Vilka är standardanvändarbehörigheterna i Microsoft Entra-ID?

Artikel
2024-12-19

I Microsoft Entra-ID beviljas alla användare en uppsättning standardbehörigheter. En användares åtkomst består av typen av användare, deras rolltilldelningar och deras ägarskap för enskilda objekt.

Den här artikeln beskriver dessa standardbehörigheter och jämför standardinställningarna för medlem och gästanvändare. Standardanvändarbehörigheter kan bara ändras i användarinställningar i Microsoft Entra-ID.

Medlems- och gästanvändare

Uppsättningen med standardbehörigheter beror på om användaren är en intern medlem i klientorganisationen (medlemsanvändaren) eller tas över från en annan katalog, till exempel en B2B-samarbetsgäst (B2B) (gästanvändare). Mer information om hur du lägger till gästanvändare finns i Vad är Microsoft Entra B2B-samarbete?. Här är funktionerna i standardbehörigheterna:

Medlemsanvändare kan registrera program, hantera sina egna profilfoton och mobiltelefonnummer, ändra sitt eget lösenord och bjuda in B2B-gäster. Dessa användare kan också läsa all kataloginformation (med några få undantag).
Gästanvändare har begränsade katalogbehörigheter. De kan hantera sin egen profil, ändra sitt eget lösenord och hämta viss information om andra användare, grupper och appar. De kan dock inte läsa all kataloginformation.

Gästanvändare kan till exempel inte räkna upp listan över alla användare, grupper och andra katalogobjekt. Gäster kan läggas till i administratörsroller, vilket ger dem fullständiga läs- och skrivbehörigheter. Du kan också bjuda in andra gäster.

Jämför standardbehörigheter för medlemmar och gästanvändare

Ytdiagram	Användarbehörigheter för medlem	Standardbehörigheter för gästanvändare	Begränsade behörigheter för gästanvändare
Användare och kontakter	Räkna upp listan över alla användare och kontakter Läsa alla offentliga egenskaper om användare och kontakter Bjuda in gäster Ändra sitt eget lösenord Hantera sitt eget mobiltelefonnummer Hantera ett eget foto Ogiltigförklara sina egna uppdateringstoken	Läs sina egna egenskaper Läs visningsnamn, e-post, inloggningsnamn, foto, användarens huvudnamn och användartypegenskaper för andra användare och kontakter Ändra sitt eget lösenord Sök efter en annan användare efter objekt-ID (om det tillåts) Läs chef och direktrapportinformation för andra användare	Läs sina egna egenskaper Ändra sitt eget lösenord Hantera sitt eget mobiltelefonnummer
Grupper	Skapa säkerhetsgrupper Skapa Microsoft 365-grupper Räkna upp listan över alla grupper Läsa alla icke-dolda egenskaper i grupper Läsa gruppmedlemskap utan tillhörighet Läs dolt Microsoft 365-gruppmedlemskap för anslutna grupper Hantera egenskaper, ägarskap och medlemskap i grupper som användaren äger Lägga till gäster i egna grupper Hantera inställningar för gruppmedlemskap Ta bort egna grupper Återställa ägda Microsoft 365-grupper	Läs egenskaper för icke-anslutna grupper, inklusive medlemskap och ägarskap (även icke-anslutna grupper) Läs dolt Microsoft 365-gruppmedlemskap för anslutna grupper Sök efter grupper efter visningsnamn eller objekt-ID (om det tillåts)	Läsa objekt-ID för anslutna grupper Läs medlemskap och ägarskap för anslutna grupper i vissa Microsoft 365-appar (om det tillåts)
Appar	Registrera (skapa) nya program Räkna upp listan över alla program Skrivskyddade egenskaper för registrerade program och företagsprogram Hantera egenskaper för program, tilldelningar och autentiseringsuppgifter för egna program Skapa eller ta bort programlösenord för användare Ta bort egna program Återställ egna program Visa en lista över behörigheter som beviljats program	Skrivskyddade egenskaper för registrerade program och företagsprogram Visa en lista över behörigheter som beviljats program	Skrivskyddade egenskaper för registrerade program och företagsprogram Visa en lista över behörigheter som beviljats program
Enheter	Räkna upp listan över alla enheter Läs alla enhetsegenskaper Läs alla egenskaper för egna enheter	Inga behörigheter	Inga behörigheter
Organisation	Läs all företagsinformation Läsa alla domäner Läs konfiguration av certifikatbaserad autentisering Läsa alla partnerkontrakt Läs grundläggande information om flera klientorganisationer och aktiva klienter	Läs företagets visningsnamn Läsa alla domäner Läs konfiguration av certifikatbaserad autentisering	Läs företagets visningsnamn Läsa alla domäner
Roller och omfång	Läsa alla administrativa roller och medlemskap Läsa alla egenskaper och medlemskap i administrativa enheter	Inga behörigheter	Inga behörigheter
Prenumerationer	Läs alla licensprenumerationer Aktivera tjänstplansmedlemskap	Inga behörigheter	Inga behörigheter
Policyer	Läs alla principegenskaper Hantera alla egenskaper för ägda principer	Inga behörigheter	Inga behörigheter
Användningsvillkor	Läsvillkor som en användare har godkänt.	Läsvillkor som en användare har godkänt.	Läsvillkor som en användare har godkänt.

