外部租用戶中的預設使用者權限
適用於:
員工租用戶
外部租用戶 (深入了解)
外部設定中的 Microsoft Entra 租用戶專門用於 Microsoft Entra 外部 ID 案例。 外部租用戶在您的公司員工目錄和面向客戶的應用程式目錄之間提供了明確的分隔。 此外,在您的外部租用戶中建立的使用者會被限制存取外部租用戶中其他使用者的相關資訊。 根據預設,客戶無法存取其他使用者、群組或裝置的相關資訊。
外部租用戶可以包含以下使用者類型:
外部使用者是在您的外部租用戶中註冊的應用程式的取用者和商務客戶。 他們有一個本機帳戶,但在外部進行驗證。 外部使用者僅限於預設的使用者權限,且無法指派角色。 它們通常是透過自助式註冊建立的,但您可以使用 [Microsoft Entra 系統管理中心] 中的 [建立新的外部使用者] 選項或使用 Microsoft Graph 來建立它們。
內部使用者是在內部進行驗證並已在您的外部租用戶中指派 Microsoft Entra 角色的使用者 (通常是系統管理員)。 如果您未指派角色,他們將擁有預設的使用者權限。 您可以使用 [系統管理中心] 中的 [建立新的使用者] 選項或使用 Microsoft Graph 來建立內部使用者。
受邀使用者是使用自己的外部認證登入並已在您的外部租用戶中指派 Microsoft Entra 角色的使用者 (通常是系統管理員)。 如果您未指派角色,他們將擁有預設的使用者權限。 您可以使用 [系統管理中心] 中的 [邀請外部使用者] 選項或使用 Microsoft Graph 來邀請使用者。
預設權限
下表描述指派給外部租用戶用戶的默認許可權,包括:
- 使用自助式註冊的使用者
- 由系統管理員建立的使用者
- 受邀的使用者
| 適用範圍 | 客戶使用者權限 |
|---|---|
| 使用者和連絡人 | - 透過應用程式設定檔管理體驗讀取和更新自己的設定檔 - 變更自己的密碼 - 使用本機或社交帳戶登入 |
| 應用程式 | - 存取應用程式 - 撤銷對應用程式的同意 |
Microsoft Graph API 和權限
下表指出可讓客戶管理其設定檔資訊的 API 作業。 使用者識別碼或 userPrincipalName 一律是已登入使用者的。
| 使用者作業 | API 作業 | 需要的權限 |
|---|---|---|
| 讀取設定檔 | GET /me 或 GET /users/{id 或 userPrincipalName} | User.Read |
| 更新設定檔 | PATCH /me 或 PATCH /users/{id 或 userPrincipalName} 以下屬性可更新:city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname 和 preferredLanguage |
User.ReadWrite |
| 變更密碼 | POST /me/changePassword | Directory.AccessAsUser.All |