Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
在Microsoft Entra ID中,所有用户都被授予一组默认权限。 用户的访问权限包括用户类型、角色 分配以及单个对象的所有权。
本文介绍这些默认权限,并将成员和来宾用户的默认权限进行比较。 只能在Microsoft Entra ID中的用户设置中更改默认用户权限。
成员和来宾用户
默认权限设置取决于用户是租户的本地成员(成员用户),还是从其他目录引入的用户,例如企业对企业(B2B)协作来宾(来宾用户)。 有关添加来宾用户的详细信息,请参阅 什么是Microsoft Entra B2B 协作?。 下面是默认权限的权限:
成员用户可以 注册应用程序、管理自己的个人资料照片和移动电话号码、更改自己的密码以及邀请 B2B 来宾。 这些用户还可以读取所有目录信息(有一些例外)。
来宾用户 具有受限的目录权限。 他们可以管理自己的个人资料、更改自己的密码并检索其他用户、组和应用的某些信息。 但是,他们不能读取所有目录信息。
例如,来宾用户无法枚举包含所有用户、组和其他 Directory 对象的列表。 可将来宾添加到管理员角色,从而向他们授予完全读取和写入权限。 来宾还可以邀请其他来宾。
注意事项
由于 Intune 使用自己的 RBAC 系统来管理对设备管理功能的访问,受限制的来宾用户将能够使用适当的权限访问 Intune 门户。
比较成员和来宾的默认权限
| 面积 | 成员用户权限 | 默认来宾用户权限 | 受限来宾用户权限 |
|---|---|---|---|
| 用户和联系人 |
|
|
|
| 组 |
|
|
|
| 应用程序 |
|
|
|
| 设备 |
|
无权限 | 无权限 |
| 组织 |
|
|
|
| 角色和作用域 |
|
无权限 | 无权限 |
| 订阅 |
|
无权限 | 无权限 |
| 策略 |
|
无权限 | 无权限 |
| 使用条款 | 阅读用户已接受的使用条款。 | 阅读用户已接受的使用条款。 | 阅读用户已接受的使用条款。 |
限制成员用户的默认权限
可以向用户的默认权限添加限制。
可通过以下方式限制成员用户的默认权限:
注意
限制访问 Microsoft Entra 管理门户 的设置限制对一组常访问的管理中心页面的访问。 这不是 安全措施。 有关设置的详细信息,请参阅下表。
| 权限 | 设置说明 |
|---|---|
| 注册应用程序 | 将此选项设置为 “否” 可阻止用户创建应用程序注册。 然后,通过将特定的个人添加到“应用程序开发人员”角色,可以将该能力重新授予这些个人。 |
| 创建安全组 | 将此选项设置为 “否” 可阻止用户创建安全组。 至少分配有用户管理员角色的用户仍然可以创建安全组。 若要了解方法,请参阅Microsoft Entra 配置组设置的 cmdlet。 |
| 创建Microsoft 365组 | 将此选项设置为 No 可防止用户创建Microsoft 365组。 将此选项设置为 Some允许一组用户创建Microsoft 365组。 至少分配了 User Administrator 角色的任何人都可以创建Microsoft 365组。 若要学习如何进行配置,请参阅 Microsoft Entra cmdlet 用于配置组设置。 |
| 限制访问 Microsoft Entra 管理门户 |
此开关的作用是什么? 将此选项设置为 No允许非管理员登录到Microsoft Entra管理中心。 将此选项设置为 “是 ”会增加随意浏览的摩擦层。 此设置限制非管理员在Microsoft Entra管理中心和Azure门户中加载一组经常访问的页面,包括主页、租户概述和用户列表。 拥有组的非管理员无法使用Microsoft Entra管理中心或Azure门户来管理这些资源。 如果用户具有直接(深层)链接,管理中心中的大多数页面仍可访问。
它不会限制哪些功能?
何时应使用此开关?
何时不应使用此开关?
如何仅向特定非管理员用户授予使用Microsoft Entra管理门户的功能?
想要更有效地限制访问? |
| 限制非管理员用户创建租户 | 用户可以在“管理租户”下的Microsoft Entra ID和Microsoft Entra管理门户中创建租户。 租户的创建在审核日志中记录为类别“目录管理”(DirectoryManagement),活动“创建公司”(Create Company)。 默认情况下,创建Microsoft Entra租户的用户会自动分配 Global Administrator 角色。 新创建的租户不会继承任何设置或配置。
此开关的作用是什么?
