Permissões de usuário padrão em locatários externos
Aplica-se a: 
Locatários da força de trabalho
Locatários externos (saiba mais)
Um locatário do Microsoft Entra em uma configuração externa é usado exclusivamente para cenários de ID externa do Microsoft Entra. Um locatário externo fornece uma separação clara entre o diretório da força de trabalho corporativa e o diretório do aplicativo voltado para o cliente. Além disso, os usuários criados no locatário externo são impedidos de acessar informações sobre outros usuários no locatário externo. Por padrão, os clientes não podem acessar informações sobre outros usuários, grupos ou dispositivos.
Um locatário externo pode conter os seguintes tipos de usuários:
Usuários externos são consumidores e clientes comerciais dos aplicativos registrados em seu locatário externo. Eles têm uma conta local, mas se autenticam externamente. Os usuários externos são limitados a permissões de usuário padrão e não podem receber atribuição de funções. Normalmente, eles são criados por meio da inscrição por autoatendimento, mas você pode criá-los com a opção Criar novo usuário externo no centro de administração do Microsoft Entra ou com o Microsoft Graph.
Usuários internos são usuários (normalmente administradores) que se autenticam internamente e têm funções do Microsoft Entra atribuídas em seu locatário externo. Se você não atribuir uma função, eles terão permissões de usuário padrão. Você pode criar usuários internos com a opção Criar novo usuário no centro de administração ou com o Microsoft Graph.
Usuários convidados são usuários (normalmente administradores) que se conectam com suas próprias credenciais externas e têm funções do Microsoft Entraatribuídas em seu locatário externo. Se você não atribuir uma função, eles terão permissões de usuário padrão. Você pode convidar usuários com a opção Convidar usuário externo no centro de administração ou com o Microsoft Graph.
Permissões padrão
A tabela a seguir descreve as permissões padrão atribuídas a um usuário em um locatário externo, incluindo:
- Usuários que usam a inscrição por autoatendimento
- Usuários criados por administradores
- Usuários convidados
| Área | Permissões de usuário do cliente |
|---|---|
| Usuários e contatos | – Ler e atualizar o próprio perfil por meio da experiência de gerenciamento de perfil de aplicativo - Alterar a própria senha - Entrar com uma conta local ou de rede social |
| Aplicativos | - Acessar aplicativos – Revogar o consentimento para aplicativos |
Permissões e APIs do Microsoft Graph
A tabela a seguir indica as operações de API que permitem que os clientes gerenciem suas informações de perfil. A ID do usuário ou userPrincipalName é sempre do usuário conectado.
| Operação do usuário | Operação de API | Permissões exigidas |
|---|---|---|
| Perfil de leitura | GET /me ou GET /users/{id or userPrincipalName} | User.Read |
| Atualizar perfil | PATCH /me ou PATCH /users/{id or userPrincipalName} As propriedades a seguir são atualizáveis: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname e preferredLanguage |
User.ReadWrite |
| Alterar senha | POST /me/changePassword | Directory.AccessAsUser.All |