Azure Active Directory 中的預設使用者權限是什麼?

在 Azure Active Directory (Azure AD) 中,所有使用者都會獲得一組預設權限。 使用者的存取權包含使用者類型、其角色指派,以及個別物件的擁有權。

本文描述這些預設權限,並比較成員與來賓使用者的預設值。 只能在 Azure AD 中的使用者設定中變更預設使用者權限。

成員和來賓使用者

預設權限集取決於使用者是租用戶的原生成員 (成員使用者),還是來自另一個目錄的企業對企業 (B2B) 共同作業來賓 (來賓使用者)。 如需新增來賓使用者的詳細資訊,請參閱什麼是 Azure AD B2B 共同作業?一文。 以下是預設權限的功能:

  • 成員使用者可以註冊應用程式、管理自己的設定檔相片和行動電話號碼、變更自己的密碼,以及邀請 B2B 來賓。 這些使用者也可以讀取所有目錄資訊 (但有一些例外狀況)。

  • 來賓使用者的目錄權限有限。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 但卻無法讀取所有目錄資訊。

    例如,來賓使用者無法列舉所有使用者、群組和其他目錄物件的清單。 您可將來賓新增至系統管理員角色,授與其完整的讀取和寫入權限。 來賓也可以邀請其他來賓。

比較成員與來賓預設的權限

領域 成員使用者權限 預設的來賓使用者權限 限制的來賓使用者權限
使用者和連絡人
  • 列舉所有使用者和連絡人清單
  • 讀取使用者和連絡人的所有公用屬性
  • 邀請來賓
  • 變更其密碼
  • 管理其行動電話號碼
  • 管理其相片
  • 使其重新整理權杖失效
  • 讀取其屬性
  • 讀取顯示名稱、電子郵件、登入名稱、相片、使用者主體名稱,以及其他使用者和連絡人的使用者類型屬性
  • 變更其密碼
  • 依物件識別碼搜尋其他使用者 (如果允許)
  • 讀取其他使用者的主管和直屬員工資訊
  • 讀取其屬性
  • 變更其密碼
  • 管理其行動電話號碼
群組
  • 建立安全性群組
  • 建立 Microsoft 365 群組
  • 列舉所有群組的清單
  • 讀取群組的所有屬性
  • 讀取非隱藏的群組成員資格
  • 讀取已加入群組的隱藏 Microsoft 365 群組成員資格
  • 管理使用者所擁有群組的屬性、擁有權及成員資格
  • 將來賓新增至擁有的群組
  • 管理動態成員資格設定
  • 刪除擁有的群組
  • 還原擁有的 Microsoft 365 群組
  • 讀取非隱藏群組的屬性,包括成員資格和擁有權 (甚至未加入的群組)
  • 讀取已加入群組的隱藏 Microsoft 365 群組成員資格
  • 依顯示名稱或物件識別碼搜尋群組 (如果允許)
  • 讀取已加入群組的物件識別碼
  • 讀取某些 Microsoft 365 應用程式中已加入群組的成員資格和擁有權 (如果允許)
應用程式
  • 註冊 (建立) 新的應用程式
  • 列舉所有應用程式的清單
  • 讀取已註冊和企業應用程式的屬性
  • 管理擁有之應用程式的應用程式屬性、指派及認證
  • 建立或刪除使用者的應用程式密碼
  • 刪除擁有的應用程式
  • 還原擁有的應用程式
  • 讀取已註冊和企業應用程式的屬性
  • 讀取已註冊和企業應用程式的屬性
裝置
  • 列舉所有裝置的清單
  • 讀取裝置的所有屬性
  • 管理擁有之裝置的所有屬性
沒有權限 沒有權限
目錄
  • 讀取所有公司資訊
  • 讀取所有網域
  • 讀取所有夥伴合約
  • 讀取公司顯示名稱
  • 讀取所有網域
  • 讀取公司顯示名稱
  • 讀取所有網域
角色和範圍
  • 讀取所有系統管理角色和成員資格
  • 讀取系統管理單元的所有屬性和成員資格
沒有權限 沒有權限
訂用帳戶
  • 讀取所有訂用帳戶
  • 啟用服務方案成員資格
沒有權限 沒有權限
原則
  • 讀取原則的所有屬性
  • 管理擁有原則的所有屬性
沒有權限 沒有權限

限制成員使用者的預設權限

可新增使用者預設權限的限制。 如果不希望目錄中的所有使用者都能存取 Azure AD 系統管理員入口網站/目錄,您可以使用這項功能。

例如,大學的目錄中有許多使用者。 系統管理員可能不希望目錄中的所有學生都能查看完整目錄,進而違反其他學生的隱私權。 Azure AD 系統管理員自行決定是否使用這項功能。

限制成員使用者預設權限的方式如下:

