Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID?

In Microsoft Entra-id krijgen alle gebruikers een set standaardmachtigingen. De toegang van een gebruiker bestaat uit het type gebruiker, de roltoewijzingen, en eigendom van afzonderlijke objecten.

Dit artikel beschrijft deze standaardmachtigingen en bevat een vergelijking van de standaardinstellingen voor lid- en gastgebruikers. De standaardgebruikersmachtigingen kunnen alleen worden gewijzigd in gebruikersinstellingen in Microsoft Entra-id.

Lid- en gastgebruikers

De set standaardmachtigingen is afhankelijk van de vraag of de gebruiker een systeemeigen lid van de tenant (lidgebruiker) of dat de gebruiker vanuit een andere directory is overgebracht als een gast voor B2B-samenwerking (gastgebruiker). Zie Wat is Microsoft Entra B2B-samenwerking? voor meer informatie over het toevoegen van gastgebruikers. Dit zijn de mogelijkheden van de standaardmachtigingen:

  • Lidgebruikers kunnen toepassingen registreren, hun eigen profielfoto en mobiele telefoonnummer beheren, hun eigen wachtwoord wijzigen en B2B-gasten uitnodigen. Deze gebruikers kunnen bovendien (op een paar uitzonderingen na) alle directorygegevens lezen.

  • Gastgebruikers hebben beperkte directorymachtigingen. Ze kunnen hun eigen profiel beheren, hun eigen wachtwoord wijzigen en informatie opvragen over andere gebruikers, groepen en apps. Ze kunnen echter niet alle directorygegevens lezen.

    Gastgebruikers kunnen bijvoorbeeld de lijst met alle gebruikers, groepen en andere directoryobjecten niet weergeven. Gasten kunnen worden toegevoegd aan beheerdersrollen, waarmee aan hen volledige lees- en schrijftoegang wordt verleend. Gasten kunnen ook andere gasten uitnodigen.

Standaardmachtigingen voor leden en gasten vergelijken

Oppervlak Gebruikersmachtigingen voor leden Standaardmachtigingen voor gastgebruikers Beperkte machtigingen voor gastgebruikers
Gebruikers en contactpersonen
  • De lijst met alle gebruikers en contactpersonen weergeven
  • Alle openbare eigenschappen lezen van gebruikers en contactpersonen
  • Gasten uitnodigen
  • Eigen wachtwoord wijzigen
  • Eigen mobiele nummer beheren
  • Eigen foto beheren
  • Eigen vernieuwingstokens ongeldig verklaren
  • Eigen eigenschappen lezen
  • Weergavenaam, e-mail, aanmeldingsnaam, foto's, UPN-naam en type gebruikerseigenschappen van andere gebruikers en contactpersonen lezen
  • Eigen wachtwoord wijzigen
  • Zoeken naar een andere gebruiker op object-id (indien toegestaan)
  • Informatie over manager en directe ondergeschikten van andere gebruikers lezen
  • Eigen eigenschappen lezen
  • Eigen wachtwoord wijzigen
  • Eigen mobiele nummer beheren
Groepen
  • Beveiligingsgroepen maken
  • Microsoft 365-groepen maken
  • De lijst met alle groepen weergeven
  • Alle eigenschappen van groepen lezen
  • Niet-verborgen groepslidmaatschappen lezen
  • Verborgen Microsoft 365-groepslidmaatschappen voor gekoppelde groepen lezen
  • Eigenschappen, eigendom en lidmaatschap van groepen beheren waarvan de gebruiker eigenaar is
  • Gasten toevoegen aan groepen in eigendom
  • Instellingen voor dynamisch lidmaatschap beheren
  • Groepen in eigendom verwijderen
  • Eigen Microsoft 365-groepen herstellen
  • Eigenschappen lezen van niet-verborgen groepen, inclusief lidmaatschap en eigendom (zelfs niet-gekoppelde groepen)
  • Verborgen Microsoft 365-groepslidmaatschappen voor gekoppelde groepen lezen
  • Groepen zoeken op weergavenaam of object-id (indien toegestaan)
  • Object-id voor gekoppelde groepen lezen
  • Lidmaatschap en eigendom van gekoppelde groepen lezen in sommige Microsoft 365-apps (indien toegestaan)
Toepassingen
  • Nieuwe toepassingen registreren (maken)
  • De lijst met alle toepassingen weergeven
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Eigenschappen, toewijzingen en referenties van toepassingen beheren voor toepassingen in eigendom
  • Toepassingswachtwoorden voor gebruikers maken of verwijderen
  • Toepassingen in eigendom verwijderen
  • Toepassingen in eigendom herstellen
  • Machtigingen weergeven die zijn verleend aan toepassingen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Machtigingen weergeven die zijn verleend aan toepassingen
  • Eigenschappen van geregistreerde en bedrijfstoepassingen lezen
  • Machtigingen weergeven die zijn verleend aan toepassingen
Apparaten
  • De lijst met alle apparaten weergeven
  • Alle eigenschappen van apparaten lezen
  • Alle eigenschappen van apparaten in eigendom lezen
Geen machtigingen Geen machtigingen
Organisatie
  • Alle bedrijfsgegevens lezen
  • Alle domeinen lezen
  • Configuratie van verificatie op basis van certificaten lezen
  • Alle partnercontracten lezen
  • Basisdetails en actieve tenants voor meerdere tenants lezen
  • Weergavenaam van bedrijf lezen
  • Alle domeinen lezen
  • Configuratie van verificatie op basis van certificaten lezen
  • Weergavenaam van bedrijf lezen
  • Alle domeinen lezen
Rollen en bereiken
  • Alle beheerdersrollen en lidmaatschappen lezen
  • Alle eigenschappen en het lidmaatschap van beheereenheden lezen
Geen machtigingen Geen machtigingen
Abonnementen
  • Alle licentieabonnementen lezen
  • Lidmaatschappen van serviceplannen inschakelen
Geen machtigingen Geen machtigingen
Beleidsregels
  • Alle eigenschappen van beleid lezen
  • Alle eigenschappen van beleid in eigendom lezen
Geen machtigingen Geen machtigingen

