Wat zijn de standaardgebruikersmachtigingen in Azure Active Directory?

In Azure Active Directory (Azure AD) wordt aan alle gebruikers een reeks standaardmachtigingen verleend. De toegang van een gebruiker bestaat uit het type gebruiker, hunroltoewijzingen en het eigendom van afzonderlijke objecten. Dit artikel beschrijft deze standaardmachtigingen en bevat een vergelijking van de standaardinstellingen voor lid- en gastgebruikers. De standaardgebruikersmachtigingen kunnen alleen worden gewijzigd in gebruikersinstellingen in Azure AD.

Lid- en gastgebruikers

De set ontvangen standaardmachtigingen is afhankelijk van of de gebruiker een native lid is van de tenant (lidgebruiker) of dat de gebruiker als gast van een B2B-samenwerking (gastgebruiker) wordt overgenomen uit een andere directory. Zie Wat is Azure AD B2B-samenwerking? voor meer informatie over het toevoegen van gastgebruikers.

  • Lidgebruikers kunnen toepassingen registreren, hun eigen profielfoto en mobiele telefoonnummer beheren, hun eigen wachtwoord wijzigen en B2B-gasten uitnodigen. Gebruikers kunnen bovendien (op een paar uitzonderingen na) alle directorygegevens lezen.
  • Gastgebruikers hebben beperkte directorymachtigingen. Ze kunnen hun eigen profiel beheren, hun eigen wachtwoord wijzigen en bepaalde informatie ophalen over andere gebruikers, groepen en apps, maar ze kunnen niet alle directorygegevens lezen. Gastgebruikers kunnen bijvoorbeeld de lijst met alle gebruikers, groepen en andere mapobjecten niet opsnoemen. Gasten kunnen worden toegevoegd aan beheerdersrollen, waarmee aan hen volledige lees- en schrijftoegang voor de rol wordt verleend. Gasten kunnen ook andere gasten uitnodigen.

Standaardmachtigingen voor leden en gasten vergelijken

Gebied Machtigingen voor lidgebruikers Standaardmachtigingen voor gastgebruikers Beperkte machtigingen voor gastgebruikers (preview)
Gebruikers en contactpersonen
  • Lijst met alle gebruikers en contactpersonen opsnoemen
  • Alle openbare eigenschappen lezen van gebruikers en contactpersonen
  • Gasten uitnodigen
  • Eigen wachtwoord wijzigen
  • Eigen mobiele nummer beheren
  • Eigen foto beheren
  • Eigen vernieuwingstekens ongeldig verklaren
  • Eigen eigenschappen lezen
  • De eigenschappen weergavenaam, e-mail, aanmeldingsnaam, foto, user principal name en gebruikerstype van andere gebruikers en contactpersonen lezen
  • Eigen wachtwoord wijzigen
  • Zoeken naar een andere gebruiker op ObjectId (indien toegestaan)
  • Leesbeheer en directe rapportinformatie van andere gebruikers
  • Eigen eigenschappen lezen
  • Eigen wachtwoord wijzigen
  • Eigen mobiele nummer beheren
Groepen
  • Beveiligingsgroepen maken
  • Groepen Microsoft 365 maken
  • Lijst met alle groepen opsnoemen
  • Alle eigenschappen van groepen lezen
  • Niet-verborgen groepslidmaatschappen lezen
  • Verborgen Microsoft 365 voor lidgroep lezen
  • Eigenschappen, eigendom en lidmaatschap beheren van groepen die eigendom zijn van de gebruiker
  • Gasten toevoegen aan groepen in eigendom
  • Instellingen voor dynamisch lidmaatschap beheren
  • Groepen in eigendom verwijderen
  • Groepen in eigendom Microsoft 365 herstellen
  • Eigenschappen van niet-verborgen groepen lezen, waaronder lidmaatschap en eigendom (zelfs niet-lidgroepen)
  • Verborgen Microsoft 365 voor lidgroepen lezen
  • Groepen zoeken op weergavenaam of object-id (indien toegestaan)
  • Object-id voor lidgroepen lezen
  • Lidmaatschap en eigendom van lidgroepen lezen in sommige Microsoft 365-apps (indien toegestaan)
Toepassingen
  • Nieuwe toepassing registreren (maken)
  • Lijst met alle toepassingen opsnoemen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Eigenschappen, toewijzingen en referenties van toepassingen beheren voor toepassingen in eigendom
  • Toepassingswachtwoord voor gebruiker maken of verwijderen
  • Toepassingen in eigendom verwijderen
  • Toepassingen in eigendom herstellen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
Apparaten
  • Lijst met alle apparaten opsnoemen
  • Alle eigenschappen van apparaten lezen
  • Alle eigenschappen van apparaten in eigendom lezen
Geen machtigingen Geen machtigingen
Directory
  • Alle bedrijfsgegevens lezen
  • Alle domeinen lezen
  • Alle partnercontracten lezen
  • Weergavenaam van bedrijf lezen
  • Alle domeinen lezen
  • Weergavenaam van bedrijf lezen
  • Alle domeinen lezen
Rollen en bereiken
  • Alle beheerdersrollen en lidmaatschappen lezen
  • Alle eigenschappen en het lidmaatschap van beheereenheden lezen
Geen machtigingen Geen machtigingen
Abonnementen
  • Alle abonnementen lezen
  • Serviceplanlid inschakelen
Geen machtigingen Geen machtigingen
Beleidsregels
  • Alle eigenschappen van beleid lezen
  • Alle eigenschappen van beleid in eigendom lezen
Geen machtigingen Geen machtigingen