Begränsa medlemsanvändares standardbehörigheter

Det går att lägga till begränsningar i användarnas standardbehörigheter.

Du kan begränsa standardbehörigheterna för medlemsanvändare på följande sätt.

Varning

Att använda växeln Begränsa åtkomst till Microsoft Entra-administrationsportalen är INTE ett säkerhetsmått. Mer information om funktionerna finns i följande tabell.

Behörighet	Förklaring av inställning
Registrera program	Om du ställer in det här alternativet på Nej hindras användare från att skapa programregistreringar. Du kan sedan bevilja möjligheten tillbaka till specifika individer genom att lägga till dem i programutvecklarens roll.
Tillåt användare att ansluta arbets- eller skolkonto med LinkedIn	Om du ställer in det här alternativet på Nej hindras användarna från att ansluta sitt arbets- eller skolkonto till sitt LinkedIn-konto. Mer information finns i LinkedIn-kontoanslutningar för datadelning och medgivande.
Skapa säkerhetsgrupper	Om du ställer in det här alternativet på Nej hindras användare från att skapa säkerhetsgrupper. De användare som tilldelats rollen Användaradministratörer kan fortfarande skapa säkerhetsgrupper. Mer information finns i Microsoft Entra-cmdletar för att konfigurera gruppinställningar.
Skapa Microsoft 365-grupper	Om du ställer in det här alternativet på Nej hindras användare från att skapa Microsoft 365-grupper. Om du anger det här alternativet till Vissa kan en uppsättning användare skapa Microsoft 365-grupper. Alla som har tilldelats rollen Användaradministratör kan fortfarande skapa Microsoft 365-grupper. Mer information finns i Microsoft Entra-cmdletar för att konfigurera gruppinställningar.
Begränsa åtkomsten till Microsoft Entra-administrationsportalen	Vad gör den här växeln? Nej tillåter att icke-administratörer bläddrar i Microsoft Entra-administrationsportalen. Ja begränsar icke-administratörer från att bläddra i Microsoft Entra-administrationsportalen. Icke-administratörer som är ägare av grupper eller program kan inte använda Azure Portal för att hantera sina ägda resurser. Vad gör den inte? Den begränsar inte åtkomsten till Microsoft Entra-data med hjälp av PowerShell, Microsoft GraphAPI eller andra klienter, till exempel Visual Studio. Den begränsar inte åtkomsten så länge en användare har tilldelats en anpassad roll (eller någon roll). När ska jag använda den här växeln? Använd det här alternativet för att förhindra att användare felkonfigurerar de resurser som de äger. När ska jag inte använda den här växeln? Använd inte den här växeln som ett säkerhetsmått. Skapa i stället en princip för villkorsstyrd åtkomst som riktar sig till Windows Azure Service Management API som blockerar icke-administratörsåtkomst till Windows Azure Service Management API. Hur gör jag för att endast ge en specifik icke-administratörsanvändare möjlighet att använda Microsoft Entra-administrationsportalen? Ställ in det här alternativet på Ja och tilldela dem sedan en roll som global läsare. Begränsa åtkomsten till Microsoft Entra-administrationsportalen En princip för villkorsstyrd åtkomst som riktar sig till Windows Azure Service Management API riktar sig mot åtkomst till all Azure-hantering.
Begränsa användare som inte är administratörer från att skapa klientorganisationer	Användare kan skapa klienter i Microsoft Entra-ID:t och Microsoft Entra-administrationsportalen under Hantera klientorganisation. Skapandet av en klientorganisation registreras i granskningsloggen som kategorin DirectoryManagement och aktiviteten Skapa företag. Alla som skapar en klientorganisation blir global administratör för den klientorganisationen. Den nyligen skapade klientorganisationen ärver inte några inställningar eller konfigurationer. Vad gör den här växeln? Om du ställer in det här alternativet på Ja begränsas skapandet av Microsoft Entra-klienter till alla som har tilldelats minst rollen Klientskapare . Om du ställer in det här alternativet på Nej kan icke-användare skapa Microsoft Entra-klienter. Skapande av klientorganisation fortsätter att registreras i granskningsloggen. Hur gör jag för att endast ge en viss icke-administratörsanvändare möjlighet att skapa nya klienter? Ställ in det här alternativet på Ja och tilldela dem sedan rollen Klientskapare .
Begränsa användare från att återställa BitLocker-nycklar för sina ägda enheter	Den här inställningen finns i administrationscentret för Microsoft Entra i Enhetsinställningar. Om du ställer in det här alternativet på Ja begränsas användarna från att självbetjäna återställning av BitLocker-nycklar för sina ägda enheter. Användarna måste kontakta organisationens supportavdelning för att hämta sina BitLocker-nycklar. Om du anger det här alternativet till Nej kan användarna återställa sina BitLocker-nycklar.
Läsa andra användare	Den här inställningen är endast tillgänglig i Microsoft Graph och PowerShell. Om du ställer in den här flaggan för att förhindra att `$false` alla icke-användare läser användarinformation från katalogen. Den här flaggan kan förhindra läsning av användarinformation i andra Microsoft-tjänster som Microsoft Teams. Den här inställningen är avsedd för särskilda omständigheter, så vi rekommenderar inte att du ställer in flaggan på `$false`.