Standaardmachtigingen voor lidgebruikers beperken

Het is mogelijk om beperkingen toe te voegen aan de standaardmachtigingen van gebruikers.

U kunt standaardmachtigingen voor lidgebruikers op de volgende manieren beperken:

Let op

Het gebruik van de switch Toegang tot de Microsoft Entra-beheerportal beperken is GEEN beveiligingsmaatregel. Zie de onderstaande tabel voor meer informatie over de functionaliteit.

Machtiging Uitleg van de instelling
Toepassingen registreren Als u deze optie op Nee instelt, kunnen gebruikers geen toepassingen registreren. Vervolgens kunt u de mogelijkheid aan specifieke personen toewijzen door ze toe te voegen aan de rol van toepassingsontwikkelaar.
Gebruikers toestaan om hun werk- of schoolaccount te verbinden met LinkedIn Als u deze optie op Nee instelt, kunnen gebruikers hun werk- of schoolaccount niet verbinden met hun LinkedIn-account. Zie LinkedIn-accountverbindingen voor het delen van gegevens en toestemming voor meer informatie.
Beveiligingsgroepen maken Als u deze optie op Nee instelt, kunnen gebruikers geen beveiligingsgroepen maken. Globale Beheer istrators en gebruikers Beheer istrators kunnen nog steeds beveiligingsgroepen maken. Zie Microsoft Entra-cmdlets voor het configureren van groepsinstellingen voor meer informatie.
Microsoft 365-groepen maken Als u deze optie op Nee instelt, kunnen gebruikers geen Microsoft 365-groepen maken. Als u deze optie op Sommige instelt, kan een selectie van gebruikers Microsoft 365-groepen maken. Globale Beheer istrators en user Beheer istrators kunnen nog steeds Microsoft 365-groepen maken. Zie Microsoft Entra-cmdlets voor het configureren van groepsinstellingen voor meer informatie.
Toegang tot de Microsoft Entra-beheerportal beperken Wat doet deze schakeloptie?
Niet-beheerders kunnen niet door de Microsoft Entra-beheerportal bladeren.
Ja beperkt niet-beheerders om door de Microsoft Entra-beheerportal te bladeren. Niet-beheerders die eigenaar van groepen of toepassingen zijn, kunnen de Azure Portal niet gebruiken om hun eigen resources te beheren.

