Каковы разрешения пользователей по умолчанию в идентификаторе Microsoft Entra?

Статья
08/23/2024

В идентификаторе Microsoft Entra все пользователи получают набор разрешений по умолчанию. Доступ пользователя зависит от типа пользователя, назначений ролей и владения отдельными объектами.

В этой статье описываются эти разрешения по умолчанию и содержится сравнение значений по умолчанию для участников и гостевых пользователей. Разрешения пользователей по умолчанию можно изменить только в параметрах пользователя в идентификаторе Microsoft Entra.

Участники и гостевые пользователи

Набор разрешений по умолчанию зависит от того, является ли пользователь собственным членом клиента (пользователя-участника) или передан из другого каталога, например гостевого пользователя для совместной работы (B2B). Дополнительные сведения о добавлении гостевых пользователей см. в статье "Что такое совместная работа Microsoft Entra B2B?". Ниже приведены возможности разрешений по умолчанию.

Пользователи-участники могут регистрировать приложения, управлять фотографией собственного профиля и мобильным номером, изменять пароль и приглашать гостей B2B. Эти пользователи также могут считывать все данные каталога (с некоторыми исключениями).
Гостевые пользователи имеют ограниченные разрешения каталога. Они могут управлять собственным профилем, изменять свой пароль и получать сведения о других пользователях, группах и приложениях. Однако они не могут читать все данные каталога.

Например, гостевые пользователи не могут получить список всех пользователей, групп и других объектов каталога. Гостей можно добавить в роли администраторов, которые предоставят им полные разрешения на чтение и запись. Гости также могут приглашать других гостей.

Сравнение стандартных разрешений участника и гостя

Область	Разрешения участника	Стандартные разрешения гостевого пользователя	Ограниченные разрешения гостевого пользователя
Пользователи и контакты	Перечисление всех пользователей и контактов в списке Чтение всех открытых свойств пользователей и контактов Приглашение гостей Изменение собственного пароля Управление собственным номером мобильного телефона Управление собственной фотографией Аннуляция собственных токенов обновления	Чтение собственных свойств Чтение отображаемого имени, электронной почты, имени для входа, просмотр изображения, чтение имени участника-пользователя и свойств типа пользователя для других пользователей и контактов Изменение собственного пароля Поиск другого пользователя по идентификатору объекта (если разрешено) Чтение сведений о руководителе и подчиненных других пользователей	Чтение собственных свойств Изменение собственного пароля Управление собственным номером мобильного телефона
Группы	Создание групп безопасности Создание групп Microsoft 365 Перечисление всех групп в списке Чтение всех свойств групп Чтение членства в нехиддированных группах Чтение скрытого членства в группах Microsoft 365 для присоединенных групп Управление свойствами, правами владения и членством в группах, которые принадлежат пользователю Добавление гостей в собственные группы Управление параметрами членства в группах Удаление собственных групп Восстановление собственных групп Microsoft 365	Чтение свойств нехидированных групп, включая членство и владение (даже несоединяемые группы) Чтение скрытого членства в группах Microsoft 365 для присоединенных групп Поиск групп по отображаемому имени или идентификатору объекта (если разрешено)	Чтение идентификатора объекта для объединенных групп Чтение данных о членстве и владении для объединенных групп в некоторых приложениях Microsoft 365 (если разрешено)
Приложения	Регистрация (создание) приложений Перечисление всех приложений в списке Чтение свойств зарегистрированных и корпоративных приложений Управление свойствами приложения, назначениями и учетными данными собственных приложений Создание или удаление паролей приложений для пользователей Удаление собственных приложений Восстановление собственных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям	Чтение свойств зарегистрированных и корпоративных приложений Вывод списка разрешений, предоставленных приложениям
.	Перечисление всех устройств в списке Чтение всех свойств устройств Управление всеми свойствами собственных устройств	Нет разрешений	Нет разрешений
Организация	Чтение всей информации о компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов Чтение всех контрактов партнера Чтение основных сведений о мультитенантной организации и активных клиентах	Чтение отображаемого имени компании Чтение всех доменов Чтение конфигурации проверки подлинности на основе сертификатов	Чтение отображаемого имени компании Чтение всех доменов
Роли и области	Чтение всех административных ролей и членств Чтение всех свойств и членств административных единиц	Нет разрешений	Нет разрешений
Подписки	Чтение всех подписок на лицензирование Включение членства в плане обслуживания	Нет разрешений	Нет разрешений
Политики	Чтение всех свойств политик Управление всеми свойствами собственных политик	Нет разрешений	Нет разрешений

Ограничение стандартных разрешений для пользователей-участников

Можно добавить ограничения для разрешений по умолчанию для пользователей.

Разрешения по умолчанию для пользователей-участников можно ограничить одним из описанных ниже способов.

Внимание

Использование параметра "Ограничить доступ к порталу администрирования Microsoft Entra" не является мерой безопасности. Дополнительные сведения о функциональных возможностях см. в следующей таблице.

