Restringir permissões de acesso de convidado no Microsoft Entra ID
O Microsoft Entra ID, parte do Microsoft Entra, permite restringir o que os usuários convidados externos podem ver em sua organização no Microsoft Entra ID. Os usuários convidados são definidos como um nível de permissão limitado por padrão no Microsoft Entra ID, enquanto o padrão para usuários membros é o conjunto completo de permissões de usuário. Há outro nível de permissão de usuário convidado nas configurações de colaboração externa da sua organização do Microsoft Entra para acesso ainda mais restrito, de modo que os níveis de acesso de convidado sejam:
Nível de permissão | Nível de acesso | Value |
---|---|---|
Igual aos utilizadores membros | Os convidados têm o mesmo acesso aos recursos do Microsoft Entra que os usuários membros | A0B1B346-4D3E-4E8B-98F8-753987BE4970 |
Acesso limitado (predefinição) | Os hóspedes podem ver a associação de todos os grupos não ocultos | 10DAE51F-B6AF-4016-8D66-8C2A99B929B3 |
Acesso restrito (novo) | Os hóspedes não podem ver a participação em nenhum grupo | 2AF84B1E-32C8-42B7-82BC-DAA82404023B |
Quando o acesso de convidado é restringido, os convidados só podem ver o seu próprio perfil de utilizador. A permissão para ver outros utilizadores não é permitida, mesmo que o convidado esteja a procurar por Nome Principal de Utilizador ou objectId. O acesso restringido também impede os utilizadores convidados de ver a adesão a grupos em que estão. Para obter mais informações sobre as permissões gerais de usuário padrão, incluindo permissões de usuário convidado, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.
Atualização no centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Fizemos alterações nos controles existentes do portal do Azure para permissões de usuário convidado.
Entre no Centro de administração do Microsoft Entra como administrador de Utilizadores.
Selecione Identidades>externas.
Selecione Configurações de colaboração externa.
Na página Configurações de colaboração externa, selecione Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório.
Selecione Guardar. As alterações podem levar até 15 minutos para entrar em vigor para usuários convidados.
Atualizar com a API do Microsoft Graph
Adicionamos uma nova API do Microsoft Graph para configurar permissões de convidado em sua organização do Microsoft Entra. As chamadas de API a seguir podem ser feitas para atribuir qualquer nível de permissão. O valor para guestUserRoleId usado aqui é para ilustrar a configuração de usuário convidado mais restrita. Para obter mais informações sobre como usar o Microsoft Graph para definir permissões de convidado, consulte authorizationPolicy
Tipo de recurso.
Configurando pela primeira vez
POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
A resposta deve ser Sucesso 204.
Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Atualizando o valor existente
PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
{
"guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}
A resposta deve ser Sucesso 204.
Ver o valor atual
GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
Resposta de exemplo:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
"id": "authorizationPolicy",
"displayName": "Authorization Policy",
"description": "Used to manage authorization related settings across the company.",
"enabledPreviewFeatures": [],
"guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
"permissionGrantPolicyIdsAssignedToDefaultUserRole": [
"user-default-legacy"
]
}
Atualizar com cmdlets do PowerShell
Com esse recurso, adicionamos a capacidade de configurar as permissões restritas por meio de cmdlets do PowerShell v2. Obter e atualizar cmdlets do PowerShell foram publicados na versão 2.0.2.85
.
Obter comando: Get-MgPolicyAuthorizationPolicy
Exemplo:
Get-MgPolicyAuthorizationPolicy | Format-List
AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom : everyone
AllowUserConsentForRiskyApps :
AllowedToSignUpEmailBasedSubscriptions : True
AllowedToUseSspr : True
BlockMsolPowerShell : False
DefaultUserRolePermissions : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime :
Description : Used to manage authorization related settings across the company.
DisplayName : Authorization Policy
GuestUserRoleId : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id : authorizationPolicy
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}
Comando Update: Update-MgPolicyAuthorizationPolicy
Exemplo:
Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
Serviços Microsoft 365 suportados
Serviços suportados
Por apoiado, queremos dizer que a experiência é a esperada; especificamente, que é o mesmo que a experiência atual do hóspede.
- Teams
- Perspetivas (OWA)
- SharePoint
- Planejador em Equipes
- Aplicativo móvel do Planner
- Aplicativo Web do Planejador
- Project para a Web
- Operações do Projeto
Serviços atualmente não suportados
O serviço sem suporte atual pode ter problemas de compatibilidade com a nova configuração de restrição de convidado.
- Formulários
- Project Online
- Yammer
- Planejador no SharePoint
Perguntas mais frequentes (FAQ)
Pergunta | Resposta |
---|---|
Onde essas permissões se aplicam? | Essas permissões de nível de diretório são impostas nos serviços do Microsoft Entra, incluindo o Microsoft Graph, o PowerShell v2, o portal do Azure e o portal Meus Aplicativos. Os serviços do Microsoft 365 que utilizam grupos do Microsoft 365 para cenários de colaboração também são afetados, especificamente o Outlook, o Microsoft Teams e o SharePoint. |
Como as permissões restritas afetam quais grupos os hóspedes podem ver? | Independentemente das permissões de convidado padrão ou restritas, os convidados não podem enumerar a lista de grupos ou usuários. Os convidados podem ver os grupos dos quais são membros no portal do Azure e no portal Meus Aplicativos, dependendo das permissões:
Para obter uma comparação mais detalhada das permissões de diretório provenientes da API do Graph, consulte Permissões de usuário padrão. |
Quais partes do portal Meus Aplicativos esse recurso afetará? | A funcionalidade de grupos no portal Meus Aplicativos honrará essas novas permissões. Essa funcionalidade inclui todos os caminhos para exibir a lista de grupos e as associações de grupo em Meus Aplicativos. Não foram feitas alterações na disponibilidade de blocos do grupo. A disponibilidade do bloco de grupo ainda é controlada pela configuração de grupo existente no portal do Azure. |
Essas permissões substituem as configurações de convidado do SharePoint ou do Microsoft Teams? | N.º Essas configurações existentes ainda controlam a experiência e o acesso nesses aplicativos. Por exemplo, se vir problemas no SharePoint, verifique novamente as suas definições de partilha externa. Os convidados adicionados pelos proprietários da equipe no nível da equipe têm acesso ao bate-papo da reunião do canal apenas para canais padrão, excluindo quaisquer canais privados e compartilhados. |
Quais são os problemas de compatibilidade conhecidos no Yammer? | Com as permissões definidas como "restritas", os convidados com sessão iniciada no Yammer não poderão sair do grupo. |
As minhas permissões de hóspede existentes serão alteradas no meu inquilino? | Não foram feitas alterações nas suas configurações atuais. Mantemos a retrocompatibilidade com as suas configurações existentes. Você decide quando deseja fazer alterações. |
Essas permissões serão definidas por padrão? | N.º As permissões padrão existentes permanecem inalteradas. Opcionalmente, você pode definir as permissões para serem mais restritivas. |
Existem requisitos de licença para este recurso? | Não, não existem novos requisitos de licenciamento com esta funcionalidade. |
Próximos passos
- Para saber mais sobre as permissões de convidado existentes no Microsoft Entra ID, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?
- Para ver os métodos da API do Microsoft Graph para restringir o acesso de convidados, consulte
authorizationPolicy
Tipo de recurso - Para revogar todo o acesso de um usuário, consulte Revogar acesso de usuário no Microsoft Entra ID