Wat doet deze schakeloptie niet?
De toegang tot Microsoft Entra-gegevens wordt niet beperkt met behulp van PowerShell, Microsoft GraphAPI of andere clients, zoals Visual Studio.
De toegang wordt niet beperkt zolang aan een gebruiker een aangepaste rol (of een andere rol) is toegewezen.

Wanneer moet ik deze schakeloptie gebruiken?
Gebruik deze optie om te voorkomen dat gebruikers de resources die ze bezitten onjuist configureren.

Wanneer moet ik deze schakeloptie niet gebruiken?
Gebruik deze schakeloptie niet als een beveiligingsmaatregel. Maak in plaats daarvan een beleid voor voorwaardelijke toegang dat is gericht op de Windows Azure Service Management-API waarmee niet-beheerders toegang tot de Windows Azure Service Management-API worden geblokkeerd.

Hoe kan ik alleen specifieke niet-beheerders de mogelijkheid verlenen om de Microsoft Entra-beheerportal te gebruiken?
Stel deze optie in op Ja en wijs ze vervolgens een rol als globale lezer toe.

Toegang tot de Microsoft Entra-beheerportal beperken
Een beleid voor voorwaardelijke toegang dat is gericht op windows Azure Service Management-API, is gericht op toegang tot alle Azure-beheertaken.

Niet-beheerders beperken tot het maken van tenants Gebruikers kunnen tenants maken in de Microsoft Entra-id en de Microsoft Entra-beheerportal onder Tenant beheren. Het maken van een tenant wordt vastgelegd in het auditlogboek als categorie DirectoryManagement en activiteit Maken van bedrijf. Iedereen die een tenant maakt, wordt de globale Beheer istrator van die tenant. De zojuist gemaakte tenant neemt geen instellingen of configuraties over.

Wat doet deze schakeloptie?
Als u deze optie instelt op Ja, wordt het maken van Microsoft Entra-tenants beperkt tot de rollen Global Beheer istrator of tenantmaker. Als u deze optie instelt op Nee , kunnen niet-beheerders Microsoft Entra-tenants maken. Het maken van een tenant wordt nog steeds vastgelegd in het auditlogboek.

Hoe kan ik alleen specifieke niet-beheerders de mogelijkheid verlenen om nieuwe tenants te maken?
Stel deze optie in op Ja en wijs deze vervolgens de rol tenantmaker toe.

Voorkomen dat gebruikers de BitLocker-sleutel(s) voor hun apparaten herstellen Deze instelling vindt u in het Microsoft Entra-beheercentrum in het apparaat Instellingen. Als u deze optie instelt op Ja , kunnen gebruikers geen BitLocker-sleutel(en) zelf herstellen voor hun apparaten. Gebruikers moeten contact opnemen met de helpdesk van hun organisatie om hun BitLocker-sleutels op te halen. Als u deze optie instelt op Nee , kunnen gebruikers hun BitLocker-sleutel(en) herstellen.
Andere gebruikers lezen Deze instelling is alleen beschikbaar in Microsoft Graph en PowerShell. Als u deze optie instelt op $false, voorkomt u dat alle niet-beheerders gebruikersgegevens in de directory lezen. Deze vlag voorkomt niet dat gebruikersgegevens worden gelezen in andere Microsoft-services zoals Exchange Online.

Deze instelling is bedoeld voor speciale omstandigheden. We raden u daarom niet aan de optie in te stellen op $false.

De optie Niet-beheerders beperken tot het maken van tenants wordt hieronder weergegeven

Screenshot showing the option to Restrict non-admins from creating tenants.

Standaardmachtigingen voor lidgebruikers beperken

U kunt standaardmachtigingen voor lidgebruikers op de volgende manieren beperken.

