Vilka är standardanvändarbehörigheterna i Microsoft Entra-ID?

Artikel
09/24/2024

I Microsoft Entra-ID beviljas alla användare en uppsättning standardbehörigheter. En användares åtkomst består av typen av användare, deras rolltilldelningar och deras ägarskap för enskilda objekt.

Den här artikeln beskriver dessa standardbehörigheter och jämför standardinställningarna för medlem och gästanvändare. Standardanvändarbehörigheter kan bara ändras i användarinställningar i Microsoft Entra-ID.

Medlemmar och gästanvändare

Uppsättningen med standardbehörigheter beror på om användaren är en intern medlem i klientorganisationen (medlemsanvändaren) eller tas över från en annan katalog, till exempel en B2B-samarbetsgäst (B2B) (gästanvändare). Mer information om hur du lägger till gästanvändare finns i Vad är Microsoft Entra B2B-samarbete?. Här är funktionerna i standardbehörigheterna:

Medlemsanvändare kan registrera program, hantera sina egna profilfoton och mobiltelefonnummer, ändra sitt eget lösenord och bjuda in B2B-gäster. Dessa användare kan också läsa all kataloginformation (med några få undantag).
Gästanvändare har begränsade katalogbehörigheter. De kan hantera sin egen profil, ändra sitt eget lösenord och hämta viss information om andra användare, grupper och appar. De kan dock inte läsa all kataloginformation.

Gästanvändare kan till exempel inte räkna upp listan över alla användare, grupper och andra katalogobjekt. Gäster kan läggas till i administratörsroller, vilket ger dem fullständiga läs- och skrivbehörigheter. Du kan också bjuda in andra gäster.

Jämför standardbehörigheter för medlemmar och gäster

Område	Medlemsanvändarbehörigheter	Standardbehörigheter för gästanvändare	Begränsade behörigheter för gästanvändare
Användare och kontakter	Räkna upp listan över alla användare och kontakter Läs alla offentliga egenskaper för användare och kontakter Bjud in gäster Ändra sitt eget lösenord Hantera sitt eget mobiltelefonnummer Hantera ett eget foto Ogiltigförklara sina egna uppdateringstoken	Läs sina egna egenskaper Läs visningsnamn, e-post, inloggningsnamn, foto, användarens huvudnamn och egenskaper för användartyp för andra användare och kontakter Ändra sitt eget lösenord Sök efter en annan användare efter objekt-ID (om det tillåts) Läs chef och direktrapportinformation för andra användare	Läs sina egna egenskaper Ändra sitt eget lösenord Hantera sitt eget mobiltelefonnummer
Grupper	Skapa säkerhetsgrupper Skapa Microsoft 365-grupper Räkna upp listan över alla grupper Läs alla egenskaper för grupper Läsa gruppmedlemskap utan tillhörighet Läs dolt Microsoft 365-gruppmedlemskap för anslutna grupper Hantera egenskaper, ägarskap och medlemskap i grupper som användaren äger Lägga till gäster i ägda grupper Hantera inställningar för gruppmedlemskap Ta bort ägda grupper Återställa ägda Microsoft 365-grupper	Läs egenskaper för icke-anslutna grupper, inklusive medlemskap och ägarskap (även icke-anslutna grupper) Läs dolt Microsoft 365-gruppmedlemskap för anslutna grupper Sök efter grupper efter visningsnamn eller objekt-ID (om det tillåts)	Läsa objekt-ID för anslutna grupper Läs medlemskap och ägarskap för anslutna grupper i vissa Microsoft 365-appar (om det tillåts)
Program	Registrera (skapa) nya program Räkna upp listan över alla program Läsegenskaper för registrerade program och företagsprogram Hantera programegenskaper, tilldelningar och autentiseringsuppgifter för ägda program Skapa eller ta bort programlösenord för användare Ta bort ägda program Återställa ägda program Visa en lista över behörigheter som beviljats program	Läsegenskaper för registrerade program och företagsprogram Visa en lista över behörigheter som beviljats program	Läsegenskaper för registrerade program och företagsprogram Visa en lista över behörigheter som beviljats program
Enheter	Räkna upp listan över alla enheter Läsa alla egenskaper för enheter Hantera alla egenskaper för ägda enheter	Inga behörigheter	Inga behörigheter
Organisation	Läs all företagsinformation Läsa alla domäner Läs konfiguration av certifikatbaserad autentisering Läs alla partnerkontrakt Läs grundläggande information om flera klientorganisationer och aktiva klienter	Läs företagets visningsnamn Läsa alla domäner Läs konfiguration av certifikatbaserad autentisering	Läs företagets visningsnamn Läsa alla domäner
Roller och omfång	Läs alla administrativa roller och medlemskap Läs alla egenskaper och medlemskap i administrativa enheter	Inga behörigheter	Inga behörigheter
Prenumerationer	Läs alla licensprenumerationer Aktivera tjänstplansmedlemskap	Inga behörigheter	Inga behörigheter
Politik	Läs alla egenskaper för principer Hantera alla egenskaper för ägda principer	Inga behörigheter	Inga behörigheter

Begränsa medlemsanvändares standardbehörigheter

Det går att lägga till begränsningar i användarnas standardbehörigheter.

