Permisos de usuario predeterminados en los inquilinos externos
Un inquilino de Microsoft Entra en una configuración externa se usa exclusivamente en escenarios de Id. externa de Microsoft Entra. Un inquilino externo proporciona una separación clara entre el directorio corporativo de recursos humanos y el directorio de aplicaciones orientadas al cliente. Además, los usuarios creados en el inquilino externo están restringidos para acceder a información sobre otros usuarios en el inquilino externo. De forma predeterminada, los clientes no pueden acceder a información sobre otros usuarios, grupos o dispositivos.
Un inquilino externo puede contener los siguientes tipos de usuario:
Los usuarios externos son los consumidores y clientes empresariales de las aplicaciones registradas en el inquilino externo. Tienen una cuenta local, pero se autentican externamente. Los usuarios externos están limitados a los permisos de usuario predeterminados y no se pueden asignar roles. Normalmente se crean mediante el registro de autoservicio, pero puede crearlos con la opción Crear nuevo usuario externo en el Centro de administración Microsoft Entra o con Microsoft Graph.
Los usuarios internos son los usuarios (normalmente administradores) que se autentican internamente y tienen asignados roles de Microsoft Entra en el inquilino externo. Si no les asigna un rol, tienen permisos de usuario predeterminados. Puede crear usuarios internos con la opción Crear nuevo usuario en el Centro de administración o con Microsoft Graph.
Los usuarios invitados son los usuarios (normalmente administradores) que inician sesión con sus propias credenciales externas y tienen asignados roles de Microsoft Entra en el inquilino externo. Si no les asigna un rol, tienen permisos de usuario predeterminados. Puede invitar a usuarios con la opción Invitar a usuario externo en el Centro de administración o con Microsoft Graph.
Permisos predeterminados
En la tabla siguiente se describen los permisos predeterminados asignados a un usuario en un cliente de inquilino externo:
- Usuarios que utilizan el registro de autoservicio
- Usuarios creados por administradores
- Usuarios que han sido invitados
| Ámbito | Permisos de usuario del cliente |
|---|---|
| Usuarios y contactos | - Leer y actualizar su propio perfil a través de la experiencia de administración de perfiles de la aplicación - Cambiar su propia contraseña - Iniciar sesión con una cuenta local o social |
| APLICACIONES | - Aplicaciones de acceso - Revocar el consentimiento a las aplicaciones |
API y permisos de Microsoft Graph
La siguiente tabla indica las operaciones de la API que permiten a los clientes administrar la información de su perfil. El id. de usuario o userPrincipalName es siempre el del usuario que ha iniciado sesión.
| Operación de usuario | Operación de la API | Permisos requeridos |
|---|---|---|
| Leer perfil | GET /me o GET /users/{id o userPrincipalName} | User.Read |
| Actualización de perfil | PATCH /me o PATCH /users/{id o userPrincipalName} Las siguientes propiedades son actualizables: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname y preferredLanguage |
User.ReadWrite |
| Haga clic en Cambiar contraseña. | POST /me/changePassword | Directory.AccessAsUser.All |