Microsoft Entra ID 中的預設使用者權限是什麼?
在 Microsoft Entra 識別碼中,所有使用者都會獲得一組預設權限。 使用者的存取權包含使用者類型、其角色指派,以及個別物件的擁有權。
本文描述這些預設權限,並比較成員與來賓使用者的預設值。 只有在 Microsoft Entra ID 的使用者設定中才能變更預設使用者權限。
成員和來賓使用者
預設權限集取決於使用者是租用戶的原生成員 (成員使用者),還是來自另一個目錄,例如企業對企業 (B2B) 共同作業來賓 (來賓使用者)。 如需新增來賓使用者的詳細資訊,請參閱什麼是 Microsoft Entra B2B 共同作業?一文。 以下是預設權限的功能:
成員使用者可以註冊應用程式、管理自己的設定檔相片和行動電話號碼、變更自己的密碼,以及邀請 B2B 來賓。 這些使用者也可以讀取所有目錄資訊 (但有一些例外狀況)。
來賓使用者的目錄權限有限。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 但卻無法讀取所有目錄資訊。
例如,來賓使用者無法列舉所有使用者、群組和其他目錄物件的清單。 您可將來賓新增至系統管理員角色,授與其完整的讀取和寫入權限。 來賓也可以邀請其他來賓。
比較成員與來賓預設的權限
適用範圍 | 成員使用者權限 | 預設的來賓使用者權限 | 限制的來賓使用者權限 |
---|---|---|---|
使用者和連絡人 |
|
|
|
群組 |
|
|
|
應用程式 |
|
|
|
裝置 |
|
沒有權限 | 沒有權限 |
Organization |
|
|
|
角色和範圍 |
|
沒有權限 | 沒有權限 |
訂用帳戶 |
|
沒有權限 | 沒有權限 |
原則 |
|
沒有權限 | 沒有權限 |
限制成員使用者的預設權限
可新增使用者預設權限的限制。
限制成員使用者預設權限的方式如下:
警告
使用 [限制 Microsoft Entra 管理入口網站的存取] 切換控制並不是一個安全性措施。 如需功能的詳細資訊,請參閱下表。
權限 | 設定說明 |
---|---|
註冊應用程式 | 將此選項設為 [否],可防止使用者註冊應用程式。 然後,您可以將特定人員新增至應用程式開發人員角色,授權這些人使用此功能。 |
允許使用者利用 LinkedIn 連線到公司或學校帳戶 | 將此選項設為 [否],可防止使用者以公司或學校帳戶連線到其 LinkedIn 帳戶。 如需詳細資訊,請參閱 LinkedIn 帳戶連線資料共用與同意。 |
建立安全性群組 | 將此選項設為 [否],可防止使用者建立安全性群組。 至少獲派使用者管理員角色的使用者仍可建立安全性群組。 若要了解詳情,請參閱設定群組設定的 Microsoft Entra Cmdlet。 |
建立 Microsoft 365 群組 | 將此選項設為 [否],可防止使用者建立 Microsoft 365 群組。 將此選項設為 [部分],可允許部分使用者建立 Microsoft 365 群組。 至少獲指派使用者管理員角色的任何使用者仍可建立 Microsoft 365 群組。 若要了解詳情,請參閱設定群組設定的 Microsoft Entra Cmdlet。 |
限制 Microsoft Entra 管理入口網站的存取 |
此參數的用途為何? 否 可讓非系統管理員瀏覽 Microsoft Entra 管理入口網站。 是 限制非管理員瀏覽 Microsoft Entra 管理入口網站。 屬於群組或應用程式擁有者的非管理員無法使用 Azure 入口網站來管理其擁有的資源。
其不適用於哪些用途?
何時應該使用此參數?
何時不應該使用此參數?
如何僅授與特定非管理員使用者使用 Microsoft Entra 管理入口網站的能力?
限制 Microsoft Entra 管理入口網站的存取 |
限制非管理員使用者建立租用戶 | 使用者可以在 Microsoft Entra ID 和 Microsoft Entra 管理入口網站的 [管理租用戶] 下建立租用戶。 租用戶建立會記錄在稽核記錄檔的類別 DirectoryManagement 和活動 Create Company 中。 建立租用戶的任何使用者都會成為該租用戶的全域管理員。 新建的租用戶不會繼承任何設定或組態。
此參數的用途為何?