Standaardmachtigingen voor lidgebruikers beperken

Standaardmachtigingen voor lidgebruikers kunnen op de volgende manieren worden beperkt:

Machtiging Uitleg van de instelling
Gebruikers kunnen een toepassing registreren Als u deze optie instelt op Nee, kunnen gebruikers geen toepassingsregistraties maken. De mogelijkheid kan vervolgens worden verleend aan specifieke personen door ze toe te voegen aan de rol Toepassingsontwikkelaar.
Gebruikers toestaan om een werk- of schoolaccount te verbinden met LinkedIn Als u deze optie instelt op Nee, kunnen gebruikers hun werk- of schoolaccount niet verbinden met hun LinkedIn-account. Zie LinkedIn account connections data sharing and consent (LinkedIn-accountverbindingen voor het delen van gegevens en toestemming) voor meer informatie.
De mogelijkheid beveiligingsgroepen te maken Als u deze optie op Nee instelt, kunnen gebruikers geen beveiligingsgroepen maken. Globale beheerders en gebruikersbeheerders kunnen nog steeds beveiligingsgroepen maken. Zie Azure Active Directory-cmdlets voor het configureren van groepsinstellingen voor meer informatie.
Mogelijkheid om Microsoft 365 maken Als u deze optie instelt op Nee, kunnen gebruikers geen Microsoft 365 maken. Als u deze optie instelt op Sommige, kan een selecte set gebruikers Microsoft 365 maken. Globale beheerders en gebruikersbeheerders kunnen nog steeds Microsoft 365 maken. Zie Azure Active Directory-cmdlets voor het configureren van groepsinstellingen voor meer informatie.
De toegang tot de Azure AD-beheerportal beperken

Door deze optie in te stellen op Nee kunnen niet-beheerders de Azure AD-beheerportal gebruiken om Azure AD-resources te lezen en beheren. Met Ja hebben alle niet-beheerders geen toegang tot Azure AD-gegevens in de beheerportal.

Opmerking: deze instelling beperkt de toegang tot Azure AD-gegevens niet met behulp van PowerShell of andere clients, zoals Visual Studio. Als deze waarde is ingesteld op Ja, kunt u een specifieke gebruiker zonder beheerdersrechten de mogelijkheid geven om een beheerdersrol toe te wijzen via de Azure AD-beheerportal, zoals de rol Directory Readers.

Opmerking: met deze instellingen kunnen niet-beheerders die eigenaar zijn van groepen of toepassingen de Azure Portal om hun eigen resources te beheren.

Met deze rol kunnen basisgegevens van de directory worden gelezen, die standaard door lidgebruikers worden gebruikt (gasten en service-principals hebben dat niet).

Mogelijkheid om andere gebruikers te lezen Deze instelling is alleen beschikbaar in PowerShell. Als u deze vlag in $false voorkomt u dat alle niet-beheerders gebruikersgegevens uit de directory kunnen lezen. Met deze vlag wordt het lezen van gebruikersgegevens in andere Microsoft-services zoals Exchange Online. Deze instelling is bedoeld voor speciale omstandigheden en het instellen van deze vlag op $false wordt niet aanbevolen.