如何仅向特定非管理员用户授予创建新租户的能力? |
| 限制用户为自己的设备恢复 BitLocker 密钥 | 可以在设备设置中的Microsoft Entra管理中心中找到此设置。 将此选项设置为 “是 ”会限制用户能够自行恢复其自有设备的 BitLocker 密钥。 用户必须联系组织的支持人员才能检索其 BitLocker 密钥。 将此选项设置为 “否” 可让用户恢复其 BitLocker 密钥。 |
| 阅读其他用户的内容 | 此设置仅在 Microsoft Graph 和 PowerShell 中可用。 将此标记设置为 $false 可阻止所有非管理员从目录中读取用户信息。 此标志可能会阻止在其他Microsoft服务(如Microsoft Teams)中读取用户信息。此设置适用于特殊情况,因此不建议将此标记设置为 |
下面的屏幕截图显示了“限制非管理员用户创建租户”选项。
限制来宾用户的默认权限
可以通过以下方式限制来宾用户的默认权限。
注意事项
“来宾用户访问限制”设置已替换“来宾用户权限受限”设置。 有关此功能的使用指导,请参阅 Microsoft Entra ID 中的“限制来宾访问权限”。
| 权限 | 设置说明 |
|---|---|
| 来宾用户访问限制 | 如果将此选项设置为“来宾用户与成员用户具有相同访问权限”,则默认向来宾用户授予所有成员用户权限。 如果将此选项设置为“来宾用户仅能访问自己的 Directory 对象的属性和成员身份”,则默认将来宾用户限制为仅可访问自己的用户配置文件。 不再允许访问其他用户,即使他们正在按用户主体名称、对象 ID 或显示名称进行搜索。 不再允许访问组信息,包括组成员列表。 此设置不会阻止访问某些Microsoft 365服务(如Microsoft Teams)中已加入的组。 若要了解详细信息,请参阅 Microsoft Teams 来宾访问。 无论此权限设置如何,仍可将来宾用户添加到管理员角色。 |
| 来宾可以邀请 | 将此选项设置为 “是 ”允许来宾邀请其他来宾。 若要了解详细信息,请参阅 “配置外部协作设置”。 |
对象所有权
应用程序注册所有者权限
当某个用户注册某个应用程序时,该用户会被自动添加为该应用程序的所有者。 所有者可以管理应用程序的元数据,例如应用请求的名称和权限。 所有者还可以管理应用程序的特定于租户的配置,例如单一登录 (SSO) 配置和用户分配。
所有者还可以添加或删除其他所有者。 与至少分配有应用程序管理员角色的那些用户不同,所有者只能管理自己拥有的应用程序。
企业应用程序所有者权限
当某个用户添加新的企业应用程序时,系统会将该用户自动添加为所有者。 作为所有者,他们可以管理应用程序的特定于租户的配置,例如 SSO 配置、预配和用户分配。
所有者还可以添加或删除其他所有者。 与至少分配有应用程序管理员角色的那些用户不同,所有者只能管理自己拥有的应用程序。
组所有者权限
当某个用户创建某个组时,系统会将该用户自动添加为该组的所有者。 所有者可以管理组的属性(例如名称),以及管理组成员身份。
所有者还可以添加或删除其他所有者。 与分配至少组 管理员 角色的用户不同,所有者只能管理他们拥有的组,并且只有在 分配组的成员身份类型时,他们才能添加或删除组成员。
若要分配组所有者,请参阅 管理组的所有者。
若要使用 Privileged Access Management (PIM)使一个组符合角色分配条件,请参阅 使用 Microsoft Entra 组来管理角色的分配。
所有权权限
下面的表格描述了成员用户在 Microsoft Entra ID 中对自己拥有的对象所拥有的特定权限。 用户拥有的这些权限仅适用于其拥有的对象。
拥有的应用程序注册
用户可以在拥有的应用程序注册上执行以下操作:
| Action | 说明 |
|---|---|
| microsoft.directory/应用程序/受众/更新 | 更新 Microsoft Entra ID 中的 applications.audience 属性。 |
| microsoft.directory/applications/authentication/update | 更新 Microsoft Entra ID 中的 applications.authentication 属性。 |
| microsoft.directory/applications/basic/update | 更新 Microsoft Entra ID 中应用程序的基本属性。 |
| microsoft.directory/applications/credentials/update | 更新 Microsoft Entra ID 中的 applications.credentials 属性。 |
| microsoft.directory/应用程序/删除 | 删除Microsoft Entra ID中的应用程序。 |
| microsoft.directory/applications/owners/update | 更新 Microsoft Entra ID 中的 applications.owners 属性。 |
| microsoft.directory/applications/permissions/update | 更新 Microsoft Entra ID 中的 applications.permissions 属性。 |
| microsoft.directory/applications/policies/update | 更新 Microsoft Entra ID 中的 applications.policies 属性。 |
| microsoft.directory/applications/restore | 还原Microsoft Entra ID中的应用程序。 |
拥有的企业应用程序
用户可以在拥有的企业应用程序上执行以下操作。 企业应用程序包含服务主体、一个或多个应用程序策略,有时还包含应用程序对象,该对象与服务主体位于同一租户中。
| Action | 说明 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 读取Microsoft Entra ID审核日志上的所有属性(包括特权属性)。 |
| microsoft.directory/policies/basic/update | 更新Microsoft Entra ID中策略的基本属性。 |
