Каковы разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

2025-03-05

В идентификаторе Microsoft Entra все пользователи получают набор разрешений по умолчанию. Доступ пользователя состоит из типа пользователя, назначения ролей и их владения отдельными объектами.

В этой статье описываются эти разрешения по умолчанию и содержится сравнение значений по умолчанию для участников и гостевых пользователей. Разрешения пользователей по умолчанию можно изменить только в параметрах пользователя в идентификаторе Microsoft Entra.

Участники и гостевые пользователи

Набор разрешений по умолчанию зависит от того, является ли пользователь собственным членом клиента (пользователя-участника) или передан из другого каталога, например гостевого пользователя для совместной работы (B2B). Дополнительные сведения о добавлении гостевых пользователей см. в статье "Что такое совместная работа Microsoft Entra B2B?". Ниже приведены возможности разрешений по умолчанию.

Пользователи-члены могут регистрировать приложения, управлять своими фотографиями профиля и номером мобильного телефона, изменять свой пароль и приглашать гостей B2B. Эти пользователи также могут считывать все данные каталога (с некоторыми исключениями).
Гостевые пользователи имеют ограниченные разрешения на каталог. Они могут управлять собственным профилем, изменять свой пароль и получать сведения о других пользователях, группах и приложениях. Однако они не могут читать все данные каталога.

Например, гостевые пользователи не могут получить список всех пользователей, групп и других объектов каталога. Гостей можно добавить в роли администраторов, которые предоставят им полные разрешения на чтение и запись. Гости также могут приглашать других гостей.

Сравнение стандартных разрешений участника и гостя

Area	Разрешения участника	Разрешения гостевых пользователей по умолчанию	Разрешения ограниченного гостевого пользователя
Пользователи и контакты	Перечисление всех пользователей и контактов в списке Чтение всех открытых свойств пользователей и контактов Приглашение гостей Изменение собственного пароля Управление собственным номером мобильного телефона Управление собственной фотографией Аннуляция собственных токенов обновления	Чтение собственных свойств Чтение отображаемого имени, электронной почты, имени для входа, просмотр изображения, чтение имени участника-пользователя и свойств типа пользователя для других пользователей и контактов Изменение собственного пароля Поиск другого пользователя по идентификатору объекта (если разрешено) Чтение сведений о руководителе и подчиненных других пользователей	Чтение собственных свойств Изменение собственного пароля Управление собственным номером мобильного телефона
Groups	Создание групп безопасности Создание групп Microsoft 365 Перечисление всех групп в списке Чтение всех свойств групп Чтение членства в нехиддированных группах Чтение скрытого членства в группах Microsoft 365 для присоединенных групп Управление свойствами, правами владения и членством в группах, которые принадлежат пользователю Добавление гостей в собственные группы Управление параметрами членства в группах Удаление собственных групп Восстановление собственных групп Microsoft 365	Чтение свойств нехидированных групп, включая членство и владение (даже несоединяемые группы) Чтение скрытого членства в группах Microsoft 365 для присоединенных групп Поиск групп по отображаемому имени или идентификатору объекта (если разрешено)	Чтение идентификатора объекта для объединенных групп Чтение данных о членстве и владении для объединенных групп в некоторых приложениях Microsoft 365 (если разрешено)
Applications	Регистрация (создание) приложений Перечисление всех приложений в списке Чтение свойств зарегистрированных и корпоративных приложений Управление свойствами приложения, назначениями и учетными данными собственных приложений Создание или удаление паролей приложений для пользователей Удаление собственных приложений Восстановление собственных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям
Devices	Перечисление всех устройств в списке Чтение всех свойств устройств Управление всеми свойствами собственных устройств	Нет разрешений	Нет разрешений
Organization	Чтение всей информации о компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов Чтение всех контрактов партнера Чтение основных сведений о мультитенантной организации и активных клиентах	Чтение отображаемого имени компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов	Чтение отображаемого имени компании Чтение всех доменов
Роли и области	Чтение всех административных ролей и членств Чтение всех свойств и членств административных единиц	Нет разрешений	Нет разрешений
Subscriptions	Чтение всех подписок на лицензирование Включение членства в плане обслуживания	Нет разрешений	Нет разрешений
Policies	Чтение всех свойств политик Управление всеми свойствами собственных политик	Нет разрешений	Нет разрешений
Условия использования	Прочтите условия использования, которые были приняты пользователем.	Прочтите условия использования, которые были приняты пользователем.	Прочтите условия использования, которые были приняты пользователем.

Ограничение стандартных разрешений для пользователей-участников

Можно добавить ограничения для разрешений по умолчанию для пользователей.

Разрешения по умолчанию для пользователей-участников можно ограничить одним из описанных ниже способов.

Caution

Ограничение доступа к параметру портала администрирования Microsoft Entra ограничивает доступ к набору часто посещаемых страниц центра администрирования. Это не мера безопасности. Дополнительные сведения о параметре см. в следующей таблице.

