Azure Active Directory 中的默认用户权限是什么?

在 Azure Active Directory (Azure AD) 中,所有用户都被授予一组默认权限。 用户的访问权限由用户的类型、其角色分配及其对单个对象的所有权构成。

本文介绍这些默认权限,并将成员和来宾用户的默认权限进行比较。 只能在 Azure AD 的用户设置中更改默认用户权限。

成员和来宾用户

默认权限集取决于用户是租户的原生成员(成员用户),还是作为企业对企业 (B2B) 协作来宾(来宾用户)从另一个目录转入的。 有关添加来宾用户的详细信息,请参阅什么是 Azure AD B2B 协作?。 下面是默认权限的权限:

  • 成员用户可以注册应用程序、管理自己的个人资料照片和手机号码、更改自己的密码,以及邀请 B2B 来宾。 这些用户还可以读取所有目录信息(有一些例外)。

  • 来宾用户的目录权限受到限制。 他们可以管理自己的个人资料、更改自己的密码并检索其他用户、组和应用的某些信息。 但是,他们不能读取所有目录信息。

    例如,来宾用户无法枚举包含所有用户、组和其他 Directory 对象的列表。 可将来宾添加到管理员角色,从而向他们授予完全读取和写入权限。 来宾还可以邀请其他来宾。

比较成员和来宾的默认权限

区域 成员用户权限 默认来宾用户权限 受限来宾用户权限
用户和联系人
  • 以列表的形式枚举所有用户和联系人
  • 读取用户和联系人的所有公共属性
  • 邀请来宾
  • 更改其自己的密码
  • 管理其自己的移动电话号码
  • 管理其自己的照片
  • 使其自己的刷新令牌失效
  • 读取其自己的属性
  • 读取其他用户和联系人的显示名称、电子邮件、登录名、照片、用户主体名称和用户类型属性
  • 更改其自己的密码
  • 按对象 ID 搜索其他用户(如果允许)
  • 读取其他用户的管理员信息和直接报表信息
  • 读取其自己的属性
  • 更改其自己的密码
  • 管理其自己的移动电话号码
  • 创建安全组
  • 创建 Microsoft 365 组
  • 以列表的形式枚举所有组
  • 读取组的所有属性
  • 读取非隐藏的组成员身份
  • 读取加入的组的隐藏 Microsoft 365 组成员身份
  • 管理用户拥有的组的属性、所有权和成员身份
  • 将来宾添加到拥有的组
  • 管理动态成员身份设置
  • 删除拥有的组
  • 还原拥有的 Microsoft 365 组
  • 读取非隐藏组的属性,包括成员身份和所有权(甚至是未加入的组)
  • 读取加入的组的隐藏 Microsoft 365 组成员身份
  • 按显示名称或对象 ID 搜索组(如果允许)
  • 读取加入的组的对象 ID
  • 在某些 Microsoft 365 应用中读取加入的组的成员身份和所有权(如果允许)
应用程序
  • 注册(创建)新应用程序
  • 以列表的形式枚举所有应用程序
  • 读取已注册的应用程序和企业应用程序的属性
  • 列出向应用程序授予的权限
  • 管理拥有的应用程序的应用程序属性、分配和凭据
  • 创建或删除用户的应用程序密码
  • 删除拥有的应用程序
  • 还原拥有的应用程序
  • 列出向应用程序授予的权限
  • 读取已注册的应用程序和企业应用程序的属性
  • 列出向应用程序授予的权限
  • 读取已注册的应用程序和企业应用程序的属性
  • 列出向应用程序授予的权限
设备
  • 以列表的形式枚举所有设备
  • 读取设备的所有属性
  • 管理拥有的设备的所有属性
无权限 无权限
组织
  • 读取所有公司信息
  • 读取所有域
  • 读取基于证书的身份验证的配置
  • 读取所有合作伙伴协定
  • 读取公司显示名称
  • 读取所有域
  • 读取基于证书的身份验证的配置
  • 读取公司显示名称
  • 读取所有域
角色和作用域
  • 读取所有管理角色和成员身份
  • 读取管理单元的所有属性和成员身份
无权限 无权限
订阅
  • 读取所有订阅
  • 启用服务计划成员身份
无权限 无权限
策略
  • 读取策略的所有属性
  • 管理拥有的策略的所有属性
无权限 无权限

限制成员用户的默认权限

可以向用户的默认权限添加限制。 如果不希望目录中的所有用户都有权访问 Azure AD 管理门户/目录,则可使用此功能。

例如,某个大学的目录中有许多用户。 如果管理员不希望目录中的所有学生都能看到完整目录并侵犯其他学生的隐私,则可使用此功能。 此功能的使用不是强制性的,由 Azure AD 管理员自行决定。

