Microsoft Entra ID 中的預設使用者權限是什麼?
在 Microsoft Entra 識別碼中,所有使用者都會獲得一組預設權限。 使用者的存取權包含使用者類型、其 角色指派,以及個別對象的擁有權。
本文說明這些默認許可權,並比較成員和來賓用戶預設值。 只有在 Microsoft Entra ID 的使用者設定中才能變更預設使用者權限。
成員和來賓使用者
默認許可權集取決於使用者是租使用者 (成員使用者) 的原生成員,或使用者是否從另一個目錄作為企業對企業 (B2B) 共同作業來賓 (來賓使用者) 來接管。 如需新增來賓用戶的詳細資訊,請參閱 什麼是 Microsoft Entra B2B 共同作業?。 以下是預設權限的功能:
成員用戶可以 註冊應用程式、管理自己的配置檔相片和行動電話、變更自己的密碼,以及邀請 B2B 來賓。 這些使用者也可以讀取所有目錄資訊(但有幾個例外)。
來賓使用者 具有限制的目錄許可權。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 不過,他們無法讀取所有目錄資訊。
例如,來賓使用者無法列舉所有使用者、群組和其他目錄物件的清單。 來賓可以新增至系統管理員角色,以授與他們完整讀取和寫入許可權。 來賓也可以邀請其他來賓。
比較成員和來賓預設許可權
適用範圍 | 成員用戶權力 | 默認來賓用戶權力 | 受限制的來賓用戶權力 |
---|---|---|---|
使用者和連絡人 |
|
|
|
群組 |
|
|
|
應用程式 |
|
|
|
裝置 |
|
沒有權限 | 沒有權限 |
Organization |
|
|
|
角色和範圍 |
|
沒有權限 | 沒有權限 |
訂用帳戶 |
|
沒有權限 | 沒有權限 |
原則 |
|
沒有權限 | 沒有權限 |
限制成員用戶的默認許可權
可新增使用者預設權限的限制。
限制成員使用者預設權限的方式如下:
警告
使用限制 對 Microsoft Entra 系統管理入口網站 切換 的存取不是安全性措施。 如需功能的詳細資訊,請參閱下表。
權限 | 設定說明 |
---|---|
註冊應用程式 | 將此選項設定為 [否 ] 可防止使用者建立應用程式註冊。 接著,您可以將這些功能新增至應用程式開發人員角色,以授與特定人員的能力。 |
允許使用者使用LinkedIn連線公司或學校帳戶 | 將此選項設定為 [否 ] 可防止使用者將公司或學校帳戶與其LinkedIn帳戶連線。 如需詳細資訊,請參閱 LinkedIn帳戶連線數據共用和同意。 |
建立安全組 | 將此選項設定為 [否 ] 可防止使用者建立安全組。 全域 管理員 istrators 和 User 管理員 istrators 仍然可以建立安全組。 若要瞭解如何,請參閱 Microsoft Entra Cmdlet 來設定群組設定。 |
建立 Microsoft 365 群組 | 將此選項設定為 [否 ] 可防止使用者建立 Microsoft 365 群組。 將此選項設定為 [部分 ] 可讓一組使用者建立 Microsoft 365 群組。 全域 管理員 istrators 和 User 管理員 istrators 仍然可以建立 Microsoft 365 群組。 若要瞭解如何,請參閱 Microsoft Entra Cmdlet 來設定群組設定。 |
限制對 Microsoft Entra 管理入口網站的存取 | 此參數有何用途? [否 ] 可讓非系統管理員流覽 Microsoft Entra 系統管理入口網站。 是 限制非系統管理員流覽 Microsoft Entra 系統管理入口網站。 非擁有群組或應用程式的系統管理員無法使用 Azure 入口網站 來管理自己的資源。 它沒有做什麼? 何時應該使用此參數? 我何時不應該使用此參數? 如何? 只授與特定非系統管理員使用者使用 Microsoft Entra 系統管理入口網站的能力? 限制對 Microsoft Entra 管理入口網站的存取 |
限制非系統管理員使用者建立租使用者 | 用戶可以在 [管理租使用者] 底下的 [Microsoft Entra 標識符] 和 [Microsoft Entra 系統管理入口網站] 中建立租使用者。 租使用者的建立會記錄在稽核記錄檔中,做為 DirectoryManagement 類別和活動建立公司。 建立租使用者的任何人員都會成為該租使用者的全域 管理員 管理員。 新建立的租使用者不會繼承任何設定或組態。 此參數有何用途? 如何? 只授與特定非系統管理員使用者建立新租使用者的能力? |
限制用戶復原其自有裝置的 BitLocker 金鑰 | 您可以在裝置 設定 的 Microsoft Entra 系統管理中心找到此設定。 將此選項設定為 [是 ] 會限制使用者能夠自行復原其自有裝置的 BitLocker 金鑰。 用戶必須連絡組織的技術服務人員,以擷取其 BitLocker 金鑰。 將此選項設定為 [否 ] 可讓使用者復原其 BitLocker 金鑰。。 |
讀取其他使用者 | 此設定僅適用於 Microsoft Graph 和 PowerShell。 設定此旗標以防止 $false 所有非系統管理員從目錄讀取使用者資訊。 此旗標不會防止在 Exchange Online 等其他 Microsoft 服務 中讀取使用者資訊。這個設定適用於特殊情況,因此不建議將旗標設定為 |
限制來賓用戶的默認許可權
您可以透過下列方式限制來賓用戶的默認許可權。
注意
來賓 使用者存取限制 設定已取代來賓 用戶許可權是有限的 設定。 如需使用此功能的指引,請參閱 限制 Microsoft Entra ID 中的來賓訪問許可權。
權限 | 設定說明 |
---|---|
