Vilka är standardanvändarbehörigheterna i Azure Active Directory?

Alla användare beviljas en uppsättning standardbehörigheter i Azure Active Directory (AD Azure). En användares åtkomst består av typen av användare, deras rolltilldelningaroch deras ägarskap för enskilda objekt. Den här artikeln beskriver dessa standardbehörigheter och innehåller en jämförelse av standardinställningar för medlem och gäst. Standardanvändarbehörigheterna kan bara ändras i användarinställningarna i Azure AD.

Medlems- och gästanvändare

Uppsättningen standardbehörigheter som tas emot beror på om användaren är en intern medlem i klientorganisationen (medlemsanvändare) eller om användaren tas över från en annan katalog som en B2B-samarbetsgäst (gästanvändare). Mer information om hur du lägger till gästanvändare finns i Vad är Azure AD B2B-samarbete?

  • Medlemsanvändare kan registrera program, hantera sina egna profilbilder och mobila telefonnummer, ändra sina egna lösenord och bjuda in B2B gäster. Dessutom kan användare läsa all kataloginformation (med några få undantag).
  • Gästanvändare har begränsade katalogbehörigheter. De kan hantera sin egen profil, ändra sina egna lösenord och hämta information om andra användare, grupper och appar, men de kan inte läsa all kataloginformation. Gästanvändare kan till exempel inte räkna upp listan över alla användare, grupper och andra katalogobjekt. Gäster kan läggas till i administratörsroller som beviljar dem fullständig läs- och skrivbehörighet i rollen. Gäster kan också bjuda in andra gäster.

Jämför standardbehörigheter för medlemmar och gästanvändare

Område Behörigheter för medlemsanvändare Standardbehörigheter för gästanvändare Begränsade gästanvändarbehörigheter (förhandsversion)
Användare och kontakter
  • Räkna upp en lista över alla användare och kontakter
  • Läsa alla offentliga egenskaper om användare och kontakter
  • Bjuda in gäster
  • Ändra eget lösenord
  • Hantera eget mobilnummer
  • Hantera eget foto
  • Ogiltigförklara egna uppdateringstokens
  • Läsa egna egenskaper
  • Läsa visningsnamn, e-post, inloggningsnamn, foto, användarens huvudnamn och användartypegenskaper för andra användare och kontakter
  • Ändra eget lösenord
  • Sök efter en annan användare med ObjectId (om tillåts)
  • Läsa chef och direkt rapportinformation för andra användare
  • Läsa egna egenskaper
  • Ändra eget lösenord
  • Hantera eget mobilnummer
Grupper
  • Skapa säkerhetsgrupper
  • Skapa Microsoft 365 grupper
  • Räkna upp en lista över alla grupper
  • Läsa alla icke-dolda egenskaper i grupper
  • Läsa icke-dolda gruppmeddelanden
  • Läsa dolda Microsoft 365 gruppmedlemskap för ansluten grupp
  • Hantera egenskaper, ägarskap och medlemskap i grupper som användaren äger
  • Lägga till gäster i egna grupper
  • Hantera inställningar för dynamiskt medlemskap
  • Ta bort egna grupper
  • Återställa ägda Microsoft 365 grupper
  • Läs egenskaper för icke-dolda grupper, inklusive medlemskap och ägarskap (även icke-ansluten grupper)
  • Läsa dolda Microsoft 365 gruppmedlemskap för grupper
  • Sök efter grupper efter visningsnamn eller ObjectId (om tillåts)
  • Läsa objekt-ID för sammanfogade grupper
  • Läsa medlemskap och ägarskap för grupper i vissa Microsoft 365 (om tillåts)
Program
  • Registrera (Skapa) ett nytt program
  • Räkna upp en lista över alla program
  • Skrivskyddade egenskaper för registrerade program och företagsprogram
  • Hantera egenskaper för program, tilldelningar och autentiseringsuppgifter för egna program
  • Skapa eller ta bort programlösenord för användare
  • Ta bort egna program
  • Återställ egna program
  • Skrivskyddade egenskaper för registrerade program och företagsprogram
  • Skrivskyddade egenskaper för registrerade program och företagsprogram
Enheter
  • Räkna upp en lista över alla enheter
  • Läs alla enhetsegenskaper
  • Läs alla egenskaper för egna enheter
Inga behörigheter Inga behörigheter
Katalog
  • Läs all företagsinformation
  • Läsa alla domäner
  • Läsa alla partnerkontrakt
  • Läsa företagets visningsnamn
  • Läsa alla domäner
  • Läsa företagets visningsnamn
  • Läsa alla domäner
Roller och omfattningar
  • Läsa alla administrativa roller och medlemskap
  • Läsa alla egenskaper och medlemskap i administrativa enheter
Inga behörigheter Inga behörigheter
Prenumerationer
  • Läsa alla prenumerationer
  • Aktivera tjänsteplanmedlem
Inga behörigheter Inga behörigheter
Principer
  • Läs alla principegenskaper
  • Hantera alla egenskaper för egna principer
Inga behörigheter Inga behörigheter