可通过以下方式限制成员用户的默认权限:

权限 设置说明
注册应用程序 将此选项设置为“否”可阻止用户创建应用程序注册。 然后,通过将特定的个人添加到应用程序开发人员角色,可以将该权限重新授予这些个人。

| 创建安全组 | 将此选项设置为“否”可阻止用户创建安全组。 全局管理员和用户管理员仍可创建安全组。 有关操作方法,请参阅用于配置组设置的 Azure Active Directory cmdlet。 | | 创建 Microsoft 365 组 | 将此选项设置为“否”可阻止用户创建 Microsoft 365 组。 将此选项设置为“某些”可让一组用户创建 Microsoft 365 组。 全局管理员和用户管理员仍可创建 Microsoft 365 组。 有关操作方法,请参阅用于配置组设置的 Azure Active Directory cmdlet。 | | 限制对 Azure AD 管理门户的访问 | 此开关的作用是什么?
“否”表示允许非管理员浏览 Azure AD 管理门户。
“是”表示限制非管理员浏览 Azure AD 管理门户。 作为组或应用程序所有者的非管理员无法使用 Azure 门户管理其拥有的资源。

它不会限制哪些功能?
不会限制使用 PowerShell、Microsoft GraphAPI 或其他客户端(例如 Visual Studio)访问 Azure AD 数据。
只要为用户分配了自定义角色(或任何角色),它就不会限制访问。

何时使用此开关?
使用此开关可防止用户错误配置其拥有的资源。

何时不应使用此开关?
请勿将此开关用作安全措施。 而应创建以 Azure 管理为目标的条件访问策略,这将阻止非管理员访问 Azure 管理

如何实现仅向特定非管理员用户授予使用 Azure AD 管理门户的权限?
将此选项设置为“是”,然后为其分配角色(如全局读者)。

限制对 Entra 管理门户的访问
以 Azure 管理为目标的条件访问策略将针对所有 Azure 管理的访问。 | | 读取其他用户 | 此设置仅在 Microsoft Graph 和 PowerShell 中可用。 将此标记设置为 $false 可阻止所有非管理员用户从目录读取用户信息。 此标记不会阻止读取其他 Microsoft 服务(如 Exchange Online)中的用户信息。

此设置适用于特殊情况,因此不建议将此标记设置为 $false。 |

注意

假设普通用户只使用门户访问 Azure AD,而不使用 PowerShell 或 Azure CLI 访问其资源。 目前,只有在用户尝试访问 Azure 门户中的目录时,才会将其访问权限限制为默认权限。

限制来宾用户的默认权限

可以通过以下方式限制来宾用户的默认权限。

注意

“来宾用户访问限制”设置已替换“来宾用户权限受限”设置。 有关此功能的用法指南,请参阅限制 Azure Active Directory 中的来宾访问权限

权限 设置说明
来宾用户访问权限限制 如果将此选项设置为“来宾用户与成员用户具有相同访问权限”,则默认向来宾用户授予所有成员用户权限。

如果将此选项设置为“来宾用户仅能访问自己的目录对象的属性和成员身份”,则默认将来宾用户限制为仅可访问自己的用户配置文件。 来宾用户即使是在按用户主体名称、对象 ID 或显示名称进行搜索,也不再允许访问其他用户。 同样也不再允许访问组信息,包括组成员身份。

此设置不会阻止对某些 Microsoft 365 服务(例如 Microsoft Teams)中已加入的组的访问。 有关详细信息,请参阅 Microsoft Teams 来宾访问

无论此权限设置如何,仍可将来宾用户添加到管理员角色。

来宾可发出邀请 如果将此选项设置为“是”,则允许来宾邀请其他来宾。 有关详细信息,请参阅配置外部协作设置

对象所有权

应用程序注册所有者权限

当某个用户注册某个应用程序时,该用户会被自动添加为该应用程序的所有者。 所有者可以管理应用程序的元数据,例如应用请求的名称和权限。 所有者还可以管理应用程序的特定于租户的配置,例如单一登录 (SSO) 配置和用户分配。

