外部租户中的默认用户权限
适用于:
员工租户 
外部租户(了解详细信息)
外部配置中的 Microsoft Entra 租户专用于Microsoft Entra 外部 ID方案。 外部租户在公司员工目录与面向客户的应用目录之间提供了明确的分隔。 此外,在外部租户中创建的用户会受到限制,无法访问有关外部租户中其他用户的信息。 默认情况下,客户无法访问有关其他用户、组或设备的信息。
外部租户可以包括以下用户类型:
外部用户:是外部租户中注册的应用的使用者和企业客户。 他们具有本地帐户,但在外部进行身份验证。 外部用户仅限于默认用户权限,不能分配角色。 它们通常通过自助注册创建,但你可以在 Microsoft Entra 管理中心中使用新建外部用户选项或使用 Microsoft Graph 创建它们。
内部用户是在内部进行身份验证的用户(通常是管理员),并在外部租户中分配了Microsoft Entra 角色。 如果未分配角色,则他们具有默认用户权限。 可以在管理中心中使用新建用户选项或使用 Microsoft Graph 创建内部用户。
受邀用户是使用自己的外部凭据登录的用户(通常是管理员),并在外部租户中分配了 Microsoft Entra 角色。 如果未分配角色,则他们具有默认用户权限。 可以在管理中心中使用邀请外部用户选项或使用 Microsoft Graph 邀请用户。
默认权限
下表描述了分配给外部租户中的用户的默认权限,这些用户包括:
- 使用自助注册的用户
- 由管理员创建的用户
- 受邀用户
| 区域 | 客户用户权限 |
|---|---|
| 用户和联系人 | - 通过应用的个人资料管理体验阅读和更新自己的个人资料 - 更改自己的密码 - 使用本地帐户或社交帐户登录 |
| 应用程序 | - 访问应用程序 - 撤销对应用程序的同意 |
Microsoft Graph API 和权限
下表指出了可帮助客户管理其个人资料信息的 API 操作。 用户 ID 或 userPrincipalName 始终是已登录用户的标识。
| 用户操作 | API 操作 | 所需的权限 |
|---|---|---|
| 阅读个人资料 | GET /me 或 GET /users/{id 或 userPrincipalName} | User.Read |
| 更新配置文件 | PATCH /me 或 PATCH /users/{id 或 userPrincipalName} 以下属性可更新:city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname 和 preferredLanguage |
User.ReadWrite |
| 更改密码 | POST /me/changePassword | Directory.AccessAsUser.All |