Разрешения пользователей по умолчанию в внешних клиентах
Область применения: клиенты рабочей силы внешниеклиенты (дополнительные сведения)
Клиент Microsoft Entra во внешней конфигурации используется исключительно для Внешняя идентификация Microsoft Entra сценариев. Внешний клиент обеспечивает четкое разделение между корпоративным каталогом рабочей силы и каталогом приложений, подключенным к клиенту. Кроме того, пользователи, созданные во внешнем клиенте, ограничены доступом к информации о других пользователях во внешнем клиенте. По умолчанию клиенты не могут получить доступ к информации о других пользователях, группах или устройствах.
Внешний клиент может содержать следующие типы пользователей:
Внешние пользователи являются потребителями и бизнес-клиентами приложений, зарегистрированных в вашем внешнем клиенте. У них есть локальная учетная запись, но выполняется внешняя проверка подлинности. Внешние пользователи ограничены разрешениями пользователей по умолчанию и не могут быть назначены роли. Обычно они создаются с помощью самостоятельной регистрации, но их можно создать с помощью параметра "Создать нового внешнего пользователя " в Центре администрирования Microsoft Entra или с помощью Microsoft Graph.
Внутренние пользователи — это пользователи (обычно администраторы), которые выполняют внутреннюю проверку подлинности и назначают роли Microsoft Entra во внешнем клиенте. Если вы не назначаете роль, у них есть разрешения пользователя по умолчанию. Вы можете создать внутренних пользователей с помощью параметра "Создать нового пользователя " в Центре администрирования или с помощью Microsoft Graph.
Приглашенные пользователи — это пользователи (обычно администраторы), которые войдите с помощью собственных внешних учетных данных и назначили роли Microsoft Entra во внешнем клиенте. Если вы не назначаете роль, у них есть разрешения пользователя по умолчанию. Вы можете пригласить пользователей с помощью параметра "Пригласить внешнего пользователя " в центре администрирования или с помощью Microsoft Graph.
Разрешения по умолчанию
В следующей таблице описаны разрешения по умолчанию, назначенные пользователю во внешнем клиенте клиента:
- Пользователи, использующие самостоятельную регистрацию
- Пользователи, созданные администраторами
- Приглашенные пользователи
Область | Разрешения пользователя клиента |
---|---|
Пользователи и контакты | — Чтение и обновление собственного профиля с помощью интерфейса управления профилями приложений — изменение собственного пароля — вход с помощью локальной или социальной учетной записи |
Приложения | — доступ к приложениям — отзыв согласия на приложения |
API и разрешения Microsoft Graph
В следующей таблице указаны операции API, позволяющие клиентам управлять сведениями о профиле. Идентификатор пользователя или userPrincipalName всегда является вошедшего пользователя.
Пользовательская операция | Операция API | Требуемые разрешения |
---|---|---|
Чтение профиля | GET /me или GET /users/{id или userPrincipalName} | User.Read |
Обновить профиль | PATCH /me или PATCH /users/{id или userPrincipalName} Следующие свойства являются обновляемыми: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, фамилия и предпочитаемыйLanguage |
User.ReadWrite |
Изменить пароль | POST /me/changePassword | Directory.AccessAsUser.All |