Autorizzazioni utente predefinite nei tenant esterni
Si applica a: Tenant della forza lavoro
Tenant esterni (altre informazioni)
Un tenant di Microsoft Entra in una configurazione esterna viene usato esclusivamente per gli scenari di Microsoft Entra per ID esterno. Un tenant esterno offre una netta separazione tra la directory della forza lavoro aziendale e la directory delle app rivolta ai clienti. Per impostazione predefinita, gli utenti creati nel tenant esterno non possono accedere a informazioni su altri utenti, gruppi o dispositivi nel tenant esterno. Tutti gli utenti dispongono delle autorizzazioni predefinite, a meno che non vengano assegnate a un ruolo di amministratore.
Per comprendere meglio i casi d'uso tipici per gli utenti in un tenant esterno, è possibile classificarli come segue:
Gli utenti esterni sono consumer e clienti aziendali che usano le app registrate nel tenant esterno. In genere mantengono le autorizzazioni utente predefinite, ovvero non si assegnano ruoli amministrativi. Questi utenti vengono in genere creati tramite l'iscrizione self-service, ma è possibile crearli con l'opzione crea nuovo utente esterno nell'interfaccia di amministrazione di Microsoft Entra o con Microsoft Graph.
gli utenti interni sono in genere amministratori a cui si assegnano ruoli di Microsoft Entra. È possibile creare utenti interni e assegnare ruoli usando l'opzione Crea nuovo utente nell'interfaccia di amministrazione o con Microsoft Graph.
Gli utenti invitati sono in genere amministratori invitati al tenant esterno e a cui si assegnano ruoli di Microsoft Entra. Se non sono assegnati a un ruolo, hanno le autorizzazioni utente predefinite. È possibile invitare utenti e assegnare ruoli usando l'opzione Invita utente esterno nell'interfaccia di amministrazione o con Microsoft Graph.
Quando gli utenti vengono creati in un tenant esterno, tutti iniziano con le autorizzazioni predefinite. Tuttavia, è possibile assegnare ruoli di Microsoft Entra a quegli utenti che devono eseguire attività amministrative all'interno del tenant esterno.
Autorizzazioni predefinite
La tabella seguente descrive le autorizzazioni predefinite assegnate a un utente in un tenant esterno, tra cui:
- Utenti che usano l'iscrizione self-service
- Utenti creati dagli amministratori
- Utenti invitati
Area | autorizzazioni utente predefinite |
---|---|
Utenti e contatti |
|
Applicazioni |
|
API e autorizzazioni di Microsoft Graph
La tabella seguente indica le operazioni API che consentono ai clienti di gestire le informazioni sul profilo. L'ID utente o userPrincipalName è sempre l'utente connesso.
Operazione utente | Operazione API | Autorizzazioni obbligatorie |
---|---|---|
Leggere il profilo | GET /me o GET /users/{id or userPrincipalName} | User.Read |
Aggiorna profilo |
PATCH /me o PATCH /users/{id or userPrincipalName} Le proprietà seguenti sono aggiornabili: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname e preferredLanguage |
User.ReadWrite |
Modifica password | POST /me/changePassword | Directory.AccessAsUser.All |