Alternativet Begränsade icke-administratörsanvändare från att skapa klientorganisationer visas i följande skärmbild.

Begränsa gästanvändares standardbehörigheter

Du kan begränsa standardbehörigheter för gästanvändare på följande sätt.

Anteckning

Inställningen Begränsningar för gästanvändare ersatte behörigheterna för gästanvändare är begränsad . Vägledning om hur du använder den här funktionen finns i Begränsa behörigheter för gäståtkomst i Microsoft Entra-ID.

Behörighet	Förklaring av inställning
Åtkomstbegränsningar för gästanvändare	Om du ställer in det här alternativet på Gästanvändare har samma åtkomst som medlemmar ger alla medlemsanvändare behörighet till gästanvändare som standard. Om du ställer in det här alternativet på Gästanvändaråtkomst begränsas det till egenskaper och medlemskap i egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre, även när de söker efter användarens huvudnamn, objekt-ID eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre. Den här inställningen förhindrar inte åtkomst till anslutna grupper i vissa Microsoft 365-tjänster som Microsoft Teams. Mer information finns i Gäståtkomst för Microsoft Teams. Gästanvändare kan fortfarande läggas till i administratörsroller oavsett den här behörighetsinställningen.
Gäster kan bjuda in	Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Konfigurera inställningar för externt samarbete.

Behörighet

Förklaring av inställning

Åtkomstbegränsningar för gästanvändare

Om du ställer in det här alternativet på Gästanvändare har samma åtkomst som medlemmar ger alla medlemsanvändare behörighet till gästanvändare som standard.

Om du ställer in det här alternativet på Gästanvändaråtkomst begränsas det till egenskaper och medlemskap i egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre, även när de söker efter användarens huvudnamn, objekt-ID eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre.

Den här inställningen förhindrar inte åtkomst till anslutna grupper i vissa Microsoft 365-tjänster som Microsoft Teams. Mer information finns i Gäståtkomst för Microsoft Teams.

Gästanvändare kan fortfarande läggas till i administratörsroller oavsett den här behörighetsinställningen.