所有者还可以添加或删除其他所有者。 与全局管理员不同,所有者只能管理其拥有的应用程序。

企业应用程序所有者权限

当某个用户添加新的企业应用程序时,系统会将该用户自动添加为所有者。 作为所有者,他们可以管理应用程序的特定于租户的配置,例如 SSO 配置、预配和用户分配。

所有者还可以添加或删除其他所有者。 与全局管理员不同,所有者只能管理其拥有的应用程序。

组所有者权限

当某个用户创建某个组时,系统会将该用户自动添加为该组的所有者。 所有者可以管理组的属性(例如名称),以及管理组成员身份。

所有者还可以添加或删除其他所有者。 与全局管理员和用户管理员不同,所有者只能管理其拥有的组。

若要分配组所有者,请参阅管理组的所有者

所有权权限

下表描述成员用户在 Azure AD 中具有的针对所拥有对象的特定权限。 用户拥有的这些权限仅适用于其拥有的对象。

拥有的应用程序注册

用户可以在拥有的应用程序注册上执行以下操作:

操作 说明
microsoft.directory/applications/audience/update 更新 Azure AD 中的 applications.audience 属性。
microsoft.directory/applications/authentication/update 更新 Azure AD 中的 applications.authentication 属性。
microsoft.directory/applications/basic/update 更新 Azure AD 中应用程序的基本属性。
microsoft.directory/applications/credentials/update 更新 Azure AD 中的 applications.credentials 属性。
microsoft.directory/applications/delete 在 Azure AD 中删除应用程序。
microsoft.directory/applications/owners/update 更新 Azure AD 中的 applications.owners 属性。
microsoft.directory/applications/permissions/update 更新 Azure AD 中的 applications.permissions 属性。
microsoft.directory/applications/policies/update 更新 Azure AD 中的 applications.policies 属性。
microsoft.directory/applications/restore 在 Azure AD 中还原享应用程序。

拥有的企业应用程序

用户可以在拥有的企业应用程序上执行以下操作。 企业应用程序包含服务主体、一个或多个应用程序策略,有时还包含应用程序对象,该对象与服务主体位于同一租户中。

操作 说明
microsoft.directory/auditLogs/allProperties/read 读取 Azure AD 中审核日志的所有属性,包括特权属性。
microsoft.directory/policies/basic/update 更新 Azure AD 中策略的基本属性。
microsoft.directory/policies/delete 在 Azure AD 中删除策略。
microsoft.directory/policies/owners/update 更新 Azure AD 中的 policies.owners 属性。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新 Azure AD 中的 servicePrincipals.appRoleAssignedTo 属性。
microsoft.directory/servicePrincipals/appRoleAssignments/update 更新 Azure AD 中的 users.appRoleAssignments 属性。
microsoft.directory/servicePrincipals/audience/update 更新 Azure AD 中的 servicePrincipals.audience 属性。
microsoft.directory/servicePrincipals/authentication/update 更新 Azure AD 中的 servicePrincipals.authentication 属性。
microsoft.directory/servicePrincipals/basic/update 更新 Azure AD 中服务主体的基本属性。
microsoft.directory/servicePrincipals/credentials/update 更新 Azure AD 中的 servicePrincipals.credentials 属性。
microsoft.directory/servicePrincipals/delete 在 Azure AD 中删除服务主体。
microsoft.directory/servicePrincipals/owners/update 更新 Azure AD 中的 servicePrincipals.owners 属性。
microsoft.directory/servicePrincipals/permissions/update 更新 Azure AD 中的 servicePrincipals.permissions 属性。
microsoft.directory/servicePrincipals/policies/update 更新 Azure AD 中的 servicePrincipals.policies 属性。
microsoft.directory/signInReports/allProperties/read 读取 Azure AD 中登录报告的所有属性(包括特权属性)。

拥有的设备

用户可以在拥有的设备上执行以下操作:

操作 说明
microsoft.directory/devices/bitLockerRecoveryKeys/read 读取 Azure AD 中的 devices.bitLockerRecoveryKeys 属性。
microsoft.directory/devices/disable 在 Azure AD 中禁用设备。

拥有的组

用户可以在拥有的组上执行以下操作。

注意

动态组的所有者必须具有全局管理员、组管理员、Intune 管理员或用户管理员角色才能编辑组成员身份规则。 有关详细信息,请参阅在 Azure Active Directory 中创建或更新动态组

操作 说明
microsoft.directory/groups/appRoleAssignments/update 更新 Azure AD 中的 groups.appRoleAssignments 属性。
microsoft.directory/groups/basic/update 更新 Azure AD 中组的基本属性。
microsoft.directory/groups/delete 在 Azure AD 中删除组。
microsoft.directory/groups/members/update 更新 Azure AD 中的 groups.members 属性。
microsoft.directory/groups/owners/update 更新 Azure AD 中的 groups.owners 属性。
microsoft.directory/groups/restore 在 Azure AD 中还原组。
microsoft.directory/groups/settings/update 更新 Azure AD 中的 groups.settings 属性。

后续步骤