如何僅授與特定非管理員使用者建立新租用戶的能力? |
限制使用者復原自有裝置的 BitLocker 金鑰 | 您可以在 Microsoft Entra 系統管理中心的 [裝置設定] 中找到此設定。 將此選項設定為 [是],會限制使用者自行復原自有裝置的 BitLocker 金鑰。 使用者必須連絡組織的技術支援中心,才能擷取其 BitLocker 金鑰。 將此選項設定為 否 可讓使用者復原其 BitLocker 金鑰。 |
讀取其他使用者 | 這項設定僅供 Microsoft Graph 和 PowerShell 使用。 將此旗標設為 $false ,可防止所有非系統管理員讀取目錄中的使用者資訊。 這個旗標可能會防止讀取 Microsoft Teams 等其他 Microsoft 服務中的使用者資訊。這項設定是專門用於特殊情況,因此不建議將旗標設為 |
下列螢幕擷取畫面顯示 限制非管理員使用者建立租用戶 選項。
限制來賓使用者的預設權限
限制來賓使用者預設權限的方式如下。
注意
[來賓使用者存取限制] 設定已取代 [來賓使用者權限受限] 設定。 如需使用這項功能的指引,請參閱限制 Microsoft Entra ID 中的來賓存取權限。
權限 | 設定說明 |
---|---|
來賓使用者存取限制 | 將此選項設為 [Guest users have the same access as members] \(來賓使用者具有與成員相同的存取權\),預設會將所有成員使用者權限授與來賓使用者。 將此選項設為 [Guest user access is restricted to properties and memberships of their own directory objects] \(來賓使用者僅限存取自己目錄物件的屬性和成員資格\),預設限制來賓只能存取自己的使用者設定檔。 現已不再允許存取其他使用者,即使按使用者主體名稱、物件識別碼或顯示名稱搜尋也不行。 也不再允許存取包括群組成員資格在內的群組資訊。 這項設定不會防止存取某些 Microsoft 365 服務 (例如 Microsoft Teams) 中的已加入群組。 若要深入了解,請參閱 Microsoft Teams 來賓存取。 您可無視此權限設定,仍將來賓使用者新增至系統管理員角色。 |
來賓可邀請 | 將此選項設為 [是],可讓來賓邀請其他來賓。 若要深入了解,請參閱設定外部共同作業設定。 |
物件擁有權
應用程式註冊擁有者權限
當使用者註冊應用程式時,會自動新增為應用程式的擁有者。 擁有者可以管理應用程式的中繼資料,例如名稱和應用程式要求的權限。 擁有者也可以管理應用程式的租用戶特定設定,例如單一登入 (SSO) 設定和使用者指派。
擁有者也可以新增或移除其他擁有者。 與至少獲指派應用程式系統管理員角色不同,擁有者只能管理他們擁有的應用程式。
企業應用程式擁有者權限
當使用者新增企業應用程式時,就會自動新增為擁有者。 擁有者可以管理應用程式的租用戶特定設定,例如 SSO 設定、佈建和使用者指派。
擁有者也可以新增或移除其他擁有者。 與至少獲指派應用程式系統管理員角色不同,擁有者只能管理他們擁有的應用程式。
群組擁有者權限
當使用者建立群組時,就會自動新增為該群組的擁有者。 擁有者可以管理群組的屬性 (例如名稱),以及管理群組成員資格。
擁有者也可以新增或移除其他擁有者。 與至少獲指派群組系統管理員角色不同,擁有者只能管理他們擁有的群組,而且只有在群組成員資格類型為已指派時,才能新增或移除群組成員。
若要指派群組擁有者,請參閱管理群組的擁有者。
若要使用 Privileged Access Management (PIM) 讓群組符合角色指派資格,請參閱使用 Microsoft Entra 群組來管理角色指派。
擁有權權限
下列表格描述了成員用戶在他們擁有的物件上於 Microsoft Entra 識別碼中特定的許可權。 使用者只有其擁有物件的這些權限。
擁有的應用程式註冊
使用者可以對所擁有的應用程式註冊執行下列動作:
動作 | 說明 |
---|---|
microsoft.directory/applications/audience/update | 更新 Microsoft Entra ID 中的 applications.audience 屬性。 |
microsoft.directory/applications/authentication/update | 更新 Microsoft Entra ID 中的 applications.authentication 屬性。 |
microsoft.directory/applications/basic/update | 更新 Microsoft Entra ID 中應用程式的基本屬性。 |
microsoft.directory/applications/credentials/update | 更新 Microsoft Entra ID 中的 applications.credentials 屬性。 |
microsoft.directory/applications/delete | 在 Microsoft Entra ID 中刪除應用程式。 |
microsoft.directory/applications/owners/update | 更新 Microsoft Entra ID 中的 applications.owners 屬性。 |
microsoft.directory/applications/permissions/update | 更新 Microsoft Entra ID 中的 applications.permissions 屬性。 |
microsoft.directory/applications/policies/update | 更新 Microsoft Entra ID 中的 applications.policies 屬性。 |
microsoft.directory/applications/restore | 在 Microsoft Entra ID 中還原應用程式。 |
擁有的企業應用程式
使用者可以對所擁有的企業應用程式執行下列動作。 企業應用程式包含服務主體、一或多個應用程式原則,以及有時候和服務主體位於相同租用戶的應用程式物件。
動作 | 說明 |
---|---|
microsoft.directory/auditLogs/allProperties/read | 讀取 Microsoft Entra ID 稽核記錄的所有屬性 (包括特殊權限屬性)。 |
