Vilka är standardanvändarbehörigheterna i Azure Active Directory?

Alla användare beviljas en uppsättning standardbehörigheter i Azure Active Directory (AD Azure). En användares åtkomst består av typen av användare, deras rolltilldelningar och deras ägarskap för enskilda objekt.

Den här artikeln beskriver dessa standardbehörigheter och jämför standardinställningarna för medlem och gästanvändare. Standardanvändarbehörigheterna kan bara ändras i användarinställningar i Azure AD.

Medlems- och gästanvändare

Uppsättningen standardbehörigheter beror på om användaren är en intern medlem i klientorganisationen (medlemsanvändare) eller om användaren hämtas från en annan katalog som en B2B-samarbets gäst (B2B) (gästanvändare). Mer information om hur du lägger till gästanvändare finns i Vad är Azure AD B2B-samarbete?. Här är funktionerna i standardbehörigheterna:

• Medlemsanvändare kan registrera program, hantera sina egna profilfoton och mobiltelefonnummer, ändra sitt eget lösenord och bjuda in B2B-gäster. Dessa användare kan också läsa all kataloginformation (med några få undantag).

• Gästanvändare har begränsade katalogbehörigheter. De kan hantera sin egen profil, ändra sitt eget lösenord och hämta information om andra användare, grupper och appar. De kan dock inte läsa all kataloginformation.

  Gästanvändare kan till exempel inte räkna upp listan över alla användare, grupper och andra katalogobjekt. Gäster kan läggas till i administratörsroller, vilket ger dem fullständig läs- och skrivbehörighet. Du kan också bjuda in andra gäster.

Jämför standardbehörigheter för medlemmar och gästanvändare

Område	Behörigheter för medlemsanvändare	Standardbehörigheter för gästanvändare	Begränsade behörigheter för gästanvändare
Användare och kontakter	Räkna upp listan över alla användare och kontakter Läsa alla offentliga egenskaper om användare och kontakter Bjuda in gäster Ändra sitt eget lösenord Hantera sitt eget mobiltelefonnummer Hantera sitt eget foto Ogiltigförklara sina egna uppdateringstoken	Läs sina egna egenskaper Läs visningsnamn, e-post, inloggningsnamn, foto, användarens huvudnamn och användartypegenskaper för andra användare och kontakter Ändra sitt eget lösenord Sök efter en annan användare efter objekt-ID (om det tillåts) Läs chefsinformation och direktrapportinformation för andra användare	Läs sina egna egenskaper Ändra sitt eget lösenord Hantera sitt eget mobiltelefonnummer
Grupper	Skapa säkerhetsgrupper Skapa Microsoft 365-grupper Räkna upp listan över alla grupper Läsa alla icke-dolda egenskaper i grupper Läsa icke-dolda gruppmeddelanden Läs dolda Microsoft 365-gruppmedlemskap för anslutna grupper Hantera egenskaper, ägarskap och medlemskap i grupper som användaren äger Lägga till gäster i egna grupper Hantera inställningar för dynamiskt medlemskap Ta bort egna grupper Återställa ägda Microsoft 365-grupper	Läs egenskaper för icke-dolda grupper, inklusive medlemskap och ägarskap (även icke-anslutna grupper) Läs dolda Microsoft 365-gruppmedlemskap för anslutna grupper Sök efter grupper efter visningsnamn eller objekt-ID (om det tillåts)	Läsa objekt-ID för anslutna grupper Läs medlemskap och ägarskap för anslutna grupper i vissa Microsoft 365-appar (om det tillåts)
Program	Registrera (skapa) nya program Räkna upp listan över alla program Skrivskyddade egenskaper för registrerade program och företagsprogram Lista behörigheter som beviljats till program Hantera egenskaper för program, tilldelningar och autentiseringsuppgifter för egna program Skapa eller ta bort programlösenord för användare Ta bort egna program Återställ egna program Lista behörigheter som beviljats till program	Skrivskyddade egenskaper för registrerade program och företagsprogram Lista behörigheter som beviljats till program	Skrivskyddade egenskaper för registrerade program och företagsprogram Lista behörigheter som beviljats till program
Enheter	Räkna upp listan över alla enheter Läs alla enhetsegenskaper Läs alla egenskaper för egna enheter	Inga behörigheter	Inga behörigheter
Organisation	Läs all företagsinformation Läsa alla domäner Läs konfiguration av certifikatbaserad autentisering Läsa alla partnerkontrakt	Läs företagets visningsnamn Läsa alla domäner Läs konfiguration av certifikatbaserad autentisering	Läs företagets visningsnamn Läsa alla domäner
Roller och omfång	Läsa alla administrativa roller och medlemskap Läsa alla egenskaper och medlemskap i administrativa enheter	Inga behörigheter	Inga behörigheter
Prenumerationer	Läs alla licensprenumerationer Aktivera medlemskap i tjänstplan	Inga behörigheter	Inga behörigheter
Principer	Läs alla principegenskaper Hantera alla egenskaper för ägda principer	Inga behörigheter	Inga behörigheter

