Domyślne uprawnienia użytkownika w dzierżawach zewnętrznych
Dotyczy:
Dzierżawcy siły roboczej — dzierżawcy zewnętrzni 
(dowiedz się więcej)
Dzierżawa firmy Microsoft Entra w konfiguracji zewnętrznej jest używana wyłącznie na potrzeby scenariuszy Tożsamość zewnętrzna Microsoft Entra. Dzierżawa zewnętrzna zapewnia wyraźną separację między katalogiem pracowników firmowych a katalogiem aplikacji przeznaczonym dla klientów. Ponadto użytkownicy utworzeni w dzierżawie zewnętrznej mają ograniczony dostęp do informacji o innych użytkownikach w dzierżawie zewnętrznej. Domyślnie klienci nie mogą uzyskiwać dostępu do informacji o innych użytkownikach, grupach ani urządzeniach.
Dzierżawa zewnętrzna może zawierać następujące typy użytkowników:
Użytkownicy zewnętrzni to użytkownicy i klienci biznesowi aplikacji zarejestrowanych w dzierżawie zewnętrznej. Mają konto lokalne, ale uwierzytelniają się zewnętrznie. Użytkownicy zewnętrzni są ograniczeni do domyślnych uprawnień użytkownika i nie mogą mieć przypisanych ról. Są one zwykle tworzone za pomocą rejestracji samoobsługowej, ale można je utworzyć przy użyciu opcji Utwórz nowego użytkownika zewnętrznego w centrum administracyjnym firmy Microsoft Entra lub w programie Microsoft Graph.
Użytkownicy wewnętrzni to użytkownicy (zazwyczaj administratorzy), którzy uwierzytelniają się wewnętrznie i mają przypisane role firmy Microsoft Entra w dzierżawie zewnętrznej. Jeśli nie przypiszesz roli, mają one domyślne uprawnienia użytkownika. Możesz utworzyć użytkowników wewnętrznych za pomocą opcji Utwórz nowego użytkownika w centrum administracyjnym lub za pomocą programu Microsoft Graph.
Zaproszeni użytkownicy to użytkownicy (zazwyczaj administratorzy), którzy logują się przy użyciu własnych poświadczeń zewnętrznych i przypisali role firmy Microsoft Entra w dzierżawie zewnętrznej. Jeśli nie przypiszesz roli, mają one domyślne uprawnienia użytkownika. Możesz zaprosić użytkowników za pomocą opcji Zaproś użytkownika zewnętrznego w centrum administracyjnym lub programu Microsoft Graph.
Uprawnienia domyślne
W poniższej tabeli opisano domyślne uprawnienia przypisane do użytkownika w zewnętrznym kliencie dzierżawy:
- Użytkownicy korzystający z rejestracji samoobsługowej
- Użytkownicy, którzy są utworzeni przez administratorów
- Użytkownicy zapraszani
| Obszar | Uprawnienia użytkownika klienta |
|---|---|
| Użytkownicy i kontakty | — Odczytywanie i aktualizowanie własnego profilu za pomocą środowiska zarządzania profilami aplikacji — Zmienianie własnego hasła — Logowanie się przy użyciu konta lokalnego lub społecznościowego |
| Aplikacje | - Uzyskiwanie dostępu do aplikacji — Odwoływanie zgody na aplikacje |
Interfejsy API i uprawnienia programu Microsoft Graph
W poniższej tabeli przedstawiono operacje interfejsu API, które umożliwiają klientom zarządzanie informacjami o profilu. Identyfikator użytkownika lub userPrincipalName jest zawsze zalogowanym użytkownikiem.
| Operacja użytkownika | Operacja interfejsu API | Wymagane uprawnienia |
|---|---|---|
| Odczyt profilu | GET /me lub GET /users/{id lub userPrincipalName} | Użytkownik.Odczyt |
| Aktualizowanie profilu | PATCH /me lub PATCH /users/{id lub userPrincipalName} Następujące właściwości można aktualizować: miasto, kraj, displayName, givenName, jobTitle, postalCode, state, streetAddress, nazwisko i preferredLanguage |
User.ReadWrite |
| Zmień hasło | POST /me/changePassword | Directory.AccessAsUser.All |