Autorizzazioni utente predefinite nei tenant esterni
Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)
Un tenant di Microsoft Entra in una configurazione esterna viene usato esclusivamente per gli scenari di Microsoft Entra per ID esterno. Un tenant esterno offre una netta separazione tra la directory della forza lavoro aziendale e la directory delle app rivolta ai clienti. Inoltre, gli utenti creati nel tenant esterno non possono accedere alle informazioni su altri utenti nel tenant esterno. Per impostazione predefinita, i clienti non possono accedere alle informazioni su altri utenti, gruppi o dispositivi.
Un tenant esterno può contenere i tipi di utente seguenti:
Gli utenti esterni sono consumer e clienti aziendali delle app registrate nel tenant esterno. Hanno un account locale, ma eseguono l'autenticazione esternamente. Gli utenti esterni sono limitati alle autorizzazioni degli utenti predefiniti e a tali utenti non possono essere assegnati ruoli. Vengono in genere creati tramite l'iscrizione self-service, ma è possibile crearli con l'opzione Crea nuovo utente esterno nell'interfaccia di amministrazione di Microsoft Entra o con Microsoft Graph.
Gli utenti interni sono utenti (in genere amministratori) che eseguono l'autenticazione internamente e hanno assegnati ruoli Microsoft Entra nel tenant esterno. Se non si assegna un ruolo, hanno le autorizzazioni utente predefinite. È possibile creare utenti interni con l'opzione Crea nuovo utente nell'interfaccia di amministrazione o con Microsoft Graph.
Gli utenti invitati sono utenti (in genere amministratori) che eseguono l'accesso con le proprie credenziali esterne e hanno assegnati ruoli Microsoft Entra nel tenant esterno. Se non si assegna un ruolo, hanno le autorizzazioni utente predefinite. È possibile invitare utenti con l'opzione Invita utente esterno nell'interfaccia di amministrazione o con Microsoft Graph.
Autorizzazioni predefinite
La tabella seguente descrive le autorizzazioni predefinite assegnate a un utente in un tenant esterno, tra cui:
- Utenti che usano l'iscrizione self-service
- Utenti creati dagli amministratori
- Utenti invitati
Area | Autorizzazioni utente cliente |
---|---|
Utenti e contatti | - Leggere e aggiornare il proprio profilo tramite l'esperienza di gestione dei profili dell'app - Modificare la propria password - Accedere con un account locale o di social networking |
Applicazioni | - Accedere alle applicazioni - Revocare il consenso alle applicazioni |
API e autorizzazioni di Microsoft Graph
La tabella seguente indica le operazioni API che consentono ai clienti di gestire le informazioni sul profilo. L'ID utente o userPrincipalName è sempre l'utente connesso.
Operazione utente | Operazione API | Autorizzazioni obbligatorie |
---|---|---|
Leggere il profilo | GET /me o GET /users/{id or userPrincipalName} | User.Read |
Aggiorna profilo | PATCH /me o PATCH /users/{id or userPrincipalName} Le proprietà seguenti sono aggiornabili: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname e preferredLanguage |
User.ReadWrite |
Modifica password | POST /me/changePassword | Directory.AccessAsUser.All |