microsoft.directory/policies/basic/update | 更新 Microsoft Entra ID 中原則的基本屬性。 |
microsoft.directory/policies/delete | 刪除 Microsoft Entra ID 中的原則。 |
microsoft.directory/policies/owners/update | 更新 Microsoft Entra ID 中的 policies.owners 屬性。 |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新 Microsoft Entra ID 中的 servicePrincipals.appRoleAssignedTo 屬性。 |
microsoft.directory/servicePrincipals/appRoleAssignments/update | 更新 Microsoft Entra ID 中的 users.appRoleAssignments 屬性。 |
microsoft.directory/servicePrincipals/audience/update | 更新 Microsoft Entra ID 中的 servicePrincipals.audience 屬性。 |
microsoft.directory/servicePrincipals/authentication/update | 更新 Microsoft Entra ID 中的 servicePrincipals.authentication 屬性。 |
microsoft.directory/servicePrincipals/basic/update | 更新 Microsoft Entra ID 中服務主體的基本屬性。 |
microsoft.directory/servicePrincipals/credentials/update | 更新 Microsoft Entra ID 中的 servicePrincipals.credentials 屬性。 |
microsoft.directory/servicePrincipals/delete | 刪除 Microsoft Entra ID 中的服務主體。 |
microsoft.directory/servicePrincipals/owners/update | 更新 Microsoft Entra ID 中的 servicePrincipals.owners 屬性。 |
microsoft.directory/servicePrincipals/permissions/update | 更新 Microsoft Entra ID 中的 servicePrincipals.permissions 屬性。 |
microsoft.directory/servicePrincipals/policies/update | 更新 Microsoft Entra ID 中的 servicePrincipals.policies 屬性。 |
microsoft.directory/signInReports/allProperties/read | 讀取 Microsoft Entra ID 中登入報告的所有屬性 (包括特殊權限屬性)。 |
microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理應用程式佈建祕密及認證 |
microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
擁有的裝置
使用者可在所擁有的裝置上執行下列動作:
動作 | 說明 |
---|---|
microsoft.directory/devices/bitLockerRecoveryKeys/read | 讀取 Microsoft Entra ID 中的 devices.bitLockerRecoveryKeys 屬性。 |
microsoft.directory/devices/disable | 在 Microsoft Entra ID 中停用裝置。 |
擁有的群組
使用者可對所擁有的群組執行下列動作。
注意
組動態成員群組的擁有者必須具有群組管理員、Intune 管理員或使用者管理員角色,才能編輯組動態成員群組規則。 如需詳細資訊,請參閱在 Microsoft Entra ID 中建立或更新組動態成員群組。
動作 | 說明 |
---|---|
microsoft.directory/groups/appRoleAssignments/update | 更新 Microsoft Entra ID 中的 groups.appRoleAssignments 屬性。 |
microsoft.directory/groups/basic/update | 更新 Microsoft Entra ID 中群組的基本屬性。 |
microsoft.directory/groups/delete | 刪除 Microsoft Entra ID 中的群組。 |
microsoft.directory/groups/members/update | 更新 Microsoft Entra ID 中的 groups.members 屬性。 |
microsoft.directory/groups/owners/update | 更新 Microsoft Entra ID 中的 groups.owners 屬性。 |
microsoft.directory/groups/restore | 還原 Microsoft Entra ID 中的群組。 |
microsoft.directory/groups/settings/update | 更新 Microsoft Entra ID 中的 groups.settings 屬性。 |
下一步
若要深入了解 [來賓使用者存取限制] 設定,請參閱限制 Microsoft Entra ID 中的來賓存取權限。
若要深入了解如何指派 Microsoft Entra 系統管理員角色,請參閱在 Microsoft Entra ID 中將使用者指派給系統管理員角色。
若要深入了解如何在 Microsoft Azure 中控制資源存取,請參閱了解 Azure 中的資源存取。