Поделиться через

Каковы разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

В идентификаторе Microsoft Entra все пользователи получают набор разрешений по умолчанию. Доступ пользователя состоит из типа пользователя, назначения ролей и их владения отдельными объектами.

В этой статье описываются эти разрешения по умолчанию и содержится сравнение значений по умолчанию для участников и гостевых пользователей. Разрешения пользователей по умолчанию можно изменить только в параметрах пользователя в идентификаторе Microsoft Entra.

Участники и гостевые пользователи

Набор разрешений по умолчанию зависит от того, является ли пользователь внутренним пользователем арендатора или импортирован из другого каталога, например, как гость для B2B-сотрудничества. Дополнительные сведения о добавлении гостевых пользователей см. в статье "Что такое совместная работа Microsoft Entra B2B?". Ниже приведены возможности разрешений по умолчанию.

  • Пользователи-члены могут регистрировать приложения, управлять своими фотографиями профиля и номером мобильного телефона, изменять свой пароль и приглашать гостей B2B. Эти пользователи также могут считывать все данные каталога (с некоторыми исключениями).

  • Гостевые пользователи имеют ограниченные разрешения на каталог. Они могут управлять собственным профилем, изменять свой пароль и получать сведения о других пользователях, группах и приложениях. Однако они не могут читать все данные каталога.

    Например, гостевые пользователи не могут получить список всех пользователей, групп и других объектов каталога. Гостей можно назначить на роли администратора, которые предоставляют им полные права на чтение и запись. Гости также могут приглашать других гостей.

Note

Так как Intune использует собственную систему RBAC для управления доступом к функциям управления устройствами, ограниченные гостевые пользователи смогут получить доступ к порталу Intune с соответствующими разрешениями.

Сравнение стандартных разрешений участника и гостя

Area Разрешения участника Разрешения гостевых пользователей по умолчанию Разрешения ограниченного гостевого пользователя
Пользователи и контакты
  • Перечислите всех пользователей и контакты
  • Чтение всех открытых свойств пользователей и контактов
  • Приглашение гостей
  • Изменение собственного пароля
  • Управление собственным номером мобильного телефона
  • Управление собственной фотографией
  • Аннуляция собственных токенов обновления
  • Читать их собственные свойства
  • Чтение отображаемого имени, электронной почты, имени для входа, изображения, основного имени пользователя и свойств типа пользователя для других пользователей и контактов
  • Изменение собственного пароля
  • Поиск другого пользователя по идентификатору объекта (если разрешено)
  • Чтение информации о руководителе и прямых подчиненных других пользователей
  • Читать их собственные свойства
  • Изменение собственного пароля
  • Управление собственным номером мобильного телефона
Groups
  • Создание групп безопасности
  • Создание групп Microsoft 365
  • Перечислите список всех групп
  • Прочитать все свойства групп
  • Чтение членства в не скрытых группах
  • Чтение скрытого состава участников в группах Microsoft 365 для связанных групп
  • Управление свойствами, правами владения и членством в группах, которые принадлежат пользователю
  • Добавление гостей в собственные группы
  • Управление параметрами членства в группах
  • Удаление собственных групп
  • Восстановление собственных групп Microsoft 365
  • Чтение свойств нескрытых групп, включая членство и владение (даже не присоединенные группы)
  • Чтение скрытого состава участников в группах Microsoft 365 для связанных групп
  • Поиск групп по отображаемому имени или идентификатору объекта (если разрешено)
  • Чтение идентификатора объекта для присоединенных групп
  • Возможность чтения данных о членстве и правах собственности для объединенных групп в некоторых приложениях Microsoft 365 (если разрешено)
Applications
  • Регистрация (создание) приложений
  • Перечислите список всех приложений
  • Чтение свойств зарегистрированных и корпоративных приложений
  • Управление свойствами приложения, назначениями и учетными данными собственных приложений
  • Создание или удаление паролей приложений для пользователей
  • Удаление собственных приложений
  • Восстановление собственных приложений
  • Перечислить разрешения, предоставленные приложениям
  • Чтение свойств зарегистрированных и корпоративных приложений
  • Перечислить разрешения, предоставленные приложениям
  • Чтение свойств зарегистрированных и корпоративных приложений
  • Перечислить разрешения, предоставленные приложениям
Devices
  • Перечислите все устройства в списке
  • Прочитать все свойства устройств
  • Управление всеми свойствами собственных устройств
 Нет разрешений Нет разрешений
Organization
  • Чтение всей информации о компании
  • Прочитать все домены
  • Чтение конфигурации аутентификации на основе сертификатов
  • Чтение всех контрактов партнера
  • Чтение основных сведений о мультитенантной организации и активных арендаторах
  • Чтение отображаемого имени компании
  • Прочитать все домены
  • Чтение конфигурации аутентификации на основе сертификатов
  • Чтение отображаемого имени компании
  • Прочитать все домены
Роли и области
  • Чтение всех административных ролей и членств
  • Чтение всех свойств и членств административных единиц
 Нет разрешений Нет разрешений
Subscriptions
  • Просмотр всех лицензий и подписок
  • Активировать членства в тарифном плане
 Нет разрешений Нет разрешений
Policies
  • Чтение всех параметров политик
  • Управление всеми свойствами подведомственных политик
 Нет разрешений Нет разрешений
Условия использования Прочтите условия использования, которые были приняты пользователем. Прочтите условия использования, которые были приняты пользователем. Прочтите условия использования, которые были приняты пользователем.