Du kan begränsa standardbehörigheter för medlemsanvändare på följande sätt:

Försiktighet

Att använda växeln Begränsa åtkomst till Microsoft Entra-administrationsportalen är INTE ett säkerhetsmått. Mer information om funktionerna finns i följande tabell.

Tillåtelse	Förklaring av inställning
Registrera program	Om du ställer in det här alternativet på Nej hindras användare från att skapa programregistreringar. Du kan sedan bevilja möjligheten tillbaka till specifika individer genom att lägga till dem i programutvecklarens roll.
Tillåt användare att ansluta arbets- eller skolkonto med LinkedIn	Om du ställer in det här alternativet på Nej hindras användarna från att ansluta sitt arbets- eller skolkonto till sitt LinkedIn-konto. Mer information finns i LinkedIn-kontoanslutningar för datadelning och medgivande.
Skapa säkerhetsgrupper	Om du ställer in det här alternativet på Nej hindras användare från att skapa säkerhetsgrupper. De användare som tilldelats rollen Användaradministratörer kan fortfarande skapa säkerhetsgrupper. Mer information finns i Microsoft Entra-cmdletar för att konfigurera gruppinställningar.
Skapa Microsoft 365-grupper	Om du ställer in det här alternativet på Nej hindras användare från att skapa Microsoft 365-grupper. Om du anger det här alternativet till Vissa kan en uppsättning användare skapa Microsoft 365-grupper. Alla som har tilldelats rollen Användaradministratör kan fortfarande skapa Microsoft 365-grupper. Mer information finns i Microsoft Entra-cmdletar för att konfigurera gruppinställningar.
Begränsa åtkomsten till Microsoft Entra-administrationsportalen	Vad gör den här växeln? Nej tillåter att icke-administratörer bläddrar i Microsoft Entra-administrationsportalen. Ja begränsar icke-administratörer från att bläddra i Microsoft Entra-administrationsportalen. Icke-administratörer som är ägare av grupper eller program kan inte använda Azure Portal för att hantera sina ägda resurser. Vad gör den inte? Den begränsar inte åtkomsten till Microsoft Entra-data med hjälp av PowerShell, Microsoft GraphAPI eller andra klienter, till exempel Visual Studio. Den begränsar inte åtkomsten så länge en användare har tilldelats en anpassad roll (eller någon roll). När ska jag använda den här växeln? Använd det här alternativet för att förhindra att användare felkonfigurerar de resurser som de äger. När ska jag inte använda den här växeln? Använd inte den här växeln som ett säkerhetsmått. Skapa i stället en princip för villkorsstyrd åtkomst som riktar sig till Windows Azure Service Management API som blockerar icke-administratörsåtkomst till Windows Azure Service Management APIIl. Hur gör jag för att endast ge en specifik icke-administratörsanvändare möjlighet att använda Microsoft Entra-administrationsportalen? Ställ in det här alternativet på Ja och tilldela dem sedan en roll som global läsare. Begränsa åtkomsten till Microsoft Entra-administrationsportalen En princip för villkorsstyrd åtkomst som riktar sig till Windows Azure Service Management API riktar sig mot åtkomst till all Azure-hantering.
Begränsa användare som inte är administratörer från att skapa klientorganisationer	Användare kan skapa klienter i Microsoft Entra-ID:t och Microsoft Entra-administrationsportalen under Hantera klientorganisation. Skapandet av en klientorganisation registreras i granskningsloggen som kategorin DirectoryManagement och aktiviteten Skapa företag. Alla som skapar en klientorganisation blir global administratör för den klientorganisationen. Den nyligen skapade klientorganisationen ärver inte några inställningar eller konfigurationer. Vad gör den här växeln? Om du ställer in det här alternativet på Ja begränsas skapandet av Microsoft Entra-klienter till alla som har tilldelats minst rollen Klientskapare . Om du ställer in det här alternativet på Nej kan icke-användare skapa Microsoft Entra-klienter. Skapande av klientorganisation fortsätter att registreras i granskningsloggen. Hur gör jag för att endast ge en viss icke-administratörsanvändare möjlighet att skapa nya klienter? Ställ in det här alternativet på Ja och tilldela dem sedan rollen Klientskapare .
Begränsa användare från att återställa BitLocker-nycklar för sina ägda enheter	Den här inställningen finns i administrationscentret för Microsoft Entra i Enhetsinställningar. Om du ställer in det här alternativet på Ja begränsas användarna från att självbetjäna återställning av BitLocker-nycklar för sina ägda enheter. Användarna måste kontakta organisationens supportavdelning för att hämta sina BitLocker-nycklar. Om du ställer in det här alternativet på Nej kan användarna återställa sina BitLocker-nycklar.
Läsa andra användare	Den här inställningen är endast tillgänglig i Microsoft Graph och PowerShell. Om du ställer in den här flaggan för att förhindra att `$false` alla icke-användare läser användarinformation från katalogen. Den här flaggan kan förhindra läsning av användarinformation i andra Microsoft-tjänster som Microsoft Teams. Den här inställningen är avsedd för särskilda omständigheter, så vi rekommenderar inte att du ställer in flaggan på `$false`.