權限 設定說明
註冊應用程式 將此選項設為 [否],可防止使用者註冊應用程式。 您可以將特定人員新增至應用程式開發人員角色,授權這些人使用此功能。
允許使用者利用 LinkedIn 連線到公司或學校帳戶 將此選項設為 [否],可防止使用者以公司或學校帳戶連線到其 LinkedIn 帳戶。 如需詳細資訊,請參閱 LinkedIn 帳戶連線資料共用與同意
建立安全性群組 將此選項設為 [否],可防止使用者建立安全性群組。 全域系統管理員和使用者系統管理員仍可建立安全性群組。 請參閱設定群組設定的 Azure Active Directory Cmdlet 以了解詳情。
建立 Microsoft 365 群組 將此選項設為 [否],可防止使用者建立 Microsoft 365 群組。 將此選項設為 [部分],可允許部分使用者建立 Microsoft 365 群組。 全域系統管理員和使用者系統管理員仍可建立 Microsoft 365 群組。 請參閱設定群組設定的 Azure Active Directory Cmdlet 以了解詳情。
存取 Azure AD 管理入口網站

將此選項設為 [否],可讓非系統管理員使用 Azure AD 管理入口網站讀取及管理 Azure AD 資源。 [是] 會限制所有非系統管理員,使其不得存取管理入口網站中的任何 Azure AD 資料。

使用 PowerShell 或其他用戶端 (例如 Visual Studio),這項設定即不會限制對 Azure AD 資料的存取。 當將此選項設為 [是],以授權特定的非系統管理員使用者使用 Azure AD 系統管理入口網站時,請指派任何系統管理角色,例如目錄讀取者角色。

目錄讀取者角色允許讀取基本的目錄資訊。 成員使用者預設有此權限。 來賓與服務主體則無。

這項設定會禁止身為群組或應用程式擁有者的非系統管理員使用者,使用 Azure 入口網站管理其擁有的資源。 只要使用者獲指派自訂角色 (或任何角色),而不只是使用者,這項設定就不會限制存取。

讀取其他使用者 這項設定僅供 Microsoft Graph 和 PowerShell 使用。 將此旗標設為 $false,可防止所有非系統管理員讀取目錄中的使用者資訊。 這個旗標不防止讀取 Exchange Online 等其他 Microsoft 服務中的使用者資訊。

這項設定是專門用於特殊情況,因此不建議將旗標設為 $false

注意

假設一般使用者只使用入口網站存取 Azure AD,不使用 PowerShell 或 Azure CLI 存取其資源。 目前,只有當使用者嘗試存取 Azure 入口網站內的目錄時,才會限制存取使用者的預設權限。

限制來賓使用者的預設權限

限制來賓使用者預設權限的方式如下。

注意

[來賓使用者存取限制] 設定已取代 [來賓使用者權限受限] 設定。 如需使用這項功能的指引,請參閱限制 Azure Active Directory 中的來賓存取權限

權限 設定說明
來賓使用者存取限制 將此選項設為 [Guest users have the same access as members] \(來賓使用者具有與成員相同的存取權\),預設會將所有成員使用者權限授與來賓使用者。

將此選項設為 [Guest user access is restricted to properties and memberships of their own directory objects] \(來賓使用者僅限存取自己目錄物件的屬性和成員資格\),預設限制來賓只能存取自己的使用者設定檔。 現已不再允許存取其他使用者,即使按使用者主體名稱、物件識別碼或顯示名稱搜尋也不行。 也不再允許存取包括群組成員資格在內的群組資訊。

這項設定不會防止存取某些 Microsoft 365 服務 (例如 Microsoft Teams) 中的已加入群組。 若要深入了解,請參閱 Microsoft Teams 來賓存取

您可無視此權限設定,仍將來賓使用者新增至系統管理員角色。

來賓可邀請 將此選項設為 [是],可讓來賓邀請其他來賓。 若要深入了解,請參閱設定外部共同作業設定
成員可邀請 將此選項設為 [是],可讓您目錄的非系統管理員成員邀請來賓。 若要深入了解,請參閱設定外部共同作業設定
系統管理員和來賓邀請者角色中的使用者可邀請 將此選項設為 [是],可讓來賓邀請者角色中的系統管理員和使用者邀請來賓。 當將此選項設為 [是] 時,來賓邀請者角色中的使用者可無視 [成員可邀請] 設定,仍然邀請來賓。 若要深入了解,請參閱設定外部共同作業設定

物件擁有權

應用程式註冊擁有者權限

當使用者註冊應用程式時,會自動新增為應用程式的擁有者。 擁有者可以管理應用程式的中繼資料,例如名稱和應用程式要求的權限。 擁有者也可以管理應用程式的租用戶特定設定,例如單一登入 (SSO) 設定和使用者指派。