來賓使用者存取限制 | 將此選項設定為 來賓使用者具有與成員 相同的存取權,預設會將所有成員用戶權力授與來賓使用者。 將此選項設定為 來賓使用者存取僅限於其本身目錄物件的 屬性和成員資格,預設只會限制來賓存取自己的使用者配置檔。 即使用戶主體名稱、物件標識碼或顯示名稱進行搜尋,也無法再存取其他使用者。 也不再允許存取群組資訊,包括群組成員資格。 此設定不會防止在某些 Microsoft 365 服務中存取已加入的群組,例如 Microsoft Teams。 若要深入瞭解,請參閱 Microsoft Teams 來賓存取。 不論此許可權設定為何,來賓使用者仍可新增至系統管理員角色。 |
來賓可以邀請 | 將此選項設定為 [ 是 ] 可讓來賓邀請其他來賓。 若要深入瞭解,請參閱 設定外部共同作業設定。 |
對象擁有權
應用程式註冊擁有者許可權
當使用者註冊應用程式時,系統會自動將其新增為應用程式的擁有者。 身為擁有者,他們可以管理應用程式的元數據,例如應用程式要求的名稱和許可權。 他們也可以管理應用程式的租使用者特定設定,例如單一登錄 (SSO) 組態和使用者指派。
擁有者也可以新增或移除其他擁有者。 不同於 Global 管理員 istrators,擁有者只能管理其擁有的應用程式。
企業應用程式擁有者許可權
當使用者新增新的企業應用程式時,他們會自動新增為擁有者。 身為擁有者,他們可以管理應用程式的租使用者特定設定,例如 SSO 設定、布建和使用者指派。
擁有者也可以新增或移除其他擁有者。 不同於 Global 管理員 istrators,擁有者只能管理自己擁有的應用程式。
群組擁有者許可權
當使用者建立群組時,他們會自動新增為該群組的擁有者。 身為擁有者,他們可以管理群組的屬性(例如名稱),以及管理群組成員資格。
擁有者也可以新增或移除其他擁有者。 不同於 Global 管理員 istrators 和 User 管理員 istrators,擁有者只能管理自己擁有的群組。
若要指派群組擁有者,請參閱 管理群組的擁有者。
擁有權許可權
下表描述成員使用者對擁有對象擁有之 Microsoft Entra 識別碼的特定許可權。 用戶只擁有這些許可權的物件。
擁有的應用程式註冊
使用者可以在擁有的應用程式註冊上執行下列動作:
動作 | 說明 |
---|---|
microsoft.directory/applications/audience/update | applications.audience 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/applications/authentication/update | applications.authentication 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/applications/basic/update | 更新 Microsoft Entra 識別碼中應用程式的基本屬性。 |
microsoft.directory/applications/credentials/update | applications.credentials 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/applications/delete | 刪除 Microsoft Entra 識別碼中的應用程式。 |
microsoft.directory/applications/owners/update | applications.owners 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/applications/permissions/update | applications.permissions 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/applications/policies/update | applications.policies 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/applications/restore | 在 Microsoft Entra 識別碼中還原應用程式。 |
擁有的企業應用程式
用戶可以對擁有的企業應用程式執行下列動作。 企業應用程式是由服務主體、一或多個應用程式原則所組成,有時是與服務主體位於相同租使用者中的應用程序物件。
動作 | 說明 |
---|---|
microsoft.directory/auditLogs/allProperties/read | 在 Microsoft Entra ID 中的稽核記錄上讀取所有屬性(包括特殊許可權屬性)。 |
microsoft.directory/policies/basic/update | 更新 Microsoft Entra 標識符中原則的基本屬性。 |
microsoft.directory/policies/delete | 刪除 Microsoft Entra 識別碼中的原則。 |