Alternativet Begränsade icke-administratörsanvändare från att skapa klientorganisationer visas i följande skärmbild.

Begränsa gästanvändares standardbehörigheter

Du kan begränsa standardbehörigheter för gästanvändare på följande sätt.

Not

Inställningen Begränsningar för gästanvändare ersatte behörigheterna för gästanvändare är begränsad . Vägledning om hur du använder den här funktionen finns i Begränsa behörigheter för gäståtkomst i Microsoft Entra-ID.

Tillåtelse	Förklaring av inställning
Åtkomstbegränsningar för gästanvändare	Om du ställer in det här alternativet på Gästanvändare har samma åtkomst som medlemmar ger alla medlemsanvändare behörighet till gästanvändare som standard. Om du ställer in det här alternativet på Gästanvändaråtkomst begränsas det till egenskaper och medlemskap i egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre, även när de söker efter användarens huvudnamn, objekt-ID eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre. Den här inställningen förhindrar inte åtkomst till anslutna grupper i vissa Microsoft 365-tjänster som Microsoft Teams. Mer information finns i Gäståtkomst för Microsoft Teams. Gästanvändare kan fortfarande läggas till i administratörsroller oavsett den här behörighetsinställningen.
Gäster kan bjuda in	Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Konfigurera inställningar för externt samarbete.

Tillåtelse

Förklaring av inställning

Åtkomstbegränsningar för gästanvändare

Om du ställer in det här alternativet på Gästanvändare har samma åtkomst som medlemmar ger alla medlemsanvändare behörighet till gästanvändare som standard.

Om du ställer in det här alternativet på Gästanvändaråtkomst begränsas det till egenskaper och medlemskap i egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre, även när de söker efter användarens huvudnamn, objekt-ID eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre.

Den här inställningen förhindrar inte åtkomst till anslutna grupper i vissa Microsoft 365-tjänster som Microsoft Teams. Mer information finns i Gäståtkomst för Microsoft Teams.

Gästanvändare kan fortfarande läggas till i administratörsroller oavsett den här behörighetsinställningen.

Gäster kan bjuda in

Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Konfigurera inställningar för externt samarbete.

Objektägarskap

Behörigheter för programregistreringsägare

När en användare registrerar ett program läggs de automatiskt till som ägare för programmet. Som ägare kan de hantera programmets metadata, till exempel namnet och behörigheterna som appen begär. De kan också hantera den klientspecifika konfigurationen av programmet, till exempel konfigurationen för enkel inloggning (SSO) och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen programadministratör kan ägarna bara hantera de program som de äger.

Behörigheter för företagsprogramägare

När en användare lägger till ett nytt företagsprogram läggs de automatiskt till som ägare. Som ägare kan de hantera den klientspecifika konfigurationen av programmet, till exempel SSO-konfiguration, etablering och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen programadministratör kan ägarna bara hantera de program som de äger.

Behörigheter för gruppägare

När en användare skapar en grupp läggs de automatiskt till som ägare för den gruppen. Som ägare kan de hantera egenskaperna för gruppen (till exempel namnet) och hantera gruppmedlemskap.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen Gruppadministratör kan ägarna bara hantera de grupper som de äger och de kan bara lägga till eller ta bort gruppmedlemmar om gruppens medlemskapstyp har tilldelats.

Information om hur du tilldelar en gruppägare finns i Hantera ägare för en grupp.

Information om hur du använder Privileged Access Management (PIM) för att göra en grupp berättigad till en rolltilldelning finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar.

Ägarskapsbehörigheter

I följande tabeller beskrivs de specifika behörigheter i Microsoft Entra-ID som medlemsanvändare har över ägda objekt. Användarna har endast dessa behörigheter för objekt som de äger.