Begränsa standardbehörigheter för medlemsanvändare

Standardbehörigheter för medlemsanvändare kan begränsas på följande sätt:

Behörighet Förklaring av inställning
Användare kan registrera program Om det här alternativet är Nej kan användarna inte skapa programregistreringar. Möjligheten kan sedan beviljas tillbaka till specifika individer genom att lägga till dem i rollen Programutvecklare.
Tillåt användare att ansluta arbets- eller skolkonto med LinkedIn Om du ställer in det här alternativet på Nej kan användarna inte ansluta sina arbets- eller skolkonto till sina LinkedIn-konton. Mer information finns i Datadelning och medgivande för LinkedIn-kontoanslutningar.
Möjlighet att skapa säkerhetsgrupper När den här inställningen är inställd på Nej kan användare inte skapa säkerhetsgrupper. Globala administratörer och användaradministratörer kan fortfarande skapa säkerhetsgrupper. Se Azure Active Directory-cmdletar för att konfigurera gruppinställningar för att lära dig hur du ska gå tillväga.
Möjlighet att skapa Microsoft 365 grupper Om det här alternativet är Nej kan användarna inte skapa Microsoft 365 grupper. Om du ställer in det här alternativet på Vissa kan en viss uppsättning användare skapa Microsoft 365 grupper. Globala administratörer och användaradministratörer kommer fortfarande att kunna skapa Microsoft 365 grupper. Se Azure Active Directory-cmdletar för att konfigurera gruppinställningar för att lära dig hur du ska gå tillväga.
Begränsa åtkomst till Azure AD-administrationsportalen

Om du ställer in det här alternativet på Nej kan icke-administratörer använda Azure AD-administrationsportalen för att läsa och hantera Azure AD-resurser. Ja begränsar alla icke-administratörer från att komma åt Azure AD-data i administrationsportalen.

Obs! Den här inställningen begränsar inte åtkomsten till Azure AD-data med hjälp av PowerShell eller andra klienter, till exempel Visual Studio. När det här är inställt på Ja ger du en specifik icke-administratörsanvändare möjlighet att använda Azure AD-administrationsportalen och tilldela valfri administrativ roll, till exempel rollen Katalogläsare.

Obs! De här inställningarna blockerar användare som inte är administratörer som äger grupper eller program från att använda Azure Portal för att hantera sina egna resurser.

Med den här rollen kan du läsa grundläggande kataloginformation, vilket medlemsanvändare har som standard (gäster och tjänstens huvudnamn har det inte).

Möjlighet att läsa andra användare Den här inställningen är endast tillgänglig i PowerShell. Om den här flaggan $false förhindras alla icke-administratörer från att läsa användarinformation från katalogen. Den här flaggan förhindrar inte läsning av användarinformation i andra Microsoft-tjänster som Exchange Online. Den här inställningen är avsedd för särskilda omständigheter och att ange den här flaggan till $false rekommenderas inte.

Begränsa standardbehörigheter för gästanvändare

Standardbehörigheter för gästanvändare kan begränsas på följande sätt:

Anteckning

Inställningen för användarbegränsningar för gäster har ersatt inställningen Gästanvändares behörigheter är begränsade. Vägledning om hur du använder den här funktionen finns i Begränsa behörigheter för gäståtkomst (förhandsversion) i Azure Active Directory.

Behörighet Förklaring av inställning
Gästers åtkomstbegränsningar (förhandsversion) Om du ställer in det här alternativet på Gästanvändare får du samma åtkomst som medlemmar ger som standard alla medlemsanvändarbehörigheter till gästanvändare.

Att ställa in det här alternativet på Gästanvändaråtkomst är begränsat till egenskaper och medlemskap i sina egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre även när du söker efter användarens huvudnamn, ObjectId eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre.

Obs! Den här inställningen förhindrar inte åtkomst till sammanfogade grupper i vissa Microsoft 365 tjänster som Microsoft Teams. Mer Microsoft Teams finns i Microsoft Teams gäståtkomst.

Gästanvändare kan fortfarande läggas till i administratörsroller oavsett dessa behörighetsinställningar.

Gäster kan bjuda in Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Delegera inbjudningar för B2B-samarbete.
Medlemmar kan bjuda in Om du ställer in det här alternativet på Ja kan icke-administratörsmedlemmar i din katalog bjuda in gäster. Mer information finns i Delegera inbjudningar för B2B-samarbete.
Administratörer och användare i gästinbjudarrollen kan bjuda in Om du ställer in det här alternativet på Ja kan administratörer och användare i rollen Gäst inbjudare bjuda in gäster. Om inställningen är inställd på Ja kan Gästinbjudare rollen fortfarande bjuda in gäster, oavsett inställningen Medlemmar kan bjuda in. Mer information finns i Delegera inbjudningar för B2B-samarbete.

Objektägarskap

Ägarbehörigheter för programregistrering

När en användare registrerar ett program, läggs de automatiskt till som ägare till programmet. De kan hantera metadata för programmet som ägare, till exempel namn och behörigheter för appen. De kan också hantera klient-specifik konfiguration av program, till exempel SSO-konfiguration och användartilldelningar. En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från globala administratörer kan ägare bara hantera program som de äger.