Разрешение	Описание параметра
Регистрация приложений	Если установить для этого параметра значение Нет, пользователи не смогут создавать регистрации приложения. Затем вы можете предоставить возможность отдельным лицам, добавив их в роль разработчика приложений.
Разрешить пользователям подключать рабочую или учебную учетную запись с помощью LinkedIn	Если установить для этого параметра значение Нет, пользователи не смогут подключать свою рабочую или учебную учетную запись к учетной записи LinkedIn. Дополнительные сведения см. в статье Согласие пользователя и предоставление общего доступа к данным через подключение к учетной записи LinkedIn.
Создание групп безопасности	Если установить для этого параметра значение Нет, пользователи не смогут создавать группы безопасности. Эти пользователи, которым назначена по крайней мере роль "Администраторы пользователей", по-прежнему могут создавать группы безопасности. Сведения о том, как можно узнать, см . в командлетах Microsoft Entra для настройки параметров группы.
Создание групп Microsoft 365	Если установить для этого параметра значение Нет, пользователи не смогут создавать группы Microsoft 365. Если установить для этого параметра значение Некоторые, набору пользователей разрешается создание групп Microsoft 365. Любой пользователь, которому назначена по крайней мере роль администратора пользователей, по-прежнему может создавать группы Microsoft 365. Сведения о том, как можно узнать, см . в командлетах Microsoft Entra для настройки параметров группы.
Ограничение доступа к порталу администрирования Microsoft Entra	Что делает этот коммутатор? Не позволяет неадминистраторам просматривать портал администрирования Microsoft Entra. Да ограничивает использование неадминистраторов на портале администрирования Microsoft Entra. Неадминистаторы, являющиеся владельцами групп или приложений, не могут использовать портал Azure для управления собственными ресурсами. Чего он не делает? Он не ограничивает доступ к данным Microsoft Entra с помощью PowerShell, Microsoft GraphAPI или других клиентов, таких как Visual Studio. Он не ограничивает доступ до тех пор, пока пользователю назначена пользовательская роль (или любая роль). Когда следует использовать этот коммутатор? Используйте этот параметр, чтобы запретить пользователям неправильно настроить ресурсы, принадлежащие им. Когда не следует использовать этот коммутатор? Не используйте этот параметр в качестве меры безопасности. Вместо этого создайте политику условного доступа, предназначенную для API управления службами Windows Azure, которая блокирует доступ неадминистраторов к API управления службами Windows Azure. Разделы справки предоставить только определенным пользователям, не администраторам, возможность использовать портал администрирования Microsoft Entra? Установите для этого параметра значение Да, а затем назначьте им роль глобального читателя. Ограничение доступа к порталу администрирования Microsoft Entra Политика условного доступа, предназначенная для API управления службами Windows Azure, предназначена для доступа ко всем службам управления Azure.
Ограничение пользователей, не являющихся администраторами, от создания клиентов	Пользователи могут создавать арендаторы на портале администрирования Microsoft Entra в разделе "Управление клиентом". Создание клиента записывается в журнал аудита как категория DirectoryManagement и действие Create Company. Любой, кто создает клиент, становится глобальным администратором этого клиента. Только что созданный клиент не наследует никакие параметры или конфигурации. Что делает этот коммутатор? Если этот параметр задано значение "Да" , создание клиентов Microsoft Entra ограничивается всем, кому назначена по крайней мере роль создателя клиента. Если этот параметр задан, параметр "Нет", пользователи, не являющиеся администраторами, могут создавать клиенты Microsoft Entra. Создание клиента продолжает записываться в журнал аудита. Разделы справки предоставить только определенным пользователям, не являющихся администраторами, возможность создавать новые клиенты? Задайте для этого параметра значение "Да", а затем назначьте им роль создателя клиента.
Ограничение пользователям восстановления ключей BitLocker для собственных устройств	Этот параметр можно найти в Центре администрирования Microsoft Entra в параметрах устройства. Если этот параметр задано значение "Да" , пользователи смогут самостоятельно восстановить ключи BitLocker для своих собственных устройств. Чтобы получить ключи BitLocker, пользователи должны обратиться в службу технической поддержки своей организации. Если этот параметр задано значение "Нет ", пользователи могут восстановить ключи BitLocker.
Чтение других пользователей	Этот параметр доступен только в Microsoft Graph и PowerShell. Установка этого флага, чтобы `$false` запретить всем неадминилям читать сведения о пользователях из каталога. Этот флаг может предотвратить чтение сведений о пользователях в других службы Майкрософт таких как Microsoft Teams. Этот параметр предназначен для особых обстоятельств, поэтому не рекомендуется задавать для флага значение `$false`.

На следующем снимке экрана показан параметр "Ограниченные пользователи, не являющиеся администраторами " для создания клиентов.

Ограничение стандартных разрешений для гостевых пользователей

Разрешения по умолчанию для гостевых пользователей можно ограничить одним из приведенных ниже способов.

Примечание.

Настройка Ограничения доступа гостевых пользователей используется вместо параметра Разрешения для гостей ограничены. Инструкции по использованию этой функции см. в разделе "Ограничение разрешений гостевого доступа" в идентификаторе Microsoft Entra.