Begränsa medlemsanvändares standardbehörigheter

Det går att lägga till begränsningar i användarnas standardbehörigheter.

Du kan begränsa standardbehörigheterna för medlemsanvändare på följande sätt.

Varning

Att använda växeln Begränsa åtkomst till Azure AD administrationsportal ärINTE en säkerhetsåtgärd. Mer information om funktionerna finns i tabellen nedan.

Behörighet	Förklaring av inställning
Registrera program	Om du ställer in det här alternativet på Nej hindrar du användare från att skapa programregistreringar. Du kan sedan bevilja möjligheten tillbaka till specifika individer genom att lägga till dem i programutvecklarens roll.
Tillåt användare att ansluta arbets- eller skolkonto med LinkedIn	Om du ställer in det här alternativet på Nej hindras användare från att ansluta sitt arbets- eller skolkonto till sitt LinkedIn-konto. Mer information finns i LinkedIn-kontoanslutningar för datadelning och medgivande.
Skapa säkerhetsgrupper	Om du ställer in det här alternativet på Nej hindrar du användare från att skapa säkerhetsgrupper. Globala administratörer och användaradministratörer kan fortfarande skapa säkerhetsgrupper. Information om hur du konfigurerar gruppinställningar finns i Azure Active Directory-cmdletar.
Skapa Microsoft 365-grupper	Om du ställer in det här alternativet på Nej hindrar du användare från att skapa Microsoft 365-grupper. Om du ställer in det här alternativet på Vissa kan en uppsättning användare skapa Microsoft 365-grupper. Globala administratörer och användaradministratörer kan fortfarande skapa Microsoft 365-grupper. Information om hur du konfigurerar gruppinställningar finns i Azure Active Directory-cmdletar.
Begränsa åtkomsten till Azure AD administrationsportalen	Vad gör den här växeln? Nej låter icke-administratörer bläddra i Azure AD administrationsportalen. Ja Hindrar icke-administratörer från att bläddra i Azure AD administrationsportalen. Icke-administratörer som är ägare till grupper eller program kan inte använda Azure Portal för att hantera sina ägda resurser. Vad gör den inte? Den begränsar inte åtkomsten till Azure AD data med hjälp av PowerShell, Microsoft GraphAPI eller andra klienter som Visual Studio. Den begränsar inte åtkomsten så länge en användare har tilldelats en anpassad roll (eller någon roll). När ska jag använda den här växeln? Använd det här alternativet för att förhindra användare från att felkonfigurera de resurser som de äger. När ska jag inte använda den här växeln? Använd inte den här växeln som ett säkerhetsmått. Skapa i stället en princip för villkorsstyrd åtkomst som riktar sig till Microsoft Azure Management som blockerar icke-administratörers åtkomst till Microsoft Azure Management. Hur gör jag för att endast ge en specifik användare som inte är administratör möjlighet att använda Azure AD administrationsportalen? Ställ in det här alternativet på Ja och tilldela dem sedan en roll som global läsare. Begränsa åtkomsten till Entra-administrationsportalen En princip för villkorsstyrd åtkomst som riktar sig mot Microsoft Azure Management riktar sig mot åtkomst till all Azure-hantering.
Begränsa användare som inte är administratörer från att skapa klientorganisationer	Användare kan skapa klienter i Azure AD- och Entra-administrationsportalen under Hantera klientorganisation. Skapandet av en klient registreras i granskningsloggen som kategorin KatalogHantering och aktivitet Skapa företag. Alla som skapar en klientorganisation blir global administratör för den klientorganisationen. Den nyligen skapade klientorganisationen ärver inga inställningar eller konfigurationer. Vad gör den här växeln? Om du ställer in det här alternativet på Ja begränsas skapandet av Azure AD klienter till rollen Global administratör eller klientskapare. Om du ställer in det här alternativet på Nej kan användare som inte är administratörer skapa Azure AD klientorganisationer. Skapande av klientorganisation fortsätter att registreras i granskningsloggen. Hur gör jag för att endast ge en specifik icke-administratörsanvändare möjlighet att skapa nya klienter? Ställ in det här alternativet på Ja och tilldela dem sedan rollen som klientskapare.
Begränsa användare som inte är administratörer från att läsa BitLocker-nycklar för sina ägda enheter	Om du ställer in det här alternativet på Ja kan användarna inte återställa BitLocker-nycklar via självbetjäning för sina ägda enheter. Om du ställer in det här alternativet på Nej kan användarna återställa sina BitLocker-nycklar.
Läsa andra användare	Den här inställningen är endast tillgänglig i Microsoft Graph och PowerShell. Om du anger den här flaggan förhindrar du att $false alla icke-administratörer läser användarinformation från katalogen. Den här flaggan förhindrar inte läsning av användarinformation i andra Microsoft-tjänster som Exchange Online. Den här inställningen är avsedd för särskilda omständigheter, så vi rekommenderar inte att du ställer in flaggan på $false.