Gäster kan bjuda in

Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Konfigurera inställningar för externt samarbete.

Objektägarskap

Ägarbehörigheter för programregistrering

När en användare registrerar ett program läggs de automatiskt till som ägare för programmet. Som ägare kan de hantera programmets metadata, till exempel namnet och behörigheterna som appen begär. De kan också hantera den klientspecifika konfigurationen av programmet, till exempel konfigurationen för enkel inloggning (SSO) och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen programadministratör kan ägarna bara hantera de program som de äger.

Behörigheter för företagsprogramägare

När en användare lägger till ett nytt företagsprogram läggs de automatiskt till som ägare. Som ägare kan de hantera den klientspecifika konfigurationen av programmet, till exempel SSO-konfiguration, etablering och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen programadministratör kan ägarna bara hantera de program som de äger.

Gruppägares behörigheter

När en användare skapar en grupp läggs de automatiskt till som ägare för den gruppen. Som ägare kan de hantera egenskaperna för gruppen (till exempel namnet) och hantera gruppmedlemskap.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen Gruppadministratör kan ägarna bara hantera de grupper som de äger och de kan bara lägga till eller ta bort gruppmedlemmar om gruppens medlemskapstyp har tilldelats.

Om du vill tilldela en gruppägare, se Hantera ägare för en grupp.

Information om hur du använder Privileged Access Management (PIM) för att göra en grupp berättigad till en rolltilldelning finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar.

Ägarskapsbehörigheter

I följande tabeller beskrivs de specifika behörigheter i Microsoft Entra-ID som medlemsanvändare har över objekt som de äger. Användarna har endast dessa behörigheter för objekt som de äger.

Ägda programregistreringar

Användare kan utföra följande åtgärder på ägda programregistreringar:

Åtgärd	Beskrivning
microsoft.directory/applications/audience/update	Uppdatera egenskapen `applications.audience` i Microsoft Entra-ID.
microsoft.directory/applications/authentication/update	Uppdatera egenskapen `applications.authentication` i Microsoft Entra-ID.
microsoft.directory/applications/basic/update	Uppdatera grundläggande egenskaper för program i Microsoft Entra-ID.
microsoft.directory/applications/credentials/update	Uppdatera egenskapen `applications.credentials` i Microsoft Entra-ID.
microsoft.directory/applications/delete	Ta bort program i Microsoft Entra-ID.
microsoft.directory/applications/owners/update	Uppdatera egenskapen `applications.owners` i Microsoft Entra-ID.
microsoft.directory/applications/permissions/update	Uppdatera egenskapen `applications.permissions` i Microsoft Entra-ID.
microsoft.directory/applications/policies/update	Uppdatera egenskapen `applications.policies` i Microsoft Entra-ID.
microsoft.directory/applications/restore	Återställa program i Microsoft Entra-ID.

Ägda företagsprogram

Användare kan utföra följande åtgärder i ägda företagsprogram. Ett företagsprogram består av ett huvudnamn för tjänsten, en eller flera programprinciper och ibland ett programobjekt i samma klientorganisation som tjänstens huvudnamn.

Åtgärd	Beskrivning
microsoft.directory/auditLogs/allProperties/read	Läs alla egenskaper (inklusive privilegierade egenskaper) i granskningsloggar i Microsoft Entra-ID.
microsoft.directory/policies/basic/update	Uppdatera grundläggande egenskaper för principer i Microsoft Entra-ID.
microsoft.directory/policies/delete	Ta bort principer i Microsoft Entra-ID.
microsoft.directory/policies/owners/update	Uppdatera egenskapen `policies.owners` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Uppdatera egenskapen `servicePrincipals.appRoleAssignedTo` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Uppdatera egenskapen `users.appRoleAssignments` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/audience/update	Uppdatera egenskapen `servicePrincipals.audience` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/authentication/update	Uppdatera egenskapen `servicePrincipals.authentication` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/basic/update	Uppdatera grundläggande egenskaper för tjänstens huvudnamn i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/credentials/update	Uppdatera egenskapen `servicePrincipals.credentials` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/delete	Ta bort tjänstens huvudnamn i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/owners/update	Uppdatera egenskapen `servicePrincipals.owners` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/permissions/update	Uppdatera egenskapen `servicePrincipals.permissions` i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/policies/update	Uppdatera egenskapen `servicePrincipals.policies` i Microsoft Entra-ID.
microsoft.directory/signInReports/allProperties/read	Läs alla egenskaper (inklusive privilegierade egenskaper) i inloggningsrapporter i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read	Läsa etableringsinställningar som är associerade med tjänstens huvudnamn

