Разрешения пользователей по умолчанию в внешних клиентах
Область применения: 
клиенты рабочей силы внешние
клиенты (дополнительные сведения)
Клиент Microsoft Entra во внешней конфигурации используется исключительно для Внешняя идентификация Microsoft Entra сценариев. Внешний клиент обеспечивает четкое разделение между корпоративным каталогом рабочей силы и каталогом приложений, подключенным к клиенту. Кроме того, пользователи, созданные во внешнем клиенте, ограничены доступом к информации о других пользователях во внешнем клиенте. По умолчанию клиенты не могут получить доступ к информации о других пользователях, группах или устройствах.
Внешний клиент может содержать следующие типы пользователей:
Внешние пользователи являются потребителями и бизнес-клиентами приложений, зарегистрированных в вашем внешнем клиенте. У них есть локальная учетная запись, но выполняется внешняя проверка подлинности. Внешние пользователи ограничены разрешениями пользователей по умолчанию и не могут быть назначены роли. Обычно они создаются с помощью самостоятельной регистрации, но их можно создать с помощью параметра "Создать нового внешнего пользователя " в Центре администрирования Microsoft Entra или с помощью Microsoft Graph.
Внутренние пользователи — это пользователи (обычно администраторы), которые выполняют внутреннюю проверку подлинности и назначают роли Microsoft Entra во внешнем клиенте. Если вы не назначаете роль, у них есть разрешения пользователя по умолчанию. Вы можете создать внутренних пользователей с помощью параметра "Создать нового пользователя " в Центре администрирования или с помощью Microsoft Graph.
Приглашенные пользователи — это пользователи (обычно администраторы), которые войдите с помощью собственных внешних учетных данных и назначили роли Microsoft Entra во внешнем клиенте. Если вы не назначаете роль, у них есть разрешения пользователя по умолчанию. Вы можете пригласить пользователей с помощью параметра "Пригласить внешнего пользователя " в центре администрирования или с помощью Microsoft Graph.
Разрешения по умолчанию
В следующей таблице описаны разрешения по умолчанию, назначенные пользователю во внешнем клиенте клиента:
- Пользователи, использующие самостоятельную регистрацию
- Пользователи, созданные администраторами
- Приглашенные пользователи
| Область | Разрешения пользователя клиента |
|---|---|
| Пользователи и контакты | — Чтение и обновление собственного профиля с помощью интерфейса управления профилями приложений — изменение собственного пароля — вход с помощью локальной или социальной учетной записи |
| Приложения | — доступ к приложениям — отзыв согласия на приложения |
API и разрешения Microsoft Graph
В следующей таблице указаны операции API, позволяющие клиентам управлять сведениями о профиле. Идентификатор пользователя или userPrincipalName всегда является вошедшего пользователя.
| Пользовательская операция | Операция API | Требуемые разрешения |
|---|---|---|
| Чтение профиля | GET /me или GET /users/{id или userPrincipalName} | User.Read |
| Обновить профиль | PATCH /me или PATCH /users/{id или userPrincipalName} Следующие свойства являются обновляемыми: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, фамилия и предпочитаемыйLanguage |
User.ReadWrite |
| Изменить пароль | POST /me/changePassword | Directory.AccessAsUser.All |