在 Microsoft Entra 識別碼中,所有使用者都會獲得一組預設權限。 使用者的存取權包含使用者類型、其 角色指派,以及個別對象的擁有權。
本文描述這些預設權限,並比較成員與來賓使用者的預設值。 只有在 Microsoft Entra ID 的使用者設定中才能變更預設使用者權限。
成員和來賓使用者
預設權限集取決於使用者是租用戶的原生成員 (成員使用者),還是來自另一個目錄,例如企業對企業 (B2B) 共同作業來賓 (來賓使用者)。 如需新增來賓用戶的詳細資訊,請參閱 什麼是Microsoft Entra B2B 共同作業?。 以下是預設權限的功能:
成員用戶可以 註冊應用程式、管理自己的配置檔相片和行動電話、變更自己的密碼,以及邀請 B2B 來賓。 這些使用者也可以讀取所有目錄資訊 (但有一些例外狀況)。
來賓使用者 具有限制的目錄許可權。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 但卻無法讀取所有目錄資訊。
例如,來賓使用者無法列舉所有使用者、群組和其他目錄物件的清單。 您可將來賓新增至系統管理員角色,授與其完整的讀取和寫入權限。 來賓也可以邀請其他來賓。
比較成員與來賓預設的權限
| 面積 | 成員用戶權力 | 默認來賓用戶權力 | 受限制的來賓用戶權力 |
|---|---|---|---|
| 使用者和連絡人 |
|
|
|
| 群組 |
|
|
|
| 應用程式 |
|
|
|
| 裝置 |
|
沒有權限 | 沒有權限 |
| 組織 |
|
|
|
| 角色和範圍 |
|
沒有權限 | 沒有權限 |
| 訂用帳戶 |
|
沒有權限 | 沒有權限 |
| 原則 |
|
沒有權限 | 沒有權限 |
| 使用規定 | 讀取使用者已接受的使用條款。 | 讀取使用者已接受的使用條款。 | 讀取使用者已接受的使用條款。 |
限制成員使用者的預設權限
可新增使用者預設權限的限制。
限制成員使用者預設權限的方式如下:
警告
使用 限制存取 Microsoft Entra 系統管理入口網站 開關 不是安全性措施。 如需功能的詳細資訊,請參閱下表。
| 權限 | 設定說明 |
|---|---|
| 註冊應用程式 | 將此選項設為 [否],可防止使用者註冊應用程式。 然後,您可以將特定人員新增至應用程式開發人員角色,授權這些人使用此功能。 |
| 允許使用者使用LinkedIn連線公司或學校帳戶 | 將此選項設為 [否],可防止使用者以公司或學校帳戶連線到其 LinkedIn 帳戶。 如需詳細資訊,請參閱 LinkedIn帳戶連線數據共用和同意。 |
| 建立安全組 | 將此選項設為 [否],可防止使用者建立安全性群組。 至少獲派使用者管理員角色的使用者仍可建立安全性群組。 若要瞭解如何設定 群組設定,請參閱Microsoft Entra Cmdlet。 |
| 建立Microsoft 365 個群組 | 將此選項設為 [否],可防止使用者建立 Microsoft 365 群組。 將此選項設為 [部分],可允許部分使用者建立 Microsoft 365 群組。 至少被指派為用戶系統管理員角色的人仍然可以建立 Microsoft 365 群組。 若要瞭解如何設定 群組設定,請參閱Microsoft Entra Cmdlet。 |
| 限制存取 Microsoft Entra 管理入口網站 |
此參數有何用途? [否 ] 可讓非管理者流覽 Microsoft Entra 管理入口網站。 是的 限制非管理者流覽 Microsoft Entra 系統管理入口網站。 屬於群組或應用程式擁有者的非管理員無法使用 Azure 入口網站來管理其擁有的資源。
它不做什麼?
何時應該使用此開關?
我何時不應該使用此參數?
如何只授與特定非系統管理員使用者使用 Microsoft Entra 系統管理入口網站的能力?
限制對 Microsoft Entra 管理入口網站的存取 |
| 限制非系統管理員使用者建立租戶 | 使用者可以在 Microsoft Entra ID 和 Microsoft Entra 管理入口網站的 [管理租用戶] 下建立租用戶。 租用戶建立會記錄在稽核記錄檔的類別 DirectoryManagement 和活動 Create Company 中。 根據預設,建立 Microsoft Entra 租用戶的使用者會自動被指派 全域管理員 角色。 新建的租用戶不會繼承任何設定或組態。
此參數有何用途?