Ägarbehörigheter för företagsprogram

När en användare lägger till ett nytt företagsprogram läggs de automatiskt till som ägare. Som ägare kan de hantera programmets klientspecifika konfiguration, till exempel konfiguration av enkel inloggning, etablering och användartilldelningar. En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från globala administratörer kan ägare endast hantera de program som de äger.

Gruppägares behörigheter

När en användare skapar en grupp, läggs de automatiskt som en ägare till gruppen. Som ägare kan de hantera gruppens egenskaper, till exempel namn, samt hantera gruppmedlemskap. En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från globala administratörer och användaradministratörer kan ägare bara hantera grupper som de äger. Om du vill tilldela en gruppägare, se Hantera ägare för en grupp.

Ägarskapsbehörigheter

I följande tabeller beskrivs de specifika behörigheterna i Azure Active Directory medlemsanvändare har över ägda objekt. Användaren har bara dessa behörigheter för objekt som de äger.

Ägda programregistreringar

Användare kan utföra följande åtgärder på ägda programregistreringar.

Åtgärder Beskrivning
microsoft.directory/applications/audience/update Uppdatera egenskapen applications.audience i Azure Active Directory.
microsoft.directory/applications/authentication/update Uppdatera egenskapen applications.authentication i Azure Active Directory.
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program i Azure Active Directory.
microsoft.directory/applications/credentials/update Uppdatera egenskapen applications.credentials i Azure Active Directory.
microsoft.directory/applications/delete Ta bort program i Azure Active Directory.
microsoft.directory/applications/owners/update Uppdatera egenskapen applications.owners i Azure Active Directory.
microsoft.directory/applications/permissions/update Uppdatera egenskapen applications.permissions i Azure Active Directory.
microsoft.directory/applications/policies/update Uppdatera egenskapen applications.policies i Azure Active Directory.
microsoft.directory/applications/restore Återställa program i Azure Active Directory.

Ägda företagsprogram

Användare kan utföra följande åtgärder på ägda företagsprogram. Ett företagsprogram består av tjänstens huvudnamn, en eller flera programprinciper och ibland ett programobjekt i samma klientorganisation som tjänstens huvudnamn.

Åtgärder Beskrivning
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) på auditLogs i Azure Active Directory.
microsoft.directory/policies/basic/update Uppdatera grundläggande egenskaper för principer i Azure Active Directory.
microsoft.directory/policies/delete Ta bort principer i Azure Active Directory.
microsoft.directory/policies/owners/update Uppdatera egenskapen policies.owners i Azure Active Directory.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera egenskapen servicePrincipals.appRoleAssignedTo i Azure Active Directory.
microsoft.directory/servicePrincipals/appRoleAssignments/update Uppdatera egenskapen users.appRoleAssignments i Azure Active Directory.
microsoft.directory/servicePrincipals/audience/update Uppdatera egenskapen servicePrincipals.audience i Azure Active Directory.
microsoft.directory/servicePrincipals/authentication/update Uppdatera egenskapen servicePrincipals.authentication i Azure Active Directory.
microsoft.directory/servicePrincipals/basic/update Uppdatera grundläggande egenskaper för servicePrincipals i Azure Active Directory.
microsoft.directory/servicePrincipals/credentials/update Uppdatera egenskapen servicePrincipals.credentials i Azure Active Directory.
microsoft.directory/servicePrincipals/delete Ta bort servicePrincipals i Azure Active Directory.
microsoft.directory/servicePrincipals/owners/update Uppdatera egenskapen servicePrincipals.owners i Azure Active Directory.
microsoft.directory/servicePrincipals/permissions/update Uppdatera egenskapen servicePrincipals.permissions i Azure Active Directory.
microsoft.directory/servicePrincipals/policies/update Uppdatera egenskapen servicePrincipals.policies i Azure Active Directory.
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) på signInReports i Azure Active Directory.

Ägda enheter

Användarna kan utföra följande åtgärder på ägda enheter.

Åtgärder Beskrivning
microsoft.directory/devices/bitLockerRecoveryKeys/read Läs egenskapen devices.bitLockerRecoveryKeys i Azure Active Directory.
microsoft.directory/devices/disable Inaktivera enheter i Azure Active Directory.

Ägda grupper

Användare kan utföra följande åtgärder på ägda grupper.

Åtgärder Beskrivning
microsoft.directory/groups/appRoleAssignments/update Uppdatera egenskapen groups.appRoleAssignments i Azure Active Directory.
microsoft.directory/groups/basic/update Uppdatera grundläggande egenskaper för grupper i Azure Active Directory.
microsoft.directory/groups/delete Ta bort grupper i Azure Active Directory.
microsoft.directory/groups/members/update Uppdatera egenskapen groups.members i Azure Active Directory.
microsoft.directory/groups/owners/update Uppdatera egenskapen groups.owners i Azure Active Directory.
microsoft.directory/groups/restore Återställa grupper i Azure Active Directory.
microsoft.directory/groups/settings/update Uppdatera egenskapen groups.settings i Azure Active Directory.

Nästa steg