Begränsa behörigheter för gäståtkomst i Microsoft Entra-ID

  • Artikel

Med Microsoft Entra ID, som är en del av Microsoft Entra, kan du begränsa vad externa gästanvändare kan se i sin organisation i Microsoft Entra-ID. Gästanvändare är som standard inställda på en begränsad behörighetsnivå i Microsoft Entra-ID, medan standardvärdet för medlemsanvändare är den fullständiga uppsättningen användarbehörigheter. Det finns en annan behörighetsnivå för gästanvändare i din Microsoft Entra-organisations inställningar för externt samarbete för ännu mer begränsad åtkomst, så att gäståtkomstnivåerna är:

Behörighetsnivå Åtkomstnivå Värde
Samma som för medlemsanvändare Gäster har samma åtkomst till Microsoft Entra-resurser som medlemsanvändare a0b1b346-4d3e-4e8b-98f8-753987be4970
Begränsad åtkomst (standard) Gäster kan se medlemskap i alla icke-dolda grupper 10dae51f-b6af-4016-8d66-8c2a99b929b3
Begränsad åtkomst (ny) Gäster kan inte se medlemskap i några grupper 2af84b1e-32c8-42b7-82bc-daa82404023b

När gäståtkomsten är begränsad kan gäster bara visa sin egen användarprofil. Behörighet att visa andra användare tillåts inte, även om gästen söker utifrån UPN eller objectId. Begränsad åtkomst begränsar också gästanvändare från att se medlemskap i grupper som de ingår i. Mer information om de övergripande standardanvändarbehörigheterna, inklusive gästanvändarbehörigheter, finns i Vad är standardanvändarbehörigheterna i Microsoft Entra-ID?.

Behörigheter och licenser

Du måste ha rollen Global administratör för att konfigurera gästanvändaråtkomst. Det finns inga ytterligare licenskrav för att begränsa gäståtkomst.

Uppdatera i Azure-portalen

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Vi har gjort ändringar i de befintliga Azure-portalkontrollerna för gästanvändarbehörigheter.

  1. Logga in på administrationscentret för Microsoft Entra som minst global administratör.

  2. Välj Microsoft Entra-ID-användare >>Alla användare.

  3. Under Externa användare väljer du Hantera inställningar för externt samarbete.

  4. På sidan Inställningar för externt samarbete väljer du Gästanvändaråtkomst är begränsad till egenskaper och medlemskap för sina egna katalogobjekt .

    Skärmbild av sidan inställningar för externt samarbete i Microsoft Entra.

  5. Välj Spara. Ändringarna kan ta upp till 15 minuter att börja gälla för gästanvändare.

Uppdatera med Microsoft Graph API

Vi har lagt till ett nytt Microsoft Graph API för att konfigurera gästbehörigheter i din Microsoft Entra-organisation. Följande API-anrop kan göras för att tilldela valfri behörighetsnivå. Värdet för guestUserRoleId som används här är för att illustrera den mest begränsade gästanvändarinställningen. Mer information om hur du använder Microsoft Graph för att ange gästbehörigheter finns i authorizationPolicy resurstyp.

Konfigurera för första gången

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Svaret bör vara Success 204.

Kommentar

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Uppdatera det befintliga värdet

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

Svaret bör vara Success 204.

Visa det aktuella värdet

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Exempelsvar:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Uppdatera med PowerShell-cmdletar

Med den här funktionen har vi lagt till möjligheten att konfigurera begränsade behörigheter via PowerShell v2-cmdletar. Hämta och uppdatera PowerShell-cmdletar har publicerats i version 2.0.2.85.

Hämta kommando: Get-MgPolicyAuthorizationPolicy

Exempel:

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Uppdateringskommando: Update-MgPolicyAuthorizationPolicy

Exempel:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Microsoft 365-tjänster som stöds

Tjänster som stöds

Med stöd menar vi att upplevelsen är som förväntat. mer specifikt att det är samma som aktuell gästupplevelse.