如何只授與特定非系統管理員使用者建立新租使用者的能力? |
| 限制用戶復原其自有裝置的 BitLocker 金鑰 | 您可以在 Microsoft Entra 系統管理中心的 [裝置設定] 中找到此設定。 將此選項設定為 [是],會限制使用者自行復原自有裝置的 BitLocker 金鑰。 使用者必須連絡組織的技術支援中心,才能擷取其 BitLocker 金鑰。 將此選項設定為 [否 ] 可讓使用者復原其 BitLocker 金鑰。 |
| 閱讀其他使用者 | 這項設定僅供 Microsoft Graph 和 PowerShell 使用。 將此旗標設為 $false ,可防止所有非系統管理員讀取目錄中的使用者資訊。 這個旗標可能會防止讀取 Microsoft Teams 等其他 Microsoft 服務中的使用者資訊。這項設定是專門用於特殊情況,因此不建議將旗標設為 |
下列螢幕快照顯示 [受限制的非管理員使用者創建租戶] 選項。
![顯示 [限制非系統管理員建立租使用者] 選項的螢幕快照。](media/user-default-permissions/tenant-creation-restriction.png#lightbox)
限制來賓使用者的預設權限
限制來賓使用者預設權限的方式如下。
注意
[來賓使用者存取限制] 設定已取代 [來賓使用者權限受限] 設定。 如需使用這項功能的指引,請參閱 限制 Microsoft Entra ID 中的來賓訪問許可權。
| 權限 | 設定說明 |
|---|---|
| 來賓使用者存取限制 | 將此選項設為 [Guest users have the same access as members] \(來賓使用者具有與成員相同的存取權\),預設會將所有成員使用者權限授與來賓使用者。 將此選項設為 [Guest user access is restricted to properties and memberships of their own directory objects] \(來賓使用者僅限存取自己目錄物件的屬性和成員資格\),預設限制來賓只能存取自己的使用者設定檔。 現已不再允許存取其他使用者,即使按使用者主體名稱、物件識別碼或顯示名稱搜尋也不行。 也不再允許存取包括群組成員資格在內的群組資訊。 這項設定不會防止存取某些 Microsoft 365 服務 (例如 Microsoft Teams) 中的已加入群組。 若要深入瞭解,請參閱 Microsoft Teams 來賓存取。 您可無視此權限設定,仍將來賓使用者新增至系統管理員角色。 |
| 來賓可以邀請 | 將此選項設為 [是],可讓來賓邀請其他來賓。 若要深入瞭解,請參閱 設定外部共同作業設定。 |
物件擁有權
應用程式註冊擁有者權限
當使用者註冊應用程式時,會自動新增為應用程式的擁有者。 擁有者可以管理應用程式的中繼資料,例如名稱和應用程式要求的權限。 擁有者也可以管理應用程式的租用戶特定設定,例如單一登入 (SSO) 設定和使用者指派。
擁有者也可以新增或移除其他擁有者。 與至少獲指派應用程式系統管理員角色不同,擁有者只能管理他們擁有的應用程式。
企業應用程式擁有者權限
當使用者新增企業應用程式時,就會自動新增為擁有者。 擁有者可以管理應用程式的租用戶特定設定,例如 SSO 設定、佈建和使用者指派。
擁有者也可以新增或移除其他擁有者。 與至少獲指派應用程式系統管理員角色不同,擁有者只能管理他們擁有的應用程式。
群組擁有者權限
當使用者建立群組時,就會自動新增為該群組的擁有者。 擁有者可以管理群組的屬性 (例如名稱),以及管理群組成員資格。
擁有者也可以新增或移除其他擁有者。 與至少指派群組 系統管理員 角色的使用者不同,擁有者只能管理他們擁有的群組,而且只有在群組的成員資格類型為 Assigned時,他們才能新增或移除群組成員。
若要指派群組擁有者,請參閱 管理群組的擁有者。
若要使用 Privileged Access Management (PIM) 讓群組符合角色指派資格,請參閱 使用 Microsoft Entra 群組來管理角色指派。
擁有權權限
下列表格描述了成員用戶在他們擁有的物件上於 Microsoft Entra 識別碼中特定的許可權。 使用者只有其擁有物件的這些權限。
擁有的應用程式註冊
使用者可以對所擁有的應用程式註冊執行下列動作:
| 行動 | 描述 |
|---|---|
| microsoft.目錄/應用程式/受眾/更新 | 更新 Microsoft Entra ID 中的 applications.audience 屬性。 |
| microsoft.directory/applications/authentication/update | 更新 Microsoft Entra ID 中的 applications.authentication 屬性。 |
| microsoft.directory/applications/basic/update | 更新 Microsoft Entra ID 中應用程式的基本屬性。 |
| microsoft.directory/applications/credentials/update | 更新 Microsoft Entra ID 中的 applications.credentials 屬性。 |
| microsoft.directory/應用程式/刪除 | 在 Microsoft Entra ID 中刪除應用程式。 |
| microsoft.directory/applications/owners/update | 更新 Microsoft Entra ID 中的 applications.owners 屬性。 |
| microsoft.directory/applications/permissions/update (更新應用程式許可權) | 更新 Microsoft Entra ID 中的 applications.permissions 屬性。 |
| 微軟.目錄/應用程式/政策/更新 | 更新 Microsoft Entra ID 中的 applications.policies 屬性。 |
| microsoft.directory/applications/restore (應用程式還原) | 在 Microsoft Entra ID 中還原應用程式。 |
擁有的企業應用程式
使用者可以對所擁有的企業應用程式執行下列動作。 企業應用程式包含服務主體、一或多個應用程式原則,以及有時候和服務主體位於相同租用戶的應用程式物件。