| microsoft.directory/policies/delete | 删除Microsoft Entra ID中的策略。 |
| microsoft.directory/policies/owners/update | 更新 Microsoft Entra ID 中的 policies.owners 属性。 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新 Microsoft Entra ID 中的 servicePrincipals.appRoleAssignedTo 属性。 |
| microsoft.directory/servicePrincipals/appRoleAssignments/update | 更新 Microsoft Entra ID 中的 users.appRoleAssignments 属性。 |
| microsoft.directory/servicePrincipals/audience/更新 | 更新 Microsoft Entra ID 中的 servicePrincipals.audience 属性。 |
| microsoft.directory/servicePrincipals/authentication/update | 更新 Microsoft Entra ID 中的 servicePrincipals.authentication 属性。 |
| microsoft.directory/servicePrincipals/basic/update | 在 Microsoft Entra ID 中更新服务主体的基本属性。 |
| microsoft.directory/servicePrincipals/credentials/update | 更新 Microsoft Entra ID 中的 servicePrincipals.credentials 属性。 |
| 微软.目录/服务主体/删除 | 删除Microsoft Entra ID中的服务主体。 |
| microsoft.directory/servicePrincipals/owners/update | 更新 Microsoft Entra ID 中的 servicePrincipals.owners 属性。 |
| microsoft.directory/servicePrincipals/permissions/update | 更新 Microsoft Entra ID 中的 servicePrincipals.permissions 属性。 |
| microsoft.directory/servicePrincipals/policies/update | 更新 Microsoft Entra ID 中的 servicePrincipals.policies 属性。 |
| microsoft.directory/signInReports/allProperties/read | 在Microsoft Entra ID中读取登录报表上的所有属性(包括特权属性)。 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理应用程序预配机密和凭据 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 启动、重启和暂停应用程序预配同步作业 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 创建和管理应用程序预配同步作业和架构 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 读取与服务主体关联的预配置设置 |
拥有的设备
用户可以在拥有的设备上执行以下操作:
| Action | 说明 |
|---|---|
| microsoft.directory/devices/bitLockerRecoveryKeys/read | 读取 Microsoft Entra ID 中的 devices.bitLockerRecoveryKeys 属性。 |
| microsoft.directory/devices/disable | 禁用Microsoft Entra ID中的设备。 |
拥有的组
用户可以在拥有的组上执行以下操作。
注意事项
动态成员身份组的所有者必须具有组管理员、Intune 管理员或用户管理员角色才能编辑动态成员身份组的规则。 有关详细信息,请参阅
| Action | 说明 |
|---|---|
| microsoft.directory/groups/appRoleAssignments/update | 更新 Microsoft Entra ID 中的 groups.appRoleAssignments 属性。 |
| microsoft.directory/groups/basic/更新 | 更新 Microsoft Entra ID 中的组的基本属性。 |
| microsoft.directory/groups/delete | 删除 Microsoft Entra ID 中的这些组。 |
| microsoft.directory/groups/members/update | 更新 Microsoft Entra ID 中的 groups.members 属性。 |
| microsoft.directory/groups/owners/update | 更新 Microsoft Entra ID 中的 groups.owners 属性。 |
| microsoft.directory/groups/restore (恢复) | 还原Microsoft Entra ID中的组。 |
| 微软.directory/群组/设置/更新 | 更新 Microsoft Entra ID 中的 groups.settings 属性。 |
后续步骤
若要了解有关 Guest 用户访问限制 设置的详细信息,请参阅 Microsoft Entra ID 中的限制来宾访问权限。
若要详细了解如何分配Microsoft Entra管理员角色,请参阅将用户分配到 Microsoft Entra ID 中的管理员角色。
若要详细了解如何在 Azure 中控制资源访问,请参阅Azure 中的资源访问理解。
管理用户。