外部租使用者中的預設用戶權力
外部設定中的 Microsoft Entra 租使用者專用於 Microsoft Entra 外部 ID 案例。 外部租用戶可讓您清楚區分公司員工目錄和客戶面向的應用程式目錄。 此外,在外部租使用者中建立的使用者受限於存取外部租使用者中其他使用者的相關信息。 根據預設,客戶無法存取其他使用者、群組或裝置的相關信息。
外部租使用者可以包含下列使用者類型:
外部使用者 是外部租用戶中註冊之應用程式的取用者和商務客戶。 他們有本機帳戶,但從外部進行驗證。 外部使用者受限於預設用戶權力,且無法指派角色。 它們通常是透過自助式註冊來建立,但您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph 中的 [建立新的外部使用者] 選項來建立它們。
內部使用者 是內部驗證的使用者(通常是系統管理員),且已在外部租使用者中指派 Microsoft Entra 角色 。 如果您未指派角色,他們具有預設用戶權力。 您可以使用系統管理中心或 Microsoft Graph 中的 [建立新使用者] 選項來建立內部使用者。
受邀的使用者 是使用者(通常是系統管理員),他們以自己的外部認證登入,並在外部租使用者中指派 Microsoft Entra 角色 。 如果您未指派角色,他們具有預設用戶權力。 您可以使用系統管理中心或 Microsoft Graph 中的 [邀請外部使用者] 選項來邀請使用者。
預設權限
下表描述指派給外部租使用者客戶使用者的預設許可權:
- 使用自助式註冊的使用者
- 由系統管理員建立的使用者
- 受邀的使用者
| 適用範圍 | 客戶用戶權力 |
|---|---|
| 使用者和連絡人 | - 透過應用程式設定檔管理體驗讀取和更新自己的配置檔 - 變更自己的密碼 - 使用本機或社交帳戶登入 |
| 應用程式 | - 存取應用程式 - 撤銷對應用程式的同意 |
Microsoft Graph API 和許可權
下表指出可讓客戶管理其配置檔資訊的 API 作業。 使用者識別碼或 userPrincipalName 一律是已登入使用者的 。
| 用戶作業 | API 作業 | 需要的權限 |
|---|---|---|
| 讀取配置檔 | GET /me 或 GET /users/{id 或 userPrincipalName} | User.Read |
| 更新設定檔 | PATCH /me 或 PATCH /users/{id 或 userPrincipalName} 下列屬性可更新:city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname 和 preferredLanguage |
User.ReadWrite |
| 變更密碼 | POST /me/changePassword | Directory.AccessAsUser.All |