Ägda enheter

Användare kan utföra följande åtgärder på ägda enheter:

Åtgärd	Beskrivning
microsoft.directory/devices/bitLockerRecoveryKeys/read	Läs egenskapen `devices.bitLockerRecoveryKeys` i Microsoft Entra-ID.
microsoft.directory/devices/disable	Inaktivera enheter i Microsoft Entra-ID.

Ägda grupper

Användare kan utföra följande åtgärder i ägda grupper.

Anteckning

Ägare av dynamiska medlemskapsgrupper måste ha rollen Gruppadministratör, Intune-administratör eller Användaradministratör för att kunna redigera regler för dynamiska medlemskapsgrupper. Mer information finns i Skapa eller uppdatera en dynamisk medlemskapsgrupp i Microsoft Entra-ID.

Åtgärd	Beskrivning
microsoft.directory/groups/appRoleAssignments/update	Uppdatera egenskapen `groups.appRoleAssignments` i Microsoft Entra-ID.
microsoft.directory/groups/basic/update	Uppdatera grundläggande egenskaper för grupper i Microsoft Entra-ID.
microsoft.directory/groups/delete	Ta bort grupper i Microsoft Entra-ID.
microsoft.directory/groups/members/update	Uppdatera egenskapen `groups.members` i Microsoft Entra-ID.
microsoft.directory/groups/owners/update	Uppdatera egenskapen `groups.owners` i Microsoft Entra-ID.
microsoft.directory/groups/restore	Återställa grupper i Microsoft Entra-ID.
microsoft.directory/groups/settings/update	Uppdatera egenskapen `groups.settings` i Microsoft Entra-ID.

Nästa steg

Mer information om inställningen Begränsningar för gästanvändares åtkomst finns i Begränsa behörigheter för gäståtkomst i Microsoft Entra-ID.
Mer information om hur du tilldelar Microsoft Entra-administratörsroller finns i Tilldela en användare till administratörsroller i Microsoft Entra-ID.
Mer information om hur resursåtkomst styrs i Microsoft Azure finns i Förstå resursåtkomst i Azure.
Hantera användare.

Ytterligare resurser

Dokumentation

Inbyggda Microsoft Entra-roller - Microsoft Entra ID

Beskriver inbyggda Roller och behörigheter för Microsoft Entra.
Tjänstens begränsningar - Microsoft Entra ID

Användningsbegränsningar och andra tjänstbegränsningar för Microsoft Entra-tjänsten
Hantera användarprofilinformation i administrationscentret för Microsoft Entra - Microsoft Entra

Instruktioner för IT-administratörer om hur du hanterar en användares profil och inställningar i Microsoft Entra-ID.
Använda molngrupper för att hantera rolltilldelningar i Microsoft Entra - Microsoft Entra ID

Använd Microsoft Entra-grupper för att förenkla rolltilldelningshanteringen i Microsoft Entra-ID.
Översikt över rollbaserad åtkomstkontroll i Microsoft Entra (RBAC) - Microsoft Entra ID

Lär dig hur du förstår delarna i en rolltilldelning och begränsat omfång i Microsoft Entra-ID.
Begränsa åtkomstbehörigheter för gästanvändare - Microsoft Entra ID

Begränsa åtkomstbehörigheter för gästanvändare med hjälp av Azure Portal, PowerShell eller Microsoft Graph i Microsoft Entra-ID
Lägga till och hantera administratörskonton - Microsoft Entra External ID

Lär dig hur du lägger till och hanterar administratörskonton i din externa klientorganisation med externt ID för Microsoft Entra.

Utbildning

Modul

Hantera användare och grupper i Microsoft Entra-ID - Training

Hantera användare och grupper i Microsoft Entra-ID

Certifiering

Microsoft-certifierad: Identitets- och åtkomstadministratör Associate - Certifications

Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.

Dela via