Permission	Описание настройки
Регистрация приложений	Если этот параметр задано значение "Нет" , пользователи не могут создавать регистрации приложений. Затем вы можете предоставить возможность отдельным лицам, добавив их в роль разработчика приложений.
Разрешить пользователям подключать рабочую или учебную учетную запись с помощью LinkedIn	Если этот параметр задано значение "Нет" , пользователи не могут подключать рабочую или учебную учетную запись с помощью учетной записи LinkedIn. Дополнительные сведения см. в разделе "Общий доступ к данным подключений учетной записи LinkedIn и согласие".
Создание групп безопасности	Если этот параметр задано значение "Нет" , пользователи не могут создавать группы безопасности. Эти пользователи, которым назначена по крайней мере роль "Администраторы пользователей", по-прежнему могут создавать группы безопасности. Чтобы узнать, как, см. раздел Командлеты Microsoft Entra для настройки параметров группы.
Создание групп Microsoft 365	Если этот параметр задано значение "Нет" , пользователи не могут создавать группы Microsoft 365. Установив этот параметр на Некоторые, это позволит набору пользователей создавать группы Microsoft 365. Любой пользователь, которому назначена по крайней мере роль администратора пользователей , по-прежнему может создавать группы Microsoft 365. Чтобы узнать, как, см. раздел Командлеты Microsoft Entra для настройки параметров группы.
Ограничение доступа к порталу администрирования Microsoft Entra	Что делает этот переключатель? Установка этого параметра на Нет позволяет пользователям, не являющимся администраторами, войти в Центр администрирования Microsoft Entra. Установка этого параметра на "Да" добавляет дополнительное препятствие для случайного просмотра. Этот параметр ограничивает загрузку набора часто посещаемых страниц для неадминистраторов в Центре администрирования Microsoft Entra и на портале Azure, включая домашнюю страницу, обзор арендатора и список пользователей. Неадминистраторам, которым принадлежат группы, не удается использовать Центр администрирования Microsoft Entra или портал Azure для управления этими ресурсами. Большинство страниц в Центре администрирования остаются доступными, если у пользователя есть прямая (глубокая) ссылка. Чего оно не делает? Он не блокирует программный доступ к данным Microsoft Entra с помощью PowerShell, API Microsoft Graph или других средств, таких как Visual Studio. Он не применяется к пользователям с административной ролью, включая настраиваемые роли. Он не запрещает доступ ко всем центрам администрирования. Многие области по-прежнему доступны через альтернативные пути. Когда следует использовать этот переключатель? Используйте этот параметр, если вы хотите добавить уровень трений, который не рекомендует пользователям, неадминистраторным, случайно открывать Центр администрирования Microsoft Entra. Это может помочь уменьшить неизведательное исследование, но не препятствует пользователям получать доступ к ресурсам или управлять ими с помощью других средств. Когда не следует использовать этот переключатель? Не полагаться на этот параметр как элемент управления безопасностью. Для более строгого применения используйте политику условного доступа, предназначенную для API управления службами Windows Azure Windows Azure , чтобы заблокировать доступ без администратора к конечным точкам управления Azure. Как предоставить только определенным пользователям, не являющихся администраторами, возможность использовать портал администрирования Microsoft Entra? Задайте для параметра "Да", а затем назначьте этим пользователям роль, например global Reader или другую роль, которая предоставляет соответствующие разрешения. Хотите более эффективно ограничить доступ? Используйте условный доступ для назначения API управления службами Windows Azure. Это обеспечивает более широкий контроль доступа ко всем интерфейсам управления на основе Azure, включая Центр администрирования Microsoft Entra.
Запретить пользователям, не являющимся администраторами, создавать арендаторов	Пользователи могут создавать арендаторы на портале администрирования Microsoft Entra в разделе "Управление клиентом". Создание клиента записывается в журнал аудита как категория DirectoryManagement и действие Create Company. По умолчанию пользователю, создающему клиент Microsoft Entra, автоматически назначается роль Глобального администратора. Только что созданный клиент не наследует никакие параметры или конфигурации. Что делает этот переключатель? Установка этого параметра на «Да» ограничивает создание клиентов Microsoft Entra людьми, назначенным по крайней мере роль создателя клиента. Установка этого параметра в положение "Нет" позволяет пользователям, не являющимся администраторами, создавать арендаторов Microsoft Entra. Создание клиента продолжает записываться в журнал аудита. Как предоставить только определенным пользователям, не являющихся администраторами, возможность создавать новые клиенты? Задайте для этого параметра значение "Да", а затем назначьте им роль Создателя Клиента.
Ограничение пользователям восстановления ключей BitLocker для собственных устройств	Этот параметр можно найти в Центре администрирования Microsoft Entra в параметрах устройства. Если этот параметр установлен в "Да", пользователи не смогут самостоятельно восстановить ключи BitLocker для своих собственных устройств. Чтобы получить ключи BitLocker, пользователи должны обратиться в службу технической поддержки своей организации. Установка этого параметра на No позволяет пользователям восстанавливать ключи BitLocker.
Читать других пользователей	Этот параметр доступен только в Microsoft Graph и PowerShell. Установка этого флага, чтобы `$false` запретить всем неадминилям читать сведения о пользователях из каталога. Этот флаг может предотвратить чтение сведений о пользователях в других службы Майкрософт таких как Microsoft Teams. Этот параметр предназначен для особых обстоятельств, поэтому не рекомендуется задавать для флага значение `$false`.

