Megosztás a következőn keresztül:

Vendéghozzáférés-engedélyek korlátozása a Microsoft Entra-azonosítóban

  • Cikk

A Microsoft Entra-azonosító, a Microsoft Entra része, lehetővé teszi, hogy korlátozza, hogy a külső vendégfelhasználók mit láthatnak a szervezetükben a Microsoft Entra ID-ban. A vendégfelhasználók alapértelmezés szerint korlátozott engedélyszintre vannak beállítva a Microsoft Entra-azonosítóban, míg a tagfelhasználók esetében az alapértelmezett beállítás a felhasználói engedélyek teljes készlete. A Microsoft Entra-szervezet külső együttműködési beállításaiban egy másik vendégfelhasználói jogosultsági szint is elérhető a még korlátozottabb hozzáférés érdekében, így a vendéghozzáférési szintek a következők:

Engedélyszint Hozzáférési szint Érték
A tag felhasználókéval azonos A vendégek ugyanolyan hozzáféréssel rendelkeznek a Microsoft Entra-erőforrásokhoz, mint a tagfelhasználók a0b1b346-4d3e-4e8b-98f8-753987be4970
Korlátozott hozzáférés (Alapértelmezett) A vendégek megtekinthetik az összes nem rejtett csoport tagságát 10dae51f-b6af-4016-8d66-8c2a99b929b3
Korlátozott hozzáférés (új) A vendégek nem láthatják a csoporttagságokat 2af84b1e-32c8-42b7-82bc-daa82404023b

Ha a vendég hozzáférése korlátozva van, akkor a vendégek csak a saját felhasználói profiljukat tekinthetik meg. Más felhasználók megtekintésének engedélyezése akkor sem engedélyezett, ha a vendég a User Principal Name vagy az objectId alapján keres. A korlátozott hozzáférés esetén a vendégfelhasználók azt sem láthatják, hogy melyik csoportoknak a tagjai. További információ az általános alapértelmezett felhasználói engedélyekről, beleértve a vendégfelhasználói engedélyeket is, olvassa el a Microsoft Entra ID alapértelmezett felhasználói engedélyeit ismertető témakört.

Engedélyek és licencek

A vendégfelhasználói hozzáférés konfigurálásához globális Rendszergazda istrator szerepkörben kell lennie. A vendéghozzáférés korlátozására nincsenek további licenckövetelmények.

Frissítés az Azure Portalon

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Módosítottuk a vendégfelhasználói engedélyek meglévő Azure Portal-vezérlőinek beállításait.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális Rendszergazda istratorként.

  2. Válassza a Microsoft Entra ID Users>All users (Minden felhasználó) lehetőséget.>

  3. A Külső felhasználók csoportban válassza a Külső együttműködési beállítások kezelése lehetőséget.

  4. A Külső együttműködési beállítások lapon válassza a Vendégfelhasználói hozzáférés lehetőséget, amely a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik.

    Képernyőkép a Microsoft Entra külső együttműködési beállítások oldaláról.

  5. Válassza a Mentés lehetőséget. A módosítások a vendégfelhasználók számára akár 15 percet is igénybe vehetnek.

Frissítés a Microsoft Graph API-val

Hozzáadtunk egy új Microsoft Graph API-t a vendégengedélyek Microsoft Entra-szervezetben való konfigurálásához. Az alábbi API-hívások bármilyen jogosultsági szint hozzárendeléséhez kezdeményezhetők. Az itt használt guestUserRoleId érték a leginkább korlátozott vendégfelhasználói beállítások szemléltetésére szolgál. A Vendégengedélyek beállításához a Microsoft Graph használatával kapcsolatos további információkért tekintse meg authorizationPolicy az erőforrás típusát.

Első konfigurálás

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

A válasznak siker 204-nek kell lennie.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

A meglévő érték frissítése

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

A válasznak siker 204-nek kell lennie.

Az aktuális érték megtekintése

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Példaválasz:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Frissítés PowerShell-parancsmagokkal

Ezzel a funkcióval lehetővé tettük a korlátozott engedélyek konfigurálását PowerShell v2-parancsmagokkal. A PowerShell-parancsmagok lekérése és frissítése verzióban 2.0.2.85lett közzétéve.

Parancs lekérése: Get-MgPolicyAuthorizationPolicy

Példa:

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Frissítési parancs: Update-MgPolicyAuthorizationPolicy

Példa:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Támogatott Microsoft 365-szolgáltatások

Támogatott szolgáltatások

A támogatottak azt jelentik, hogy a tapasztalat a vártnak megfelelően történik; konkrétan azt, hogy ugyanaz, mint a jelenlegi vendégélmény.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Planner a Teamsben
  • Planner mobilalkalmazás
  • Planner webalkalmazás
  • Project munkaszervezéshez
  • Projektműveletek

Jelenleg nem támogatott szolgáltatások

A jelenlegi támogatás nélküli szolgáltatás kompatibilitási problémákat tapasztalhat az új vendégkorlátozási beállítással.