Alternativet Begränsa icke-administratörsanvändare från att skapa klientorganisationer visas nedan

Begränsa gästanvändares standardbehörigheter

Du kan begränsa standardbehörigheter för gästanvändare på följande sätt.

Anteckning

Inställningen För begränsningar för gästanvändares åtkomstersattes inställningen Gästanvändares behörigheter är begränsad . Vägledning om hur du använder den här funktionen finns i Begränsa behörigheter för gäståtkomst i Azure Active Directory.

Behörighet	Förklaring av inställning
Åtkomstbegränsningar för gästanvändare	Om du ställer in det här alternativet på Gästanvändare har samma åtkomst som medlemmar ger alla medlemsanvändare behörigheter till gästanvändare som standard. Om du ställer in det här alternativet på Gästanvändaråtkomst är det begränsat till egenskaper och medlemskap i egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre, även när de söker efter användarens huvudnamn, objekt-ID eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre. Den här inställningen förhindrar inte åtkomst till anslutna grupper i vissa Microsoft 365-tjänster som Microsoft Teams. Mer information finns i Gäståtkomst för Microsoft Teams. Gästanvändare kan fortfarande läggas till i administratörsroller oavsett den här behörighetsinställningen.
Gäster kan bjuda in	Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Konfigurera inställningar för externt samarbete.

Objektägarskap

Ägarbehörigheter för programregistrering

När en användare registrerar ett program läggs de automatiskt till som ägare för programmet. Som ägare kan de hantera programmets metadata, till exempel namnet och behörigheterna som appen begär. De kan också hantera den klientspecifika konfigurationen av programmet, till exempel konfiguration av enkel inloggning (SSO) och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från globala administratörer kan ägare bara hantera de program som de äger.

Ägarbehörigheter för företagsprogram

När en användare lägger till ett nytt företagsprogram läggs de automatiskt till som ägare. Som ägare kan de hantera den klientspecifika konfigurationen av programmet, till exempel konfiguration av enkel inloggning, etablering och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från globala administratörer kan ägare bara hantera de program som de äger.

Gruppägares behörigheter

När en användare skapar en grupp läggs de automatiskt till som ägare för den gruppen. Som ägare kan de hantera egenskaperna för gruppen (till exempel namnet) och hantera gruppmedlemskap.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från globala administratörer och användaradministratörer kan ägare bara hantera de grupper som de äger.

Om du vill tilldela en gruppägare, se Hantera ägare för en grupp.

Ägarskapsbehörigheter

Följande tabeller beskriver de specifika behörigheter i Azure AD som medlemsanvändare har över ägda objekt. Användarna har dessa behörigheter endast för objekt som de äger.