Ограничение стандартных разрешений для пользователей-участников

Можно добавить ограничения для разрешений по умолчанию для пользователей.

Разрешения по умолчанию для пользователей-участников можно ограничить одним из описанных ниже способов.

Caution

Ограничение доступа к параметру портала администрирования Microsoft Entra ограничивает доступ к набору часто посещаемых страниц центра администрирования. Это не мера безопасности. Дополнительные сведения о параметре см. в следующей таблице.

Permission Описание настройки
Регистрация приложений Если этот параметр задано значение "Нет" , пользователи не могут создавать регистрации приложений. Затем вы можете предоставить возможность отдельным лицам, добавив их в роль разработчика приложений.
Разрешить пользователям подключать рабочую или учебную учетную запись с помощью LinkedIn Если этот параметр задано значение "Нет" , пользователи не могут подключать рабочую или учебную учетную запись с помощью учетной записи LinkedIn. Дополнительные сведения см. в разделе "Общий доступ к данным подключений учетной записи LinkedIn и согласие".
Создание групп безопасности Если этот параметр задано значение "Нет" , пользователи не могут создавать группы безопасности. Эти пользователи, которым назначена по крайней мере роль "Администраторы пользователей", по-прежнему могут создавать группы безопасности. Чтобы узнать, как, см. раздел Командлеты Microsoft Entra для настройки параметров группы.
Создание групп Microsoft 365 Если этот параметр задано значение "Нет" , пользователи не могут создавать группы Microsoft 365. Установив этот параметр на Некоторые, это позволит набору пользователей создавать группы Microsoft 365. Любой пользователь, которому назначена по крайней мере роль администратора пользователей , по-прежнему может создавать группы Microsoft 365. Чтобы узнать, как, см. раздел Командлеты Microsoft Entra для настройки параметров группы.
Ограничение доступа к порталу администрирования Microsoft Entra Что делает этот переключатель?
Установка этого параметра на Нет позволяет пользователям, не являющимся администраторами, войти в Центр администрирования Microsoft Entra.
Установка этого параметра на "Да" добавляет дополнительное препятствие для случайного просмотра. Этот параметр ограничивает загрузку набора часто посещаемых страниц для неадминистраторов в Центре администрирования Microsoft Entra и на портале Azure, включая домашнюю страницу, обзор арендатора и список пользователей. Неадминистраторам, которым принадлежат группы, не удается использовать Центр администрирования Microsoft Entra или портал Azure для управления этими ресурсами. Большинство страниц в Центре администрирования остаются доступными, если у пользователя есть прямая (глубокая) ссылка.

Чего оно не делает?
Он не блокирует программный доступ к данным Microsoft Entra с помощью PowerShell, API Microsoft Graph или других средств, таких как Visual Studio.
Он не применяется к пользователям с административной ролью, включая настраиваемые роли.
Он не запрещает доступ ко всем центрам администрирования. Многие области по-прежнему доступны через альтернативные пути.

