外部租用戶中的預設使用者權限
適用於:
員工租用戶
外部租用戶 (深入了解)
外部設定中的 Microsoft Entra 租用戶專門用於 Microsoft Entra 外部 ID 案例。 外部租用戶在您的公司員工目錄和面向客戶的應用程式目錄之間提供了明確的分隔。 根據預設,在外部租使用者中建立的使用者受限於存取外部租使用者中其他使用者、群組或裝置的相關信息。 除非您指派系統管理員角色,否則所有使用者都有默認許可權。
為了進一步瞭解外部租用戶中使用者的典型使用案例,我們可以將其分類如下:
外部使用者 是使用外部租用戶中註冊應用程式的取用者和商務客戶。 它們通常會保留預設用戶權力,這表示您不會指派系統管理角色。 這些使用者通常是透過自助式註冊建立,但您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph 中的 [建立新的外部使用者] 選項來建立使用者。
內部使用者 通常是您指派 Microsoft Entra 角色的系統管理員。 您可以使用系統管理中心或 Microsoft Graph 中的 [建立新使用者] 選項,建立內部使用者並指派角色。
受邀使用者 通常是您邀請外部租用戶的系統管理員,以及您指派 Microsoft Entra 角色。 如果未獲指派角色,則他們具有預設的用戶許可權。 您可以使用系統管理中心或 Microsoft Graph 中的 [邀請外部使用者] 選項,邀請使用者並指派角色。
當使用者在外部租使用者中建立時,他們全都以默認許可權開始。 不過,您可以將 Microsoft Entra 角色指派給需要在外部租用戶內執行系統管理工作的使用者。
預設權限
下表描述指派給外部租用戶用戶的默認許可權,包括:
- 使用自助式註冊的使用者
- 由系統管理員建立的使用者
- 受邀的使用者
| 適用範圍 | 預設用戶權力 |
|---|---|
| 使用者和連絡人 |
|
| 應用程式 |
|
Microsoft Graph API 和權限
下表指出可讓客戶管理其設定檔資訊的 API 作業。 使用者識別碼或 userPrincipalName 一律是已登入使用者的。
| 使用者作業 | API 作業 | 需要的權限 |
|---|---|---|
| 讀取設定檔 | GET /me 或 GET /users/{id 或 userPrincipalName} | User.Read |
| 更新設定檔 |
PATCH /me 或 PATCH /users/{id 或 userPrincipalName} 以下屬性可更新:city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname 和 preferredLanguage |
User.ReadWrite |
| 變更密碼 | POST /me/changePassword | Directory.AccessAsUser.All |