Notitie

De instelling Toegangsbeperkingen voor gastgebruikers heeft de instelling De machtigingen van gastgebruikers zijn beperkt vervangen. Zie Machtigingen voor gasttoegang beperken in Microsoft Entra ID voor hulp bij het gebruik van deze functie.

Machtiging Uitleg van de instelling
Toegangsbeperkingen voor gastgebruikers Als u deze optie instelt op Gastgebruikers hebben dezelfde toegang als leden, verleent u standaard alle gebruikersmachtigingen voor leden aan gastgebruikers.

Als u deze optie instelt op De toegang van gastgebruikers is beperkt tot de eigenschappen en lidmaatschappen van hun eigen directoryobjecten wordt de toegang van gasten beperkt tot alleen hun eigen gebruikersprofiel. Toegang tot andere gebruikers is niet meer toegestaan, zelfs niet wanneer ze zoeken op user principal name, object-id of weergavenaam. Toegang tot groepsinformatie, inclusief groepslidmaatschappen, is ook niet meer toegestaan.

Deze instelling voorkomt geen toegang tot gekoppelde groepen in sommige Microsoft 365-services, zoals Microsoft Teams. Zie Microsoft Teams-gasttoegang voor meer informatie.

Gastgebruikers kunnen nog steeds worden toegevoegd aan beheerdersrollen, ongeacht deze machtigingsinstelling.

Gasten kunnen uitnodigen Als u deze optie instelt op Ja, kunnen gasten andere gasten uitnodigen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Eigendom van objecten

Eigenaarsmachtigingen toepassingsregistratie

Wanneer een gebruiker een toepassing registreert, wordt deze automatisch toegevoegd als een eigenaar voor de toepassing. Als eigenaar kan de gebruiker de metagegevens van de toepassing beheren, zoals de naam en de machtigingen waarom de app verzoekt. De gebruiker kan ook de tenantspecifieke configuratie van de toepassing beheren, zoals de configuratie van eenmalige aanmelding (SSO) en gebruikerstoewijzingen.

Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot Global Beheer istrators kunnen eigenaren alleen de toepassingen beheren die ze bezitten.

Eigenaarsmachtigingen voor ondernemingstoepassingen

Wanneer een gebruiker een nieuwe bedrijfstoepassing toevoegt, wordt de eigenaar automatisch toegevoegd als eigenaar. Als eigenaar kan de gebruiker ook de tenantspecifieke configuratie van de toepassing beheren, zoals de configuratie van eenmalige aanmelding (SSO), inrichting en gebruikerstoewijzingen.

Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot Global Beheer istrators kunnen eigenaren alleen de toepassingen beheren die ze bezitten.

Machtigingen groepseigenaar

Wanneer een gebruiker een groep maakt, wordt deze automatisch toegevoegd als een eigenaar voor die groep. Als eigenaar kan de gebruiker de eigenschappen van de groep beheren (zoals de naam) en het groepslidmaatschap beheren.

Een eigenaar kan ook andere eigenaren toevoegen of verwijderen. In tegenstelling tot Global Beheer istrators en User Beheer istrators, kunnen eigenaren alleen de groepen beheren die ze bezitten.

Zie Eigenaren beheren voor een groep voor informatie over het toewijzen van een groepseigenaar.

Eigendomsmachtigingen

In de volgende tabellen worden de specifieke machtigingen in Microsoft Entra-id beschreven die lidgebruikers over objecten in eigendom hebben. Gebruikers hebben deze machtigingen alleen voor objecten waarvan ze eigenaar zijn.

Eigen toepassingsregistraties

Gebruikers kunnen de volgende acties uitvoeren voor toepassingsregistraties waarvan ze eigenaar zijn:

Actie Beschrijving
microsoft.directory/applications/audience/update Werk de applications.audience eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/authentication/update Werk de applications.authentication eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/basic/update Basiseigenschappen bijwerken voor toepassingen in Microsoft Entra-id.
microsoft.directory/applications/credentials/update Werk de applications.credentials eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/delete Toepassingen verwijderen in Microsoft Entra-id.
microsoft.directory/applications/owners/update Werk de applications.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/permissions/update Werk de applications.permissions eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/policies/update Werk de applications.policies eigenschap bij in Microsoft Entra-id.
microsoft.directory/applications/restore Toepassingen herstellen in Microsoft Entra-id.