| 行動 | 描述 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 讀取 Microsoft Entra ID 稽核記錄的所有屬性 (包括特殊權限屬性)。 |
| microsoft.directory/policies/basic/update | 更新 Microsoft Entra ID 中原則的基本屬性。 |
| microsoft.directory/policies/delete | 刪除 Microsoft Entra ID 中的原則。 |
| microsoft.directory/policies/owners/update | 更新 Microsoft Entra ID 中的 policies.owners 屬性。 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update (更新應用角色分配到的服務主體) | 更新 Microsoft Entra ID 中的 servicePrincipals.appRoleAssignedTo 屬性。 |
| microsoft.目錄/服務主體/應用角色指派/更新 | 更新 Microsoft Entra ID 中的 users.appRoleAssignments 屬性。 |
| 微軟.directory/服務主體/觀眾/更新 | 更新 Microsoft Entra ID 中的 servicePrincipals.audience 屬性。 |
| microsoft.directory/服務主體/身份驗證/更新 | 更新 Microsoft Entra ID 中的 servicePrincipals.authentication 屬性。 |
| 微軟.目錄/服務主體/基本/更新 | 更新 Microsoft Entra ID 中服務主體的基本屬性。 |
| microsoft.directory/服務主體/憑證/更新 | 更新 Microsoft Entra ID 中的 servicePrincipals.credentials 屬性。 |
| microsoft.directory/servicePrincipals/delete | 刪除 Microsoft Entra ID 中的服務主體。 |
| microsoft.directory/servicePrincipals/owners/update | 更新 Microsoft Entra ID 中的 servicePrincipals.owners 屬性。 |
| microsoft.directory/servicePrincipals/許可權/update | 更新 Microsoft Entra ID 中的 servicePrincipals.permissions 屬性。 |
| microsoft.directory/servicePrincipals/policies/update | 更新 Microsoft Entra ID 中的 servicePrincipals.policies 屬性。 |
| microsoft.directory/signInReports/allProperties/read | 讀取 Microsoft Entra ID 中登入報告的所有屬性 (包括特殊權限屬性)。 |
| microsoft.directory/服務主體/同步憑證/管理 | 管理應用程式佈建祕密及認證 |
| Microsoft 目錄/服務帳戶/同步任務/管理 | 啟動、重新啟動及暫停應用程式佈建同步作業 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage (微軟目錄/服務委託/同步架構/管理) | 建立及管理應用程式佈建同步作業及結構描述 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
擁有的裝置
使用者可在所擁有的裝置上執行下列動作:
| 行動 | 描述 |
|---|---|
| microsoft.directory/devices/bitLockerRecoveryKeys/read | 讀取 Microsoft Entra ID 中的 devices.bitLockerRecoveryKeys 屬性。 |
| microsoft.directory/devices/disable(停用裝置) | 在 Microsoft Entra ID 中停用裝置。 |
擁有的群組
使用者可對所擁有的群組執行下列動作。
注意
組動態成員群組的擁有者必須具有群組管理員、Intune 管理員或使用者管理員角色,才能編輯組動態成員群組規則。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中建立或更新動態成員資格群組。
| 行動 | 描述 |
|---|---|
| microsoft.directory/groups/appRoleAssignments/update | 更新 Microsoft Entra ID 中的 groups.appRoleAssignments 屬性。 |
| Microsoft 資料目錄/群組/基本/更新 | 更新 Microsoft Entra ID 中群組的基本屬性。 |
| microsoft.directory/groups/delete | 刪除 Microsoft Entra ID 中的群組。 |
| microsoft.directory/groups/members/update | 更新 Microsoft Entra ID 中的 groups.members 屬性。 |
| microsoft.directory/群組/擁有者/更新 | 更新 Microsoft Entra ID 中的 groups.owners 屬性。 |
| microsoft.directory/groups/restore | 還原 Microsoft Entra ID 中的群組。 |
| microsoft.目錄/群組/設定/更新 | 更新 Microsoft Entra ID 中的 groups.settings 屬性。 |
下一步
若要深入瞭解 來賓使用者存取限制 設定,請參閱 在 Microsoft Entra ID 中限制來賓訪問許可權。
若要深入瞭解如何指派 Microsoft Entra 系統管理員角色,請參閱 在 Microsoft Entra ID 中指派使用者為系統管理員角色。
若要深入瞭解如何在 azure Microsoft 中控制資源存取,請參閱 瞭解 Azure 中的資源存取。