擁有者也可以新增或移除其他擁有者。 和全域系統管理員不同的是,擁有者只能管理其擁有的應用程式。

企業應用程式擁有者權限

當使用者新增企業應用程式時,就會自動新增為擁有者。 擁有者可以管理應用程式的租用戶特定設定,例如 SSO 設定、佈建和使用者指派。

擁有者也可以新增或移除其他擁有者。 和全域系統管理員不同的是,擁有者只能管理其擁有的應用程式。

群組擁有者權限

當使用者建立群組時,就會自動新增為該群組的擁有者。 擁有者可以管理群組的屬性 (例如名稱),以及管理群組成員資格。

擁有者也可以新增或移除其他擁有者。 與全域系統管理員和使用者系統管理員不同的是,擁有者只能管理其擁有的群組。

若要指派群組擁有者,請參閱管理群組的擁有者

擁有權權限

下表描述成員使用者在 Azure AD 中對所擁有物件的特定權限。 使用者只有其擁有物件的這些權限。

擁有的應用程式註冊

使用者可以對所擁有的應用程式註冊執行下列動作:

動作 說明
microsoft.directory/applications/audience/update 更新 Azure AD 的 applications.audience 屬性。
microsoft.directory/applications/authentication/update 更新 Azure AD 的 applications.authentication 屬性。
microsoft.directory/applications/basic/update 更新 Azure AD 中應用程式的基本屬性。
microsoft.directory/applications/credentials/update 更新 Azure AD 的 applications.credentials 屬性。
microsoft.directory/applications/delete 刪除 Azure AD 中的應用程式。
microsoft.directory/applications/owners/update 更新 Azure AD 的 applications.owners 屬性。
microsoft.directory/applications/permissions/update 更新 Azure AD 的 applications.permissions 屬性。
microsoft.directory/applications/policies/update 更新 Azure AD 的 applications.policies 屬性。
microsoft.directory/applications/restore 還原 Azure AD 中的應用程式。

擁有的企業應用程式

使用者可以對所擁有的企業應用程式執行下列動作。 企業應用程式包含服務主體、一或多個應用程式原則,以及有時候和服務主體位於相同租用戶的應用程式物件。

動作 說明
microsoft.directory/auditLogs/allProperties/read 讀取 Azure AD 稽核記錄的所有屬性 (包括特殊權限屬性)。
microsoft.directory/policies/basic/update 更新 Azure AD 原則的基本屬性。
microsoft.directory/policies/delete 刪除 Azure AD 中的原則。
microsoft.directory/policies/owners/update 更新 Azure AD 的 policies.owners 屬性。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新 Azure AD 的 servicePrincipals.appRoleAssignedTo 屬性。
microsoft.directory/servicePrincipals/appRoleAssignments/update 更新 Azure AD 的 users.appRoleAssignments 屬性。
microsoft.directory/servicePrincipals/audience/update 更新 Azure AD 的 servicePrincipals.audience 屬性。
microsoft.directory/servicePrincipals/authentication/update 更新 Azure AD 的 servicePrincipals.authentication 屬性。
microsoft.directory/servicePrincipals/basic/update 更新 Azure AD 中服務主體的基本屬性。
microsoft.directory/servicePrincipals/credentials/update 更新 Azure AD 的 servicePrincipals.credentials 屬性。
microsoft.directory/servicePrincipals/delete 刪除 Azure AD 中的服務主體。
microsoft.directory/servicePrincipals/owners/update 更新 Azure AD 的 servicePrincipals.owners 屬性。
microsoft.directory/servicePrincipals/permissions/update 更新 Azure AD 的 servicePrincipals.permissions 屬性。
microsoft.directory/servicePrincipals/policies/update 更新 Azure AD 的 servicePrincipals.policies 屬性。
microsoft.directory/signInReports/allProperties/read 讀取 Azure AD 中登入報告的所有屬性 (包括特殊權限屬性)。

擁有的裝置

使用者可在所擁有的裝置上執行下列動作:

動作 說明
microsoft.directory/devices/bitLockerRecoveryKeys/read 讀取 Azure AD 的 devices.bitLockerRecoveryKeys 屬性。
microsoft.directory/devices/disable 停用 Azure AD 中的裝置。

擁有的群組

使用者可對所擁有的群組執行下列動作。

注意

動態群組的擁有者必須具有全域系統管理員、群組系統管理員、Intune 系統管理員或使用者系統管理員角色,才能編輯群組成員資格規則。 如需詳細資訊,請參閱建立或更新 Azure Active Directory 中的動態群組

動作 說明
microsoft.directory/groups/appRoleAssignments/update 更新 Azure AD 的 groups.appRoleAssignments 屬性。
microsoft.directory/groups/basic/update 更新 Azure AD 群組的基本屬性。
microsoft.directory/groups/delete 刪除 Azure AD 中的群組。
microsoft.directory/groups/members/update 更新 Azure AD 的 groups.members 屬性。
microsoft.directory/groups/owners/update 更新 Azure AD 的 groups.owners 屬性。
microsoft.directory/groups/restore 還原 Azure AD 中的群組。
microsoft.directory/groups/settings/update 更新 Azure AD 的 groups.settings 屬性。

後續步驟