , пользователи смогут самостоятельно восстановить ключи BitLocker для своих собственных устройств. Пользователям придется обратиться в службу технической поддержки своей организации, чтобы получить ключи BitLocker. Если этот параметр задано значение "Нет ", пользователи могут восстановить ключи BitLocker.
Чтение других пользователей	Этот параметр доступен только в Microsoft Graph и PowerShell. Если установить для этого флага значение `$false`, пользователи без прав администратора не смогут читать информацию пользователей из каталога. Этот флаг не предотвращает чтение сведений о пользователях в других службы Майкрософт таких как Exchange Online. Этот параметр предназначен для особых обстоятельств, поэтому не рекомендуется задавать для флага значение `$false`.

Ниже показан параметр "Ограничить пользователей, не являющихся администраторами" для создания клиентов.

Ограничение стандартных разрешений для гостевых пользователей

Разрешения по умолчанию для гостевых пользователей можно ограничить одним из приведенных ниже способов.

Примечание.

Настройка Ограничения доступа гостевых пользователей используется вместо параметра Разрешения для гостей ограничены. Инструкции по использованию этой функции см. в разделе "Ограничение разрешений гостевого доступа" в идентификаторе Microsoft Entra.

Разрешение	Описание параметра
Ограничения доступа гостевых пользователей	Если установить для этого параметра значение Гостевые пользователи имеют тот же уровень доступа, что и члены, пользователи-гости будут по умолчанию получать все разрешения пользователей-участников. Если установить для этого параметра значение У гостевых пользователей есть доступ только к свойствам и членствам их собственных объектов каталога, по умолчанию гостевой доступ ограничивается только собственными профилями пользователей. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен. Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье Гостевой доступ в Microsoft Teams. Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.
Гости могут пригласить	Установка для этого параметра значения Да позволяет гостям приглашать других гостей. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Разрешение

Описание параметра

Ограничения доступа гостевых пользователей

Если установить для этого параметра значение Гостевые пользователи имеют тот же уровень доступа, что и члены, пользователи-гости будут по умолчанию получать все разрешения пользователей-участников.

Если установить для этого параметра значение У гостевых пользователей есть доступ только к свойствам и членствам их собственных объектов каталога, по умолчанию гостевой доступ ограничивается только собственными профилями пользователей. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен.

Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье Гостевой доступ в Microsoft Teams.

Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.

Гости могут пригласить

Установка для этого параметра значения Да позволяет гостям приглашать других гостей. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Владелец объекта

Разрешения владельца при регистрации приложения

Когда пользователь регистрирует приложение, он автоматически добавляется в качестве владельца приложения. Владелец может управлять метаданными приложения, такими как имя, и разрешениями приложения. Он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа и назначениями пользователей.

Владелец также может добавлять или удалять других владельцев. В отличие от глобальных Администратор istrator, владельцы могут управлять только собственными приложениями.

Разрешения владельцев корпоративных приложений

Когда пользователь добавляет новое корпоративное приложение, он автоматически добавляется в качестве владельца. В качестве владельца он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа, подготовкой и назначениями пользователей.

Разрешения владельца группы

Когда пользователь создает группу, он автоматически добавляется в качестве владельца этой группы. Владелец может управлять свойствами группы, например именем, а также членством группы.

Владелец также может добавлять или удалять других владельцев. В отличие от глобальных Администратор istratorов и пользователей Администратор istrator, владельцы могут управлять только группами, которыми они владеет, и они могут добавлять или удалять участников группы только в том случае, если назначен тип членства группы.

Сведения о назначении владельца группы см. в этой статье.

Права владения

В следующих таблицах описываются определенные разрешения в идентификаторе Microsoft Entra, которые пользователи-члены имеют над собственными объектами. Пользователи имеют эти разрешения только для объектов, которыми они владеют.

Регистрация собственных приложений

Пользователи могут выполнять следующие действия с регистрацией принадлежащих им приложений:

Действие	Description
microsoft.directory/applications/audience/update	`applications.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/authentication/update	`applications.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/basic/update	Обновите базовые свойства приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/credentials/update	`applications.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/delete	Удаление приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/owners/update	`applications.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/permissions/update	`applications.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/policies/update	`applications.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/restore	Восстановление приложений в идентификаторе Microsoft Entra.

Собственные корпоративные приложения

Пользователи могут выполнять следующие действия с собственными корпоративными приложениями. Корпоративное приложение состоит из субъекта-службы, одной или нескольких политик приложений, а иногда и объекта приложения, размещенного в том же клиенте, что и субъект-служба.

Действие	Description
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в журналах аудита в идентификаторе Microsoft Entra.
microsoft.directory/policies/basic/update	Обновите базовые свойства политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/delete	Удаление политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/owners/update	`policies.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	`servicePrincipals.appRoleAssignedTo` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update	`users.appRoleAssignments` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/audience/update	`servicePrincipals.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/update	`servicePrincipals.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update	Обновите базовые свойства субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/credentials/update	`servicePrincipals.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update	`servicePrincipals.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update	`servicePrincipals.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/policies/update	`servicePrincipals.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в отчетах о входе в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой

Собственное устройство

Пользователи могут выполнять на собственных устройствах следующие действия:

Действие	Description
microsoft.directory/devices/bitLockerRecoveryKeys/read	Чтение свойства в идентификаторе `devices.bitLockerRecoveryKeys` Microsoft Entra.
microsoft.directory/devices/disable	Отключите устройства в идентификаторе Microsoft Entra.

Собственные группы

Пользователи могут выполнять в собственных группах следующие действия.