Eigen bedrijfstoepassingen

Gebruikers kunnen de volgende acties uitvoeren voor bedrijfstoepassingen waarvan ze eigenaar zijn. Een bedrijfstoepassing bestaat uit een service-principal, een of meer toepassingsbeleidsregels en soms een toepassingsobject in dezelfde tenant als de service-principal.

Actie Beschrijving
microsoft.directory/auditLogs/allProperties/read Lees alle eigenschappen (inclusief bevoegde eigenschappen) in auditlogboeken in Microsoft Entra-id.
microsoft.directory/policies/basic/update Basiseigenschappen bijwerken voor beleidsregels in Microsoft Entra-id.
microsoft.directory/policies/delete Beleid verwijderen in Microsoft Entra-id.
microsoft.directory/policies/owners/update Werk de policies.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Werk de servicePrincipals.appRoleAssignedTo eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/appRoleAssignments/update Werk de users.appRoleAssignments eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/audience/update Werk de servicePrincipals.audience eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/authentication/update Werk de servicePrincipals.authentication eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/basic/update Basiseigenschappen voor service-principals bijwerken in Microsoft Entra-id.
microsoft.directory/servicePrincipals/credentials/update Werk de servicePrincipals.credentials eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/delete Verwijder service-principals in Microsoft Entra-id.
microsoft.directory/servicePrincipals/owners/update Werk de servicePrincipals.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/permissions/update Werk de servicePrincipals.permissions eigenschap bij in Microsoft Entra-id.
microsoft.directory/servicePrincipals/policies/update Werk de servicePrincipals.policies eigenschap bij in Microsoft Entra-id.
microsoft.directory/signInReports/allProperties/read Lees alle eigenschappen (inclusief bevoegde eigenschappen) in aanmeldingsrapporten in Microsoft Entra-id.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Geheimen en referenties voor toepassingsinrichting beheren
microsoft.directory/servicePrincipals/synchronizationJobs/manage Synchronisatietaken voor het inrichten van toepassingen starten, opnieuw starten en onderbreken
microsoft.directory/servicePrincipals/synchronizationSchema/manage Synchronisatietaken en schema's voor het inrichten van toepassingen maken en beheren
microsoft.directory/servicePrincipals/synchronization/standard/read De inrichtingsinstellingen lezen die aan uw service-principal zijn gekoppeld

Eigen apparaten

Gebruikers kunnen de volgende acties uitvoeren op apparaten waarvan ze eigenaar zijn:

Actie Beschrijving
microsoft.directory/devices/bitLockerRecoveryKeys/read Lees de devices.bitLockerRecoveryKeys eigenschap in Microsoft Entra ID.
microsoft.directory/devices/disable Schakel apparaten uit in Microsoft Entra ID.

Eigen groepen

Gebruikers kunnen de volgende acties uitvoeren op groepen waarvan ze eigenaar zijn.

Notitie

Eigenaren van dynamische groepen moeten beschikken over de rol Global Beheer istrator, Group Beheer istrator, Intune Beheer istrator of User Beheer istrator om regels voor groepslidmaatschap te bewerken. Zie Een dynamische groep maken of bijwerken in Microsoft Entra ID voor meer informatie.

Actie Beschrijving
microsoft.directory/groups/appRoleAssignments/update Werk de groups.appRoleAssignments eigenschap bij in Microsoft Entra-id.
microsoft.directory/groups/basic/update Basiseigenschappen voor groepen bijwerken in Microsoft Entra-id.
microsoft.directory/groups/delete Groepen verwijderen in Microsoft Entra-id.
microsoft.directory/groups/members/update Werk de groups.members eigenschap bij in Microsoft Entra-id.
microsoft.directory/groups/owners/update Werk de groups.owners eigenschap bij in Microsoft Entra-id.
microsoft.directory/groups/restore Groepen herstellen in Microsoft Entra-id.
microsoft.directory/groups/settings/update Werk de groups.settings eigenschap bij in Microsoft Entra-id.

Volgende stappen