Разрешение	Описание параметра
Ограничения доступа гостевых пользователей	Если установить для этого параметра значение Гостевые пользователи имеют тот же уровень доступа, что и члены, пользователи-гости будут по умолчанию получать все разрешения пользователей-участников. Если установить для этого параметра значение У гостевых пользователей есть доступ только к свойствам и членствам их собственных объектов каталога, по умолчанию гостевой доступ ограничивается только собственными профилями пользователей. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен. Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье Гостевой доступ в Microsoft Teams. Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.
Гости могут пригласить	Установка для этого параметра значения Да позволяет гостям приглашать других гостей. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Разрешение

Описание параметра

Ограничения доступа гостевых пользователей

Если установить для этого параметра значение Гостевые пользователи имеют тот же уровень доступа, что и члены, пользователи-гости будут по умолчанию получать все разрешения пользователей-участников.

Если установить для этого параметра значение У гостевых пользователей есть доступ только к свойствам и членствам их собственных объектов каталога, по умолчанию гостевой доступ ограничивается только собственными профилями пользователей. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, идентификатору объекта или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен.

Этот параметр не предотвращает доступ к присоединенным группам в некоторых службах Microsoft 365, таких как Microsoft Teams. Дополнительные сведения см. в статье Гостевой доступ в Microsoft Teams.

Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.

Гости могут пригласить

Установка для этого параметра значения Да позволяет гостям приглашать других гостей. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Владелец объекта

Разрешения владельца при регистрации приложения

Когда пользователь регистрирует приложение, он автоматически добавляется в качестве владельца приложения. Владелец может управлять метаданными приложения, такими как имя, и разрешениями приложения. Он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа и назначениями пользователей.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора приложений, владельцы могут управлять только собственными приложениями.

Разрешения владельцев корпоративных приложений

Когда пользователь добавляет новое корпоративное приложение, он автоматически добавляется в качестве владельца. В качестве владельца он также может управлять конфигурацией конкретного клиента приложения, например конфигурацией единого входа, подготовкой и назначениями пользователей.

Разрешения владельца группы

Когда пользователь создает группу, он автоматически добавляется в качестве владельца этой группы. Владелец может управлять свойствами группы, например именем, а также членством группы.

Владелец также может добавлять или удалять других владельцев. В отличие от тех пользователей, которым назначена по крайней мере роль администратора групп, владельцы могут управлять только теми группами, которыми они владеет, и могут добавлять или удалять участников группы только в том случае, если назначен тип членства в группе.

Сведения о назначении владельца группы см. в этой статье.

Сведения об использовании управления привилегированным доступом (PIM) для создания группы, подходящей для назначения ролей, см. в статье "Использование групп Microsoft Entra для управления назначениями ролей".

Права владения

В следующих таблицах описываются определенные разрешения в идентификаторе Microsoft Entra, которые пользователи-члены имеют над собственными объектами. Пользователи имеют эти разрешения только для объектов, которыми они владеют.

Регистрация собственных приложений

Пользователи могут выполнять следующие действия с регистрацией принадлежащих им приложений:

Действие	Description
microsoft.directory/applications/audience/update	`applications.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/authentication/update	`applications.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/basic/update	Обновите базовые свойства приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/credentials/update	`applications.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/delete	Удаление приложений в идентификаторе Microsoft Entra.
microsoft.directory/applications/owners/update	`applications.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/permissions/update	`applications.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/policies/update	`applications.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/applications/restore	Восстановление приложений в идентификаторе Microsoft Entra.

Собственные корпоративные приложения

Пользователи могут выполнять следующие действия с собственными корпоративными приложениями. Корпоративное приложение состоит из субъекта-службы, одной или нескольких политик приложений, а иногда и объекта приложения, размещенного в том же клиенте, что и субъект-служба.

Действие	Description
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в журналах аудита в идентификаторе Microsoft Entra.
microsoft.directory/policies/basic/update	Обновите базовые свойства политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/delete	Удаление политик в идентификаторе Microsoft Entra.
microsoft.directory/policies/owners/update	`policies.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	`servicePrincipals.appRoleAssignedTo` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update	`users.appRoleAssignments` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/audience/update	`servicePrincipals.audience` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/update	`servicePrincipals.authentication` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update	Обновите базовые свойства субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/credentials/update	`servicePrincipals.credentials` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update	`servicePrincipals.owners` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update	`servicePrincipals.permissions` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/policies/update	`servicePrincipals.policies` Обновите свойство в идентификаторе Microsoft Entra.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств (включая привилегированные свойства) в отчетах о входе в идентификаторе Microsoft Entra.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой

Собственное устройство

Пользователи могут выполнять на собственных устройствах следующие действия:

Действие	Description
microsoft.directory/devices/bitLockerRecoveryKeys/read	Чтение свойства в идентификаторе `devices.bitLockerRecoveryKeys` Microsoft Entra.
microsoft.directory/devices/disable	Отключите устройства в идентификаторе Microsoft Entra.

Собственные группы

Пользователи могут выполнять в собственных группах следующие действия.