Standaardmachtigingen voor gastgebruikers beperken

Standaardmachtigingen voor gastgebruikers kunnen op de volgende manieren worden beperkt:

Notitie

De instelling voor gebruikerstoegangsbeperkingen voor gasten heeft de machtigingen voor gastgebruikers vervangen door een beperkte instelling. Zie Machtigingen voor gasttoegang beperken (preview) inAzure Active Directory voor hulp bij het gebruik Azure Active Directory.

Machtiging Uitleg van de instelling
Toegangsbeperkingen voor gasten (preview) Als u deze optie instelt op Gastgebruikers, hebben ze dezelfde toegang als leden die standaard alle gebruikersmachtigingen voor leden aan gastgebruikers verlenen.

Het instellen van deze optie op Toegang van gastgebruikers is beperkt tot eigenschappen en lidmaatschappen van hun eigen directoryobjecten en beperkt gasttoegang standaard tot alleen hun eigen gebruikersprofiel. Toegang tot andere gebruikers is niet meer toegestaan, zelfs niet wanneer u zoekt op User Principal Name, ObjectId of Display Name. Toegang tot informatie over groepen, inclusief groepslidmaatschap, is ook niet meer toegestaan.

Opmerking: met deze instelling wordt de toegang tot samengevoegde groepen in sommige Microsoft 365-services zoals Microsoft Teams. Zie Microsoft Teams gasttoegang voor meer informatie.

Gastgebruikers kunnen nog steeds worden toegevoegd aan beheerdersrollen, ongeacht deze machtigingsinstellingen.

Gasten kunnen uitnodigingen versturen Als u deze optie instelt op Ja, kunnen gasten andere gasten uitnodigen. Zie Uitnodigingen delegeren voor B2B-samenwerking voor meer informatie.
Leden kunnen uitnodigingen versturen Als u deze optie instelt op Ja, kunnen niet-beheerders van uw directory gasten uitnodigen. Zie Uitnodigingen delegeren voor B2B-samenwerking voor meer informatie.
Beheerders en gebruikers in de rol van gastuitnodiger kunnen uitnodigingen versturen Als u deze optie instelt op Ja, kunnen beheerders en gebruikers met de rol Gastnodiger gasten uitnodigen. Als deze instelling is ingesteld op Ja, kunnen Afzender van gastuitnodigingen nog steeds gasten uitnodigen, ongeacht de instelling Leden kunnen uitnodigen. Zie Uitnodigingen delegeren voor B2B-samenwerking voor meer informatie.

Eigendom van objecten

Eigenaarsmachtigingen toepassingsregistratie

Wanneer een gebruiker een toepassing registreert, wordt deze automatisch toegevoegd als een eigenaar voor de toepassing. Als eigenaar kan de gebruiker de metagegevens van de toepassing beheren, zoals de naam en de machtigingen waarom de app verzoekt. De gebruiker kan ook de tenantspecifieke configuratie van de toepassing beheren, zoals de SSO-toewijzingen voor configuratie en gebruikersbestanden. Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot globale beheerders kunnen eigenaren alleen toepassingen beheren waarvan ze eigenaar zijn.

Eigenaarsmachtigingen voor bedrijfstoepassing

Wanneer een gebruiker een nieuwe bedrijfstoepassing toevoegt, wordt deze automatisch toegevoegd als eigenaar. Als eigenaar kunnen ze de tenantspecifieke configuratie van de toepassing beheren, zoals de configuratie van eenmalige aanmelding, inrichting en gebruikerstoewijzingen. Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot globale beheerders kunnen eigenaren alleen de toepassingen beheren die ze in hun bezit hebben.

Machtigingen groepseigenaar

Wanneer een gebruiker een groep maakt, wordt deze automatisch toegevoegd als een eigenaar voor die groep. Als eigenaar kunnen ze eigenschappen van de groep beheren, zoals de naam, en het groepslidmaatschap beheren. Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot globale beheerders en gebruikersbeheerders kunnen eigenaren alleen groepen beheren die ze in hun bezit hebben. Zie Eigenaren beheren voor een groep voor informatie over het toewijzen van een groepseigenaar.

Machtigingen voor eigendom

In de volgende tabellen worden de specifieke machtigingen in Azure Active Directory gebruikers meer dan eigendomsobjecten hebben. De gebruiker heeft alleen deze machtigingen voor objecten die hij of zij bezit.

Toepassingsregistraties in eigendom

Gebruikers kunnen de volgende acties uitvoeren op toepassingsregistraties in eigendom.