microsoft.directory/policies/owners/update | policies.owners 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | servicePrincipals.appRoleAssignedTo 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/appRoleAssignments/update | users.appRoleAssignments 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/audience/update | servicePrincipals.audience 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/authentication/update | servicePrincipals.authentication 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/basic/update | 更新 Microsoft Entra 識別符中服務主體的基本屬性。 |
microsoft.directory/servicePrincipals/credentials/update | servicePrincipals.credentials 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/delete | 刪除 Microsoft Entra 識別碼中的服務主體。 |
microsoft.directory/servicePrincipals/owners/update | servicePrincipals.owners 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/permissions/update | servicePrincipals.permissions 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/servicePrincipals/policies/update | servicePrincipals.policies 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/signInReports/allProperties/read | 在 Microsoft Entra ID 的登入報告中讀取所有屬性(包括特殊許可權屬性)。 |
microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理應用程式佈建祕密及認證 |
microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
擁有的裝置
使用者可以在擁有的裝置上執行下列動作:
動作 | 說明 |
---|---|
microsoft.directory/devices/bitLockerRecoveryKeys/read | devices.bitLockerRecoveryKeys 讀取 Microsoft Entra 識別碼中的 屬性。 |
microsoft.directory/devices/disable | 停用 Microsoft Entra 識別碼中的裝置。 |
擁有的群組
用戶可以在擁有的群組上執行下列動作。
注意
動態群組的擁有者必須具有全域 管理員 istrator、Group 管理員 istrator、Intune 管理員 istrator 或 User 管理員 istrator 角色,才能編輯群組成員資格規則。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中建立或更新動態群組。
動作 | 說明 |
---|---|
microsoft.directory/groups/appRoleAssignments/update | groups.appRoleAssignments 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/groups/basic/update | 更新 Microsoft Entra 識別碼中群組的基本屬性。 |
microsoft.directory/groups/delete | 刪除 Microsoft Entra 識別碼中的群組。 |
microsoft.directory/groups/members/update | groups.members 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/groups/owners/update | groups.owners 更新 Microsoft Entra ID 中的 屬性。 |
microsoft.directory/groups/restore | 還原 Microsoft Entra 識別碼中的群組。 |
microsoft.directory/groups/settings/update | groups.settings 更新 Microsoft Entra ID 中的 屬性。 |
下一步
- 若要深入瞭解 來賓使用者存取限制 設定,請參閱 限制 Microsoft Entra 識別碼中的來賓訪問許可權。
- 若要深入瞭解如何指派 Microsoft Entra 系統管理員角色,請參閱 在 Microsoft Entra 識別符中將使用者指派給系統管理員角色。
- 若要深入瞭解如何在 Microsoft Azure 中控制資源存取,請參閱 瞭解 Azure 中的資源存取。
- 如需 Microsoft Entra 識別碼如何與您的 Azure 訂用帳戶建立關聯的詳細資訊,請參閱 Azure 訂用帳戶如何與 Microsoft Entra ID 相關聯。
- 管理使用者。