Condividi tramite

Autorizzazioni utente predefinite nei tenant esterni

  • Articolo

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant della forza lavoro Cerchio verde con un segno di spunta bianco all'interno. Tenant esterni (altre informazioni)

Un tenant di Microsoft Entra in una configurazione esterna viene usato esclusivamente per gli scenari di Microsoft Entra per ID esterno. Un tenant esterno offre una netta separazione tra la directory della forza lavoro aziendale e la directory delle app rivolta ai clienti. Per impostazione predefinita, gli utenti creati nel tenant esterno non possono accedere a informazioni su altri utenti, gruppi o dispositivi nel tenant esterno. Tutti gli utenti dispongono delle autorizzazioni predefinite, a meno che non vengano assegnate a un ruolo di amministratore.

Per comprendere meglio i casi d'uso tipici per gli utenti in un tenant esterno, è possibile classificarli come segue:

  • Gli utenti esterni sono consumer e clienti aziendali che usano le app registrate nel tenant esterno. In genere mantengono le autorizzazioni utente predefinite, ovvero non si assegnano ruoli amministrativi. Questi utenti vengono in genere creati tramite l'iscrizione self-service, ma è possibile crearli con l'opzione crea nuovo utente esterno nell'interfaccia di amministrazione di Microsoft Entra o con Microsoft Graph.

  • gli utenti interni sono in genere amministratori a cui si assegnano ruoli di Microsoft Entra. È possibile creare utenti interni e assegnare ruoli usando l'opzione Crea nuovo utente nell'interfaccia di amministrazione o con Microsoft Graph.

  • Gli utenti invitati sono in genere amministratori invitati al tenant esterno e a cui si assegnano ruoli di Microsoft Entra. Se non sono assegnati a un ruolo, hanno le autorizzazioni utente predefinite. È possibile invitare utenti e assegnare ruoli usando l'opzione Invita utente esterno nell'interfaccia di amministrazione o con Microsoft Graph.

Quando gli utenti vengono creati in un tenant esterno, tutti iniziano con le autorizzazioni predefinite. Tuttavia, è possibile assegnare ruoli di Microsoft Entra a quegli utenti che devono eseguire attività amministrative all'interno del tenant esterno.

Autorizzazioni predefinite

La tabella seguente descrive le autorizzazioni predefinite assegnate a un utente in un tenant esterno, tra cui:

  • Utenti che usano l'iscrizione self-service
  • Utenti creati dagli amministratori
  • Utenti invitati
Area autorizzazioni utente predefinite
Utenti e contatti
  • Leggere e aggiornare il proprio profilo tramite l'esperienza di gestione dei profili dell'app
  • Modificare la propria password
  • Accedere con un account locale o di social networking
Applicazioni
  • Accedere alle applicazioni
  • Revocare il consenso alle applicazioni

API e autorizzazioni di Microsoft Graph

La tabella seguente indica le operazioni API che consentono ai clienti di gestire le informazioni sul profilo. L'ID utente o userPrincipalName è sempre l'utente connesso.

Operazione utente Operazione API Autorizzazioni obbligatorie
Leggere il profilo GET /me o GET /users/{id or userPrincipalName} User.Read
Aggiorna profilo PATCH /me o PATCH /users/{id or userPrincipalName}

Le proprietà seguenti sono aggiornabili: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname e preferredLanguage		 User.ReadWrite
Modifica password POST /me/changePassword Directory.AccessAsUser.All