Acties Beschrijving
microsoft.directory/applications/audience/update Werk de eigenschap applications.audience in Azure Active Directory.
microsoft.directory/applications/authentication/update Werk de eigenschap applications.authentication in Azure Active Directory.
microsoft.directory/applications/basic/update Werk basiseigenschappen bij voor toepassingen in Azure Active Directory.
microsoft.directory/applications/credentials/update Werk de eigenschap applications.credentials in Azure Active Directory.
microsoft.directory/applications/delete Verwijder toepassingen in Azure Active Directory.
microsoft.directory/applications/owners/update Werk de eigenschap applications.owners in Azure Active Directory.
microsoft.directory/applications/permissions/update Werk de eigenschap applications.permissions in Azure Active Directory.
microsoft.directory/applications/policies/update Werk de eigenschap applications.policies in Azure Active Directory.
microsoft.directory/applications/restore Toepassingen herstellen in Azure Active Directory.

Bedrijfstoepassingen in eigendom

Gebruikers kunnen de volgende acties uitvoeren op bedrijfstoepassingen in eigendom. Een bedrijfstoepassing bestaat uit een service-principal, een of meer toepassingsbeleidsregels en soms een toepassingsobject in dezelfde tenant als de service-principal.

Acties Beschrijving
microsoft.directory/auditLogs/allProperties/read Lees alle eigenschappen (inclusief bevoorrechte eigenschappen) in auditLogs in Azure Active Directory.
microsoft.directory/policies/basic/update Werk basiseigenschappen bij voor beleidsregels in Azure Active Directory.
microsoft.directory/policies/delete Verwijder beleidsregels in Azure Active Directory.
microsoft.directory/policies/owners/update Werk de eigenschap policies.owners in Azure Active Directory.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Werk de eigenschap servicePrincipals.appRoleAssignedTo bij in Azure Active Directory.
microsoft.directory/servicePrincipals/appRoleAssignments/update Werk de eigenschap users.appRoleAssignments bij in Azure Active Directory.
microsoft.directory/servicePrincipals/audience/update Werk de eigenschap servicePrincipals.audience bij in Azure Active Directory.
microsoft.directory/servicePrincipals/authentication/update Werk de eigenschap servicePrincipals.authentication bij in Azure Active Directory.
microsoft.directory/servicePrincipals/basic/update Werk basiseigenschappen van servicePrincipals bij in Azure Active Directory.
microsoft.directory/servicePrincipals/credentials/update Werk de eigenschap servicePrincipals.credentials bij in Azure Active Directory.
microsoft.directory/servicePrincipals/delete Verwijder servicePrincipals in Azure Active Directory.
microsoft.directory/servicePrincipals/owners/update Werk de eigenschap servicePrincipals.owners bij in Azure Active Directory.
microsoft.directory/servicePrincipals/permissions/update Werk de eigenschap servicePrincipals.permissions bij in Azure Active Directory.
microsoft.directory/servicePrincipals/policies/update Werk de eigenschap servicePrincipals.policies bij in Azure Active Directory.
microsoft.directory/signInReports/allProperties/read Lees alle eigenschappen (inclusief bevoorrechte eigenschappen) op signInReports in Azure Active Directory.

Apparaten in eigendom

Gebruikers kunnen de volgende acties uitvoeren op apparaten in eigendom.

Acties Beschrijving
microsoft.directory/devices/bitLockerRecoveryKeys/read Lees de eigenschap devices.bitLockerRecoveryKeys in Azure Active Directory.
microsoft.directory/devices/disable Apparaten uitschakelen in Azure Active Directory.

Groepen in eigendom

Gebruikers kunnen de volgende acties uitvoeren op groepen in eigendom.

Acties Beschrijving
microsoft.directory/groups/appRoleAssignments/update Werk de eigenschap groups.appRoleAssignments bij in Azure Active Directory.
microsoft.directory/groups/basic/update Werk basiseigenschappen bij voor groepen in Azure Active Directory.
microsoft.directory/groups/delete Verwijder groepen in Azure Active Directory.
microsoft.directory/groups/members/update Werk de eigenschap groups.members in Azure Active Directory.
microsoft.directory/groups/owners/update Werk de eigenschap groups.owners in Azure Active Directory.
microsoft.directory/groups/restore Groepen herstellen in Azure Active Directory.
microsoft.directory/groups/settings/update Werk de eigenschap groups.settings in Azure Active Directory.

Volgende stappen