Standardanvändarbehörigheter i externa klientorganisationer
En Microsoft Entra-klientorganisation i en extern konfiguration används uteslutande för scenarier med externt ID för Microsoft Entra. En extern klientorganisation ger en tydlig uppdelning mellan företagets arbetsstyrkas katalog och din kundriktade appkatalog. Dessutom begränsas användare som skapats i din externa klientorganisation från att komma åt information om andra användare i den externa klientorganisationen. Som standard kan kunderna inte komma åt information om andra användare, grupper eller enheter.
En extern klientorganisation kan innehålla följande användartyper:
Externa användare är konsumenter och företagskunder för de appar som är registrerade i din externa klientorganisation. De har ett lokalt konto, men autentiserar externt. Externa användare är begränsade till standardanvändarbehörigheter och kan inte tilldelas roller. De skapas vanligtvis via självbetjäningsregistrering, men du kan skapa dem med alternativet Skapa ny extern användare i administrationscentret för Microsoft Entra eller med Microsoft Graph.
Interna användare är användare (vanligtvis administratörer) som autentiserar internt och har tilldelat Microsoft Entra-roller i din externa klientorganisation. Om du inte tilldelar en roll har de standardanvändarbehörigheter. Du kan skapa interna användare med alternativet Skapa ny användare i administrationscentret eller med Microsoft Graph.
Inbjudna användare är användare (vanligtvis administratörer) som loggar in med sina egna externa autentiseringsuppgifter och har tilldelat Microsoft Entra-roller i din externa klientorganisation. Om du inte tilldelar en roll har de standardanvändarbehörigheter. Du kan bjuda in användare med alternativet Bjud in extern användare i administrationscentret eller med Microsoft Graph.
Standardbehörigheter
I följande tabell beskrivs standardbehörigheterna som tilldelats en användare i en extern klientkund:
- Användare som använder självbetjäningsregistrering
- Användare som skapas av administratörer
- Användare som är inbjudna
| Ytdiagram | Kundanvändarbehörigheter |
|---|---|
| Användare och kontakter | – Läsa och uppdatera sin egen profil via appprofilhanteringsupplevelsen - Ändra sitt eget lösenord – Logga in med ett lokalt eller socialt konto |
| Appar | – Få åtkomst till program – Återkalla medgivande till program |
Api:er och behörigheter för Microsoft Graph
Följande tabell anger de API-åtgärder som gör det möjligt för kunder att hantera sin profilinformation. Användar-ID:t eller userPrincipalName är alltid den inloggade användarens.
| Användaråtgärd | API-åtgärd | Behörigheter som krävs |
|---|---|---|
| Läs profil | GET /me eller GET /users/{id eller userPrincipalName} | User.Read |
| Uppdatera profil | PATCH /me eller PATCH /users/{id eller userPrincipalName} Följande egenskaper är uppdaterade: stad, land, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname och preferredLanguage |
User.ReadWrite |
| Ändra lösenord | POST /me/changePassword | Directory.AccessAsUser.All |