  • Teams
  • Outlook (OWA)
  • SharePoint
  • Planner i Teams
  • Planner-mobilapp
  • Planner-webbapp
  • Project för webben
  • Project Operations

Tjänster som för närvarande inte stöds

Tjänsten utan aktuell support kan ha kompatibilitetsproblem med den nya inställningen för gästbegränsning.

  • Formulär
  • Project Online
  • Yammer
  • Planner i SharePoint

Vanliga frågor och svar

Fråga Svar
Var gäller dessa behörigheter? Dessa behörigheter på katalognivå tillämpas för Microsoft Entra-tjänster, inklusive Microsoft Graph, PowerShell v2, Azure-portalen och Mina appar portalen. Microsoft 365-tjänster som använder Microsoft 365-grupper för samarbetsscenarier påverkas också, särskilt Outlook, Microsoft Teams och SharePoint.
Hur påverkar begränsade behörigheter vilka grupper gäster kan se? Oavsett standardbehörighet eller begränsade gästbehörigheter kan gäster inte räkna upp listan över grupper eller användare. Gäster kan se grupper som de är medlemmar i i både Azure-portalen och Mina appar-portalen beroende på behörigheter:
  • Standardbehörigheter: För att hitta de grupper som de är medlemmar i i Azure-portalen måste gästen söka efter sitt objekt-ID i listan Alla användare och sedan välja Grupper. Här kan de se listan över grupper som de är medlemmar i, inklusive all gruppinformation, inklusive namn, e-post och så vidare. I Mina appar portalen kan de se en lista över grupper som de äger och grupper som de finns i.
  • Begränsade gästbehörigheter: I Azure-portalen kan de hitta listan över grupper som de är i genom att söka efter objekt-ID:t i listan Alla användare och sedan välja Grupper. De kan bara se begränsad information om gruppen, särskilt objekt-ID:t. Kolumnerna Namn och E-post är tomma och Grupptyp är okänd. I Mina appar portalen kan de inte komma åt listan över grupper som de äger eller grupper som de är medlemmar i.

Mer detaljerad jämförelse av katalogbehörigheter som kommer från Graph API finns i Standardanvändarbehörigheter.
Vilka delar av Mina appar-portalen påverkar den här funktionen? Gruppfunktionerna i Mina appar portalen respekterar dessa nya behörigheter. Den här funktionen innehåller alla sökvägar för att visa grupplistan och gruppmedlemskap i Mina appar. Inga ändringar har gjorts i grupppanelens tillgänglighet. Tillgängligheten för grupppanelen styrs fortfarande av den befintliga gruppinställningen i Azure-portalen.
Åsidosätter dessa behörigheter SharePoint- eller Microsoft Teams-gästinställningar? Nej. De befintliga inställningarna styr fortfarande upplevelsen och åtkomsten i dessa program. Om du till exempel ser problem i SharePoint kan du dubbelkolla dina externa delningsinställningar. Gäster som läggs till av teamägare på teamnivå har endast åtkomst till kanalmöteschatt för standardkanaler, exklusive privata och delade kanaler.
Vilka är de kända kompatibilitetsproblemen i Yammer? Med behörigheter som "begränsade" kan gäster som är inloggade på Yammer inte lämna gruppen.
Kommer mina befintliga gästbehörigheter att ändras i min klientorganisation? Inga ändringar har gjorts i dina aktuella inställningar. Vi upprätthåller bakåtkompatibilitet med dina befintliga inställningar. Du bestämmer när du vill göra ändringar.
Kommer dessa behörigheter att anges som standard? Nej. De befintliga standardbehörigheterna förblir oförändrade. Du kan också ange att behörigheterna ska vara mer restriktiva.
Finns det några licenskrav för den här funktionen? Nej, det finns inga nya licenskrav med den här funktionen.

Nästa steg