Standardbenutzerberechtigungen in externen Mandanten
Gilt für:
Mitarbeitermandanten 
Externe Mandanten (weitere Informationen)
Ein Microsoft Entra-Mandant in einer externen Konfiguration wird ausschließlich für Microsoft Entra External ID-Szenarien verwendet. Ein externen Mandanten bietet eine klare Trennung zwischen dem Mitarbeiterverzeichnis ihres Unternehmens und Ihrem Anwendungsverzeichnis für Kundinnen und Kunden. Standardmäßig sind Benutzer, die in Ihrem externen Mandanten erstellt wurden, auf Informationen zu anderen Benutzern, Gruppen oder Geräten im externen Mandanten beschränkt. Alle Benutzer verfügen über Standardberechtigungen, es sei denn, Sie weisen ihnen eine Administratorrolle zu.
Um die typischen Anwendungsfälle für Benutzer in einem externen Mandanten besser zu verstehen, können wir sie wie folgt kategorisieren:
externe Benutzer sind Verbraucher und Geschäftskunden, die die in Ihrem externen Mandanten registrierten Apps verwenden. Sie behalten in der Regel Standardbenutzerberechtigungen bei, d. h., Sie weisen ihnen keine Administratorrollen zu. Diese Benutzer werden in der Regel über die Self-Service-Registrierung erstellt, aber Sie können sie mit der Option Neuen externen Benutzer erstellen Option im Microsoft Entra Admin Center oder mit Microsoft Graph erstellen.
Interne Benutzer sind in der Regel Administratoren, denen Sie Microsoft Entra-Rollenzuweisen. Sie können interne Benutzer erstellen und Rollen mithilfe der Option Neuen Benutzer erstellen im Admin Center oder mit Microsoft Graph zuweisen.
Eingeladene Benutzer sind in der Regel Administratoren, die Sie zum externen Mandanten einladen und denen Sie Microsoft Entra-Rollenzuweisen. Wenn ihnen keine Rolle zugewiesen ist, verfügen sie über Standardbenutzerberechtigungen. Sie können Benutzer einladen und Rollen mithilfe der Option Externen Benutzer einladen Option im Admin Center oder mit Microsoft Graph zuweisen.
Wenn Benutzer in einem externen Mandanten erstellt werden, beginnen sie alle mit Standardberechtigungen. Sie können jedoch Microsoft Entra-Rollen den Benutzern zuweisen, die administrative Aufgaben innerhalb des externen Mandanten ausführen müssen.
Standardberechtigungen
In der folgenden Tabelle werden die Standardberechtigungen beschrieben, die Benutzer:innen in einem externen Mandanten zugewiesen werden:
- Benutzer, die die Self-Service-Registrierung verwenden
- Benutzer, die von Administratoren erstellt werden
- Benutzer, die eingeladen werden
| Bereich | Standardbenutzerberechtigungen |
|---|---|
| Benutzer und Kontakte |
|
| Anwendungen |
|
Microsoft Graph-APIs und -Berechtigungen
In der folgenden Tabelle sind die API-Vorgänge aufgeführt, mit denen Kunden ihre Profilinformationen verwalten können. Die Benutzer-ID oder der userPrincipalName ist immer der angemeldete Benutzer.
| Benutzervorgang | API-Vorgang | Erforderliche Berechtigungen |
|---|---|---|
| Profil lesen | GET /me oder GET /users/{id oder userPrincipalName} | User.Read |
| Profil aktualisieren |
PATCH /me oder PATCH /users/{id oder userPrincipalName} Die folgenden Eigenschaften sind aktualisierbar: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname, and preferredLanguage (Stadt, Land, Anzeigename, Vorname, Position, Postleitzahl, Bundesland/Kanton, Straße, Nachname und bevorzugte Sprache) |
User.ReadWrite |
| Kennwort ändern | POST /me/changePassword | Directory.AccessAsUser.All |