限制 Microsoft Entra ID 中的來賓存取權限

Microsoft Entra ID (Microsoft Entra 的一部分) 可讓您在 Azure AD 中限制外部來賓使用者在其組織中可看到的內容。 在 Microsoft Entra ID 中，來賓使用者預設會設定為有限的權限等級，而成員使用者的預設值是一組完整的使用者權限。 這是 Microsoft Entra 組織的外部共同作業設定中，適用於更受限制存取的另一個來賓使用者權限等級，因此您的來賓存取等級為：

權限層級	存取層級	值
與成員使用者相同	來賓具有與成員使用者相同的 Microsoft Entra 資源存取權	a0b1b346-4d3e-4e8b-98f8-753987be4970
有限存取 (預設)	來賓可以看到所有非隱藏群組的成員資格	10dae51f-b6af-4016-8d66-8c2a99b929b3
受限制的存取 (新)	來賓看不到任何群組的成員資格	2af84b1e-32c8-42b7-82bc-daa82404023b

當來賓存取權受到限制時，來賓只能檢視自己的使用者設定檔。 即使來賓是依使用者主體名稱或 objectId 搜尋，也不會允許檢視其他使用者的權限。 受限制的存取權也會限制來賓使用者查看其進入之群組的成員資格。 如需有關整體預設使用者權限的詳細資訊，包括來賓使用者權限，請參閱 Microsoft Entra ID 中的預設使用者權限為何？。

在 Azure 入口網站中更新

提示

根據您從中開始的入口網站，本文中的步驟可能會略有不同。

我們已對來賓使用者權限的現有 Azure 入口網站控制項進行了變更。

1. 以全域管理員的身分登入 Microsoft Entra 系統管理中心。

2. 選取 [身分>識別外部身分識別]。

3. 選取 [ 外部共同作業設定]。

4. 在 [外部共同作業設定] 頁面上，選取 [來賓使用者存取限制為其自己目錄物件的屬性和成員資格] 選項。

   

5. 選取 [儲存]。 這些變更最多可能需要 15 分鐘的時間，才會對來賓使用者生效。

透過 Microsoft Graph API 更新

我們新增了 Microsoft Graph API，以在 Microsoft Entra 組織中設定來賓權限。 您可以建立下列 API 呼叫，以指派任何權限等級。 此處使用的 guestUserRoleId 值是為了說明限制最多的來賓使用者設定。 如需使用 Microsoft Graph 設定來賓權限的詳細資訊，請參閱authorizationPolicy資源類型。

第一次設定

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

回應應為成功 204。

注意

自 2024 年 3 月 30 日起，Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解，請閱讀淘汰更新。 在此日期之後，對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題，請參閱移轉常見問題。 注意：MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

更新現有值

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

回應應為成功 204。

檢視目前的值

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

範例回應：

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

使用 PowerShell Cmdlet 更新

透過這項功能，我們新增了透過 PowerShell v2 Cmdlet 設定受限制權限的功能。 在版本 2.0.2.85 中已發佈取得和更新 PowerShell Cmdlet。

取得命令：Get-MgPolicyAuthorizationPolicy

範例：

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

更新命令：Update-MgPolicyAuthorizationPolicy

範例：

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

支援的 Microsoft 365 服務

支援的服務

藉由支援，我們表示體驗如預期般運作；具體而言，其與目前的來賓體驗相同。

• Teams
• Outlook (OWA)
• SharePoint
• Teams 中的規劃工具
• 規劃工具行動應用程式
• 規劃工具 Web 應用程式
• Project 網頁版
• 專案作業

目前不支援服務

沒有目前支援的服務可能會與新的來賓限制設定有相容性問題。

• 表單
• Project Online
• Yammer
• SharePoint 中的規劃工具

常見問題集 (FAQ)

問題	回答
這些權限的適用位置為何？	這些目錄等級權限會跨 Microsoft Entra 服務強制執行，包括 Microsoft Graph、PowerShell v2、Azure 入口網站和我的應用程式入口網站。 利用 Microsoft 365 群組進行共同作業情節的 Microsoft 365 服務也會受到影響，特別是 Outlook、Microsoft Teams 和 SharePoint。
受限制權限如何影響來賓可以看見哪些群組？	無論預設或受限制的來賓權限為何，來賓都無法列舉群組或使用者的清單。 來賓可以根據權限，在 Azure 入口網站和我的應用程式入口網站中看到其為成員的群組： 預設權限：若要在 Azure 入口網站中尋找其為成員的群組，來賓必須在 [所有使用者] 清單中搜尋其物件識別碼，然後選取 [群組]。 在這裡，來賓可以看到其為成員的群組清單，包括所有群組詳細資料，包括名稱、電子郵件等等。 在我的應用程式入口網站中，來賓可以看到他們擁有的群組清單，以及其所在的群組。 受限制的來賓權限：在 Azure 入口網站中，來賓可以在 [所有使用者] 清單中搜尋其物件識別碼，以尋找其為所在的群組清單，然後選取 [群組]。 來賓只會看到與群組有關的有限詳細資料，尤其是物件識別碼。 根據設計，名稱和電子郵件資料行是空白的，且群組類型無法辨識。 在我的應用程式入口網站中，來賓無法存取其所擁有的群組清單或其為成員的群組。 如需來自圖形 API 之目錄權限的詳細比較，請參閱預設使用者權限。
這項功能將影響我的應用程式入口網站中的哪些部分？	我的應用程式入口網站中的群組功能將遵循這些新的權限。 此功能包括在我的應用程式中檢視群組清單和群組成員資格的所有路徑。 尚未對群組圖格可用性進行任何變更。 群組圖格可用性仍然受 Azure 入口網站中的現有群組設定所控制。
這些權限是否會覆寫 SharePoint 或 Microsoft Teams 來賓設定？	否。 這些現有的設定仍能控制這些應用程式的體驗和存取。 例如，如果您在 SharePoint 中看到問題，請再次檢查外部共用設定。 小組擁有者在小組層級新增的來賓，只能存取標準頻道的頻道會議聊天，不包括任何私人和共用頻道。
Yammer 的已知相容性問題有哪些？	當權限設定為「受限制」時，已登入 Yammer 的來賓將無法離開群組。
我的租用戶中的現有來賓權限是否會遭到變更？	尚未對目前的設定進行任何變更。 我們會維持與您現有設定的回溯相容性。 您決定何時要進行變更。
預設會設定這些權限嗎？	否。 現有的預設權限會維持不變。 您可以選擇性地將權限設定為更嚴格的限制。
這項功能是否有任何授權需求？	否，這項功能沒有新的授權需求。

下一步

• 若要深入了解 Microsoft Entra ID 中的現有來賓權限，請參閱 Microsoft Entra ID 中的預設使用者權限為何？
• 若要查看限制來賓存取的 Microsoft Graph API 方法，請參閱 authorizationPolicy 資源類型
• 若要撤銷使用者的所有存取權，請參閱在 Microsoft Entra ID 中撤銷使用者存取權