Когда следует использовать этот переключатель?
Используйте этот параметр, если вы хотите добавить уровень трений, который не рекомендует пользователям, неадминистраторным, случайно открывать Центр администрирования Microsoft Entra. Это может помочь уменьшить неизведательное исследование, но не препятствует пользователям получать доступ к ресурсам или управлять ими с помощью других средств.

Когда не следует использовать этот переключатель?
Не полагаться на этот параметр как элемент управления безопасностью. Для более строгого применения используйте политику условного доступа, предназначенную для API управления службами Windows Azure Windows Azure , чтобы заблокировать доступ без администратора к конечным точкам управления Azure.

Как предоставить только определенным пользователям, не являющихся администраторами, возможность использовать портал администрирования Microsoft Entra?
Задайте для параметра "Да", а затем назначьте этим пользователям роль, например global Reader или другую роль, которая предоставляет соответствующие разрешения.

Хотите более эффективно ограничить доступ?
Используйте условный доступ для назначения API управления службами Windows Azure. Это обеспечивает более широкий контроль доступа ко всем интерфейсам управления на основе Azure, включая Центр администрирования Microsoft Entra.
Запретить пользователям, не являющимся администраторами, создавать арендаторов Пользователи могут создавать тенанты в Microsoft Entra ID и на портале администрирования Microsoft Entra в разделе "Управление тенантом". Создание арендатора записывается в журнале аудита под категорией DirectoryManagement и действием Create Company. По умолчанию пользователю, создающему клиент Microsoft Entra, автоматически назначается роль Глобального администратора. Только что созданный клиент не наследует никакие параметры или конфигурации.

Что делает этот переключатель?
Установка этого параметра на «Да» ограничивает создание клиентов Microsoft Entra людьми, назначенным по крайней мере роль создателя клиента. Установка этого параметра в положение "Нет" позволяет пользователям, не являющимся администраторами, создавать арендаторов Microsoft Entra. Создание арендатора продолжает записываться в журнале аудита.

Как предоставить только определенным пользователям, не являющихся администраторами, возможность создавать новые клиенты?
Задайте для этого параметра значение "Да", а затем назначьте им роль Создателя Клиента.
Ограничение пользователям восстановления ключей BitLocker для собственных устройств Этот параметр можно найти в Центре администрирования Microsoft Entra в параметрах устройства. Если этот параметр установлен в "Да", пользователи не смогут самостоятельно восстановить ключи BitLocker для своих собственных устройств. Чтобы получить ключи BitLocker, пользователи должны обратиться в службу технической поддержки своей организации. Установка этого параметра на No позволяет пользователям восстанавливать ключи BitLocker.
Читать других пользователей Этот параметр доступен только в Microsoft Graph и PowerShell. Установка этого флага на $false запрещает всем не администраторам читать данные о пользователях из директории. Этот флаг может предотвратить чтение сведений о пользователях в других службы Майкрософт таких как Microsoft Teams.

Этот параметр предназначен для особых обстоятельств, поэтому не рекомендуется задавать для флага значение $false. Чтобы настроить этот параметр, обновите authorizationPolicy с помощью Microsoft Graph, задав свойство AllowedToReadOtherUsers.

На следующем снимке экрана показан параметр "Ограничить неадминистраторов от создания арендаторов".

Снимок экрана, показывающий параметр

Ограничение стандартных разрешений для гостевых пользователей

Разрешения по умолчанию для гостевых пользователей можно ограничить одним из приведенных ниже способов.

Note

Параметр ограничений доступа гостевых пользователей заменил параметр гостевые пользователи имеют ограниченные разрешения. Инструкции по использованию этой функции см. в разделе "Ограничение разрешений гостевого доступа" в идентификаторе Microsoft Entra.

Permission Описание настройки
Ограничения доступа гостевых пользователей При настройке этого параметра гостевые пользователи имеют такой же доступ, что и участники, гостевые пользователи изначально получают все разрешения членов.

Установка этого параметра для гостевого доступа пользователей ограничена свойствами и членством в своих собственных объектах каталога , ограничивает гостевой доступ только к собственному профилю пользователя по умолчанию. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен.

Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье о гостевом доступе Microsoft Teams.

Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.
Гости могут пригласить Параметр " Да " позволяет гостям приглашать других гостей. Дополнительные сведения см. в разделе "Настройка параметров внешней совместной работы".