Ägda programregistreringar

Användare kan utföra följande åtgärder på ägda programregistreringar:

Åtgärd	Beskrivning
microsoft.directory/applications/audience/update	applications.audience Uppdatera egenskapen i Azure AD.
microsoft.directory/applications/authentication/update	applications.authentication Uppdatera egenskapen i Azure AD.
microsoft.directory/applications/basic/update	Uppdatera grundläggande egenskaper för program i Azure AD.
microsoft.directory/applications/credentials/update	applications.credentials Uppdatera egenskapen i Azure AD.
microsoft.directory/applications/delete	Ta bort program i Azure AD.
microsoft.directory/applications/owners/update	applications.owners Uppdatera egenskapen i Azure AD.
microsoft.directory/applications/permissions/update	applications.permissions Uppdatera egenskapen i Azure AD.
microsoft.directory/applications/policies/update	applications.policies Uppdatera egenskapen i Azure AD.
microsoft.directory/applications/restore	Återställa program i Azure AD.

Ägda företagsprogram

Användarna kan utföra följande åtgärder i ägda företagsprogram. Ett företagsprogram består av ett huvudnamn för tjänsten, en eller flera programprinciper och ibland ett programobjekt i samma klientorganisation som tjänstens huvudnamn.

Åtgärd	Beskrivning
microsoft.directory/auditLogs/allProperties/read	Läs alla egenskaper (inklusive privilegierade egenskaper) i granskningsloggar i Azure AD.
microsoft.directory/policies/basic/update	Uppdatera grundläggande egenskaper för principer i Azure AD.
microsoft.directory/policies/delete	Ta bort principer i Azure AD.
microsoft.directory/policies/owners/update	policies.owners Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	servicePrincipals.appRoleAssignedTo Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/appRoleAssignments/update	users.appRoleAssignments Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/audience/update	servicePrincipals.audience Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/authentication/update	servicePrincipals.authentication Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/basic/update	Uppdatera grundläggande egenskaper för tjänstens huvudnamn i Azure AD.
microsoft.directory/servicePrincipals/credentials/update	servicePrincipals.credentials Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/delete	Ta bort tjänstens huvudnamn i Azure AD.
microsoft.directory/servicePrincipals/owners/update	servicePrincipals.owners Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/permissions/update	servicePrincipals.permissions Uppdatera egenskapen i Azure AD.
microsoft.directory/servicePrincipals/policies/update	servicePrincipals.policies Uppdatera egenskapen i Azure AD.
microsoft.directory/signInReports/allProperties/read	Läs alla egenskaper (inklusive privilegierade egenskaper) i inloggningsrapporter i Azure AD.

Ägda enheter

Användare kan utföra följande åtgärder på ägda enheter:

Åtgärd	Beskrivning
microsoft.directory/devices/bitLockerRecoveryKeys/read	Läs egenskapen devices.bitLockerRecoveryKeys i Azure AD.
microsoft.directory/devices/disable	Inaktivera enheter i Azure AD.

Ägda grupper

Användare kan utföra följande åtgärder i ägda grupper.

Anteckning

Ägare av dynamiska grupper måste ha rollen global administratör, gruppadministratör, Intune administratör eller användaradministratör för att redigera gruppmedlemskapsregler. Mer information finns i Skapa eller uppdatera en dynamisk grupp i Azure Active Directory.

Åtgärd	Beskrivning
microsoft.directory/groups/appRoleAssignments/update	groups.appRoleAssignments Uppdatera egenskapen i Azure AD.
microsoft.directory/groups/basic/update	Uppdatera grundläggande egenskaper för grupper i Azure AD.
microsoft.directory/groups/delete	Ta bort grupper i Azure AD.
microsoft.directory/groups/members/update	groups.members Uppdatera egenskapen i Azure AD.
microsoft.directory/groups/owners/update	groups.owners Uppdatera egenskapen i Azure AD.
microsoft.directory/groups/restore	Återställ grupper i Azure AD.
microsoft.directory/groups/settings/update	groups.settings Uppdatera egenskapen i Azure AD.

Nästa steg

• Mer information om inställningen Begränsningar för gästanvändares åtkomst finns i Begränsa behörigheter för gäståtkomst i Azure Active Directory.
• Mer information om hur du tilldelar Azure AD administratörsroller finns i Tilldela en användare till administratörsroller i Azure Active Directory.
• Mer information om hur resursåtkomst styrs i Microsoft Azure finns i Förstå resursåtkomst i Azure.
• Mer information om hur Azure AD relaterar till din Azure-prenumeration finns i Hur Azure-prenumerationer är associerade med Azure Active Directory.
• Hantera användare.