  • Űrlapok
  • Project Online
  • Yammer
  • Planner a SharePointban

Gyakori kérdések (GYIK)

Kérdés Válasz
Hol érvényesek ezek az engedélyek? Ezek a címtárszintű engedélyek a Microsoft Entra-szolgáltatásokban, például a Microsoft Graphban, a PowerShell v2-ben, az Azure Portalon és a Saját alkalmazások portálon vannak érvényesítve. A Microsoft 365-csoportokat együttműködési forgatókönyvekhez használó Microsoft 365-szolgáltatásokra is hatással van, különösen az Outlookra, a Microsoft Teamsre és a SharePointra.
Hogyan befolyásolják a korlátozott engedélyek, hogy mely csoportokat láthatják a vendégek? Az alapértelmezett vagy korlátozott vendégengedélyektől függetlenül a vendégek nem tudják számba adni a csoportok vagy felhasználók listáját. A vendégek az engedélyektől függően az Azure Portalon és a Saját alkalmazások portálon is megtekinthetik a csoportokat:
  • Alapértelmezett engedélyek: Ha meg szeretné keresni azokat a csoportokat, amelyben tagjai az Azure Portalon, a vendégnek meg kell keresnie az objektumazonosítóját a Minden felhasználó listában, majd a Csoportok lehetőséget kell választania. Itt láthatja azoknak a csoportoknak a listáját, amelyeknek tagjai, beleértve a csoport összes részletét, beleértve a nevet, az e-maileket stb. A Saját alkalmazások portálon megtekinthetik a saját és a bennük lévő csoportok listáját.
  • Korlátozott vendégengedélyek: Az Azure Portalon megkereshetik a csoportokat, ha megkeresik az objektumazonosítójukat a Minden felhasználó listában, majd kiválasztják a Csoportokat. Csak korlátozott részleteket láthatnak a csoportról, nevezetesen az objektumazonosítót. A Név és az E-mail oszlop terv szerint üres, a csoport típusa pedig ismeretlen. A Saját alkalmazások portálon nem tudják elérni a saját csoportjuk vagy csoportjuk listáját, amelynek tagjai.

A Graph API-ból származó címtárengedélyek részletesebb összehasonlításáért tekintse meg az Alapértelmezett felhasználói engedélyek című témakört.
A Saját alkalmazások portál mely részeire lesz hatással ez a funkció? A Saját alkalmazások portál csoportfunkciói betartják ezeket az új engedélyeket. Ez a funkció tartalmazza a csoportok listájának és a csoporttagságoknak a Saját alkalmazások összes elérési útját. A csoport csempe rendelkezésre állása nem módosult. A csoport csempe rendelkezésre állását továbbra is az Azure Portal meglévő csoportbeállítása szabályozza.
Felülírják ezek az engedélyek a SharePoint vagy a Microsoft Teams vendégbeállításait? Szám Ezek a meglévő beállítások továbbra is szabályozzák az alkalmazások felhasználói élményét és elérését. Ha például problémákat tapasztal a SharePointban, ellenőrizze duplán a külső megosztási beállításokat. A csoportszintű csoporttulajdonosok által hozzáadott vendégek csak normál csatornákon férhetnek hozzá a csatornaértekezlet-csevegéshez, kivéve a privát és a megosztott csatornákat.
Mik a Yammer ismert kompatibilitási problémái? Ha az engedélyek korlátozottak, a Yammerbe bejelentkezett vendégek nem hagyhatják el a csoportot.
Módosulnak a meglévő vendégengedélyek a bérlőmben? Az aktuális beállításokon nem történt módosítás. Fenntartjuk a korábbi kompatibilitást a meglévő beállításokkal. Ön dönti el, hogy mikor szeretne módosításokat végezni.
Ezek az engedélyek alapértelmezés szerint be lesznek állítva? Szám A meglévő alapértelmezett engedélyek változatlanok maradnak. Igény szerint beállíthatja, hogy az engedélyek szigorúbbak legyenek.
Vannak licenckövetelmények ehhez a funkcióhoz? Nem, ezzel a funkcióval nincsenek új licenckövetelmények.

Következő lépések

  • Ha többet szeretne megtudni a Microsoft Entra ID-ban meglévő vendégengedélyekről, olvassa el a Microsoft Entra ID alapértelmezett felhasználói engedélyeit ismertető témakört .
  • A vendéghozzáférés korlátozására szolgáló Microsoft Graph API-metódusok megtekintéséhez tekintse meg authorizationPolicy az erőforrás típusát
  • Ha egy felhasználó összes hozzáférését vissza szeretné vonni, olvassa el a Felhasználói hozzáférés visszavonása a Microsoft Entra-azonosítóban című témakört