На следующем снимке экрана показан параметр "Ограничить неадминистраторов от создания арендаторов".

Ограничение стандартных разрешений для гостевых пользователей

Разрешения по умолчанию для гостевых пользователей можно ограничить одним из приведенных ниже способов.

Note

Параметр ограничений доступа гостевых пользователей заменил параметр гостевые пользователи имеют ограниченные разрешения. Инструкции по использованию этой функции см. в разделе "Ограничение разрешений гостевого доступа" в идентификаторе Microsoft Entra.

Permission	Описание настройки
Ограничения доступа гостевых пользователей	При настройке этого параметра гостевые пользователи имеют такой же доступ, что и участники, гостевые пользователи изначально получают все разрешения членов. Установка этого параметра для гостевого доступа пользователей ограничена свойствами и членством в своих собственных объектах каталога , ограничивает гостевой доступ только к собственному профилю пользователя по умолчанию. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен. Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье о гостевом доступе Microsoft Teams. Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.
Гости могут пригласить	Параметр " Да " позволяет гостям приглашать других гостей. Дополнительные сведения см. в разделе "Настройка параметров внешней совместной работы".

Permission

Описание настройки

Ограничения доступа гостевых пользователей

При настройке этого параметра гостевые пользователи имеют такой же доступ, что и участники, гостевые пользователи изначально получают все разрешения членов.

Установка этого параметра для гостевого доступа пользователей ограничена свойствами и членством в своих собственных объектах каталога , ограничивает гостевой доступ только к собственному профилю пользователя по умолчанию. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен.

Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье о гостевом доступе Microsoft Teams.

Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.

Гости могут пригласить

Параметр " Да " позволяет гостям приглашать других гостей. Дополнительные сведения см. в разделе "Настройка параметров внешней совместной работы".

Владелец объекта

Разрешения владельца при регистрации приложения

Когда пользователь регистрирует приложение, он автоматически добавляется в качестве владельца приложения. Владелец может управлять метаданными приложения, такими как имя, и разрешениями приложения. Он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа и назначениями пользователей.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора приложений, владельцы могут управлять только собственными приложениями.

Разрешения владельцев корпоративных приложений

Когда пользователь добавляет новое корпоративное приложение, он автоматически добавляется в качестве владельца. В качестве владельца он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа, подготовкой и назначениями пользователей.

Разрешения владельца группы

Когда пользователь создает группу, он автоматически добавляется в качестве владельца этой группы. Владелец может управлять свойствами группы, например именем, а также членством группы.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора групп, владельцы могут управлять только теми группами, которыми они владеет, и могут добавлять или удалять участников группы только в том случае, если назначен тип членства в группе.

Чтобы назначить владельца группы, см. статью "Управление владельцами для группы".

Сведения об использовании управления привилегированным доступом (PIM) для создания группы, подходящей для назначения ролей, см. в статье "Использование групп Microsoft Entra для управления назначениями ролей".

Разрешения владения

В следующих таблицах описываются конкретные разрешения в Microsoft Entra ID, которые пользователи-члены имеют в отношении объектов, которыми они владеют. Пользователи имеют эти разрешения только для объектов, которыми они владеют.

Регистрация собственных приложений

Пользователи могут выполнять следующие действия с регистрацией принадлежащих им приложений:

Action	Description
microsoft.directory/applications/audience/update	`applications.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/authentication/update	`applications.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/basic/update	Обновите базовые свойства приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/credentials/update	`applications.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/delete	Удаление приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/owners/update	`applications.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/permissions/update	`applications.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/policies/update	`applications.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/restore	Восстановление приложений в идентификаторе Microsoft Entra.

Собственные корпоративные приложения

Пользователи могут выполнять следующие действия с собственными корпоративными приложениями. Корпоративное приложение состоит из субъекта-службы, одной или нескольких политик приложений, а иногда и объекта приложения, размещенного в том же клиенте, что и субъект-служба.

Action	Description
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в журналах аудита в идентификаторе Microsoft Entra.
microsoft.directory/policies/basic/update	Обновите базовые свойства политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/delete	Удаление политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/owners/update	`policies.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	`servicePrincipals.appRoleAssignedTo` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update	`users.appRoleAssignments` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/audience/update	`servicePrincipals.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/update	`servicePrincipals.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update	Обновите базовые свойства субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/credentials/update	`servicePrincipals.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update	`servicePrincipals.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update	`servicePrincipals.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/policies/update	`servicePrincipals.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в отчетах о входе в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой

Принадлежащие устройства

Пользователи могут выполнять на собственных устройствах следующие действия:

Action	Description
microsoft.directory/devices/bitLockerRecoveryKeys/read	Чтение свойства в идентификаторе `devices.bitLockerRecoveryKeys` Microsoft Entra.
microsoft.directory/devices/disable	Отключите устройства в идентификаторе Microsoft Entra.

Принадлежащие группы

Пользователи могут выполнять в собственных группах следующие действия.