Ägda programregistreringar

Användare kan utföra följande åtgärder på ägda programregistreringar:

Handling	Beskrivning
microsoft.directory/applications/audience/update	Uppdatera egenskapen `applications.audience` i Microsoft Entra-ID.
microsoft.directory/applications/authentication/update	Uppdatera egenskapen `applications.authentication` i Microsoft Entra-ID.
microsoft.directory/applications/basic/update	Uppdatera grundläggande egenskaper för program i Microsoft Entra-ID.
microsoft.directory/applications/credentials/update	Uppdatera egenskapen `applications.credentials` i Microsoft Entra-ID.
microsoft.directory/applications/delete	Ta bort program i Microsoft Entra-ID.
microsoft.directory/applications/owners/update	Uppdatera egenskapen `applications.owners` i Microsoft Entra-ID.
microsoft.directory/applications/permissions/update	Uppdatera egenskapen `applications.permissions` i Microsoft Entra-ID.
microsoft.directory/applications/policies/update	Uppdatera egenskapen `applications.policies` i Microsoft Entra-ID.
microsoft.directory/applications/restore	Återställa program i Microsoft Entra-ID.

Ägda företagsprogram

Användare kan utföra följande åtgärder i ägda företagsprogram. Ett företagsprogram består av ett huvudnamn för tjänsten, en eller flera programprinciper och ibland ett programobjekt i samma klientorganisation som tjänstens huvudnamn.

Handling	Beskrivning
microsoft.directory/auditLogs/allProperties/read	Läs alla egenskaper (inklusive privilegierade egenskaper) i granskningsloggar i Microsoft Entra-ID.
microsoft.directory/policies/basic/update	Uppdatera grundläggande egenskaper för principer i Microsoft Entra-ID.
microsoft.directory/policies/delete	Ta bort principer i Microsoft Entra-ID.
microsoft.directory/policies/owners/update	Uppdatera egenskapen `policies.owners` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Uppdatera egenskapen `servicePrincipals.appRoleAssignedTo` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Uppdatera egenskapen `users.appRoleAssignments` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/audience/update	Uppdatera egenskapen `servicePrincipals.audience` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/authentication/update	Uppdatera egenskapen `servicePrincipals.authentication` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/basic/update	Uppdatera grundläggande egenskaper för tjänstens huvudnamn i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/credentials/update	Uppdatera egenskapen `servicePrincipals.credentials` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/delete	Ta bort tjänstens huvudnamn i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/owners/update	Uppdatera egenskapen `servicePrincipals.owners` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/permissions/update	Uppdatera egenskapen `servicePrincipals.permissions` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/policies/update	Uppdatera egenskapen `servicePrincipals.policies` i Microsoft Entra-ID.
microsoft.directory/signInReports/allProperties/read	Läs alla egenskaper (inklusive privilegierade egenskaper) i inloggningsrapporter i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read	Läsa etableringsinställningar som är associerade med tjänstens huvudnamn

Ägda enheter

Användare kan utföra följande åtgärder på ägda enheter:

Handling	Beskrivning
microsoft.directory/devices/bitLockerRecoveryKeys/read	Läs egenskapen `devices.bitLockerRecoveryKeys` i Microsoft Entra-ID.
microsoft.directory/devices/disable	Inaktivera enheter i Microsoft Entra-ID.

Ägda grupper

Användare kan utföra följande åtgärder i ägda grupper.

Not

Ägare av dynamiska medlemskapsgrupper måste ha rollen Gruppadministratör, Intune-administratör eller Användaradministratör för att kunna redigera regler för dynamiska medlemskapsgrupper. Mer information finns i Skapa eller uppdatera en dynamisk medlemskapsgrupp i Microsoft Entra-ID.

Handling	Beskrivning
microsoft.directory/groups/appRoleAssignments/update	Uppdatera egenskapen `groups.appRoleAssignments` i Microsoft Entra-ID.
microsoft.directory/groups/basic/update	Uppdatera grundläggande egenskaper för grupper i Microsoft Entra-ID.
microsoft.directory/groups/delete	Ta bort grupper i Microsoft Entra-ID.
microsoft.directory/groups/members/update	Uppdatera egenskapen `groups.members` i Microsoft Entra-ID.
microsoft.directory/groups/owners/update	Uppdatera egenskapen `groups.owners` i Microsoft Entra-ID.
microsoft.directory/groups/restore	Återställa grupper i Microsoft Entra-ID.
microsoft.directory/groups/settings/update	Uppdatera egenskapen `groups.settings` i Microsoft Entra-ID.

Nästa steg

Mer information om inställningen Begränsningar för gästanvändares åtkomst finns i Begränsa behörigheter för gäståtkomst i Microsoft Entra-ID.
Mer information om hur du tilldelar Microsoft Entra-administratörsroller finns i Tilldela en användare till administratörsroller i Microsoft Entra-ID.
Mer information om hur resursåtkomst styrs i Microsoft Azure finns i Förstå resursåtkomst i Azure.
Hantera användare.

Dela via