Владелец объекта

Разрешения владельца при регистрации приложения

Когда пользователь регистрирует приложение, он автоматически добавляется в качестве владельца приложения. Владелец может управлять метаданными приложения, такими как его имя и запрашиваемыми приложением разрешениями. Он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа и назначениями пользователей.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора приложений, владельцы могут управлять только собственными приложениями.

Разрешения владельцев корпоративных приложений

Когда пользователь добавляет новое корпоративное приложение, он автоматически добавляется в качестве владельца. В качестве владельца он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа, подготовкой и назначениями пользователей.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора приложений, владельцы могут управлять только собственными приложениями.

Разрешения владельца группы

Когда пользователь создает группу, он автоматически добавляется в качестве владельца этой группы. Владелец может управлять свойствами группы, например именем, а также членством группы.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора групп, владельцы могут управлять только теми группами, которыми они владеет, и могут добавлять или удалять участников группы только в том случае, если назначен тип членства в группе.

Чтобы назначить владельца группы, см. статью "Управление владельцами для группы".

Сведения об использовании управления привилегированным доступом (PIM) для создания группы, подходящей для назначения ролей, см. в статье "Использование групп Microsoft Entra для управления назначениями ролей".

Разрешения владения

В следующих таблицах описываются конкретные разрешения в Microsoft Entra ID, которые пользователи-члены имеют в отношении объектов, которыми они владеют. Пользователи имеют эти разрешения только для объектов, которыми они владеют.

Регистрация собственных приложений

Пользователи могут выполнять следующие действия с регистрацией принадлежащих им приложений:

Action Description
microsoft.directory/applications/audience/update applications.audience Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/authentication/update applications.authentication Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/basic/update Обновите базовые свойства приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/credentials/update applications.credentials Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/delete Удаление приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/owners/update applications.owners Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/permissions/update applications.permissions Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/policies/update applications.policies Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/restore Восстановление приложений в идентификаторе Microsoft Entra.

Собственные корпоративные приложения

Пользователи могут выполнять следующие действия с собственными корпоративными приложениями. Корпоративное приложение состоит из учетной записи службы, одной или нескольких политик приложений, а иногда и объекта приложения, размещенного в том же тенанте, что и учетная запись службы.

Action Description
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств (включая привилегированные свойства) в журналах аудита Microsoft Entra ID.
microsoft.directory/policies/basic/update Обновите базовые свойства политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/delete Удаление политик в Microsoft Entra ID.
microsoft.directory/policies/owners/update policies.owners Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update servicePrincipals.appRoleAssignedTo Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update users.appRoleAssignments Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/audience/update servicePrincipals.audience Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/update servicePrincipals.authentication Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update Обновите базовые свойства субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/credentials/update servicePrincipals.credentials Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update servicePrincipals.owners Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update servicePrincipals.permissions Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/policies/update servicePrincipals.policies Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств (включая привилегированные свойства) в отчетах о входе в Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление секретами и учетными данными для развертывания приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение настроек предоставления ресурсов, связанных с доверенным представителем службы

Принадлежащие устройства

Пользователи могут выполнять на собственных устройствах следующие действия:

Action Description
microsoft.directory/devices/bitLockerRecoveryKeys/read Чтение свойства devices.bitLockerRecoveryKeys в Microsoft Entra ID.
microsoft.directory/devices/disable Отключите устройства в идентификаторе Microsoft Entra.

Принадлежащие группы

Пользователи могут выполнять в собственных группах следующие действия.

Note

Владельцы динамических групп членства должны иметь роль администратора групп, администратора Intune или администратора пользователей для изменения правил для динамических групп членства. Дополнительные сведения см. в разделе "Создание или обновление динамической группы членства" в идентификаторе Microsoft Entra ID.

Action Description
microsoft.directory/groups/appRoleAssignments/update groups.appRoleAssignments Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/groups/basic/update Обновите базовые свойства групп в идентификаторе Microsoft Entra.
microsoft.directory/groups/delete Удаление групп в идентификаторе Microsoft Entra.
microsoft.directory/groups/members/update groups.members Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/groups/owners/update groups.owners Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/groups/restore Восстановление групп в идентификаторе Microsoft Entra.
microsoft.directory/groups/settings/update groups.settings Обновите свойство в идентификаторе Microsoft Entra.

Дальнейшие шаги

  • Last updated on