Microsoft Entra ID 中的預設使用者許可權為何?

在 Microsoft Entra 識別碼中,所有使用者都會獲得一組預設權限。 使用者的存取權包含使用者類型、其 角色指派,以及個別對象的擁有權。

本文說明這些默認許可權,並比較成員和來賓用戶預設值。 只有在 Microsoft Entra ID 的使用者設定中才能變更預設使用者權限。

成員和來賓使用者

默認許可權集取決於使用者是租使用者 (成員使用者) 的原生成員,或使用者是否從另一個目錄作為企業對企業 (B2B) 共同作業來賓 (來賓使用者) 來接管。 如需新增來賓用戶的詳細資訊,請參閱 什麼是 Microsoft Entra B2B 共同作業?。 以下是預設權限的功能:

  • 成員用戶可以 註冊應用程式、管理自己的配置檔相片和行動電話、變更自己的密碼,以及邀請 B2B 來賓。 這些使用者也可以讀取所有目錄資訊(但有幾個例外)。

  • 來賓使用者 具有限制的目錄許可權。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 不過,他們無法讀取所有目錄資訊。

    例如,來賓使用者無法列舉所有使用者、群組和其他目錄物件的清單。 來賓可以新增至系統管理員角色,以授與他們完整讀取和寫入許可權。 來賓也可以邀請其他來賓。

比較成員和來賓預設許可權

適用範圍 成員用戶權力 默認來賓用戶權力 受限制的來賓用戶權力
使用者和連絡人
  • 列舉所有用戶和聯繫人的清單
  • 讀取用戶和聯繫人的所有公用屬性
  • 邀請來賓
  • 變更自己的密碼
  • 管理自己的行動電話
  • 管理自己的相片
  • 使自己的重新整理令牌失效
  • 讀取自己的屬性
  • 讀取其他使用者和聯繫人的顯示名稱、電子郵件、登入名稱、相片、用戶主體名稱和使用者類型屬性
  • 變更自己的密碼
  • 依物件識別碼搜尋其他使用者(如果允許)
  • 讀取其他使用者的管理員和直接報告資訊
  • 讀取自己的屬性
  • 變更自己的密碼
  • 管理自己的行動電話
群組
  • 建立安全性群組
  • 建立 Microsoft 365 群組
  • 列舉所有群組的清單
  • 讀取群組的所有屬性
  • 讀取非隱藏的群組成員資格
  • 讀取已加入群組的隱藏 Microsoft 365 群組成員資格
  • 管理用戶擁有之群組的屬性、擁有權和成員資格
  • 將來賓新增至擁有的群組
  • 管理動態成員資格設定
  • 刪除擁有的群組
  • 還原擁有的 Microsoft 365 群組
  • 讀取非隱藏群組的屬性,包括成員資格和擁有權(甚至是未加入的群組)
  • 讀取已加入群組的隱藏 Microsoft 365 群組成員資格
  • 依顯示名稱或物件識別子搜尋群組(如果允許)
  • 讀取已聯結群組的物件標識碼
  • 讀取部分 Microsoft 365 應用程式中已加入群組的成員資格和擁有權(如果允許)
應用程式
  • 註冊 (建立) 新應用程式
  • 列舉所有應用程式的清單
  • 讀取已註冊之企業應用程式的屬性
  • 管理所擁有應用程式的應用程式屬性、指派和認證
  • 建立或刪除使用者的應用程式密碼
  • 刪除擁有的應用程式
  • 還原擁有的應用程式
  • 列出授與應用程式的許可權
  • 讀取已註冊之企業應用程式的屬性
  • 列出授與應用程式的許可權
  • 讀取已註冊之企業應用程式的屬性
  • 列出授與應用程式的許可權
裝置
  • 列舉所有裝置的清單
  • 讀取裝置的所有屬性
  • 管理擁有裝置的所有屬性
沒有許可權 沒有許可權
Organization
  • 讀取所有公司資訊
  • 讀取所有網域
  • 讀取憑證型驗證的設定
  • 閱讀所有合作夥伴合約
  • 讀取多租用戶組織基本詳細數據和作用中租使用者
  • 讀取公司顯示名稱
  • 讀取所有網域
  • 讀取憑證型驗證的設定
  • 讀取公司顯示名稱
  • 讀取所有網域
角色和範圍
  • 讀取所有系統管理角色和成員資格
  • 讀取系統管理單位的所有屬性和成員資格
沒有許可權 沒有許可權
訂用帳戶
  • 讀取所有授權訂用帳戶
  • 啟用服務方案成員資格
沒有許可權 沒有許可權
原則
  • 讀取原則的所有屬性
  • 管理擁有原則的所有屬性
沒有許可權 沒有許可權

限制成員用戶的默認許可權

可新增使用者預設權限的限制。

限制成員使用者預設權限的方式如下:

警告

使用限制 對 Microsoft Entra 系統管理入口網站 切換 的存取不是安全性措施。 如需功能的詳細資訊,請參閱下表。

權限 設定說明
註冊應用程式 將此選項設定為 [否 ] 可防止使用者建立應用程式註冊。 接著,您可以將這些功能新增至應用程式開發人員角色,以授與特定人員的能力。
允許使用者使用LinkedIn連線公司或學校帳戶 將此選項設定為 [否 ] 可防止使用者將公司或學校帳戶與其LinkedIn帳戶連線。 如需詳細資訊,請參閱 LinkedIn帳戶連線數據共用和同意
建立安全組 將此選項設定為 [否 ] 可防止使用者建立安全組。 全域 管理員 istrators 和 User 管理員 istrators 仍然可以建立安全組。 若要瞭解如何,請參閱 Microsoft Entra Cmdlet 來設定群組設定
建立 Microsoft 365 群組 將此選項設定為 [否 ] 可防止使用者建立 Microsoft 365 群組。 將此選項設定為 [部分 ] 可讓一組使用者建立 Microsoft 365 群組。 全域 管理員 istrators 和 User 管理員 istrators 仍然可以建立 Microsoft 365 群組。 若要瞭解如何,請參閱 Microsoft Entra Cmdlet 來設定群組設定
限制對 Microsoft Entra 管理入口網站的存取 此參數有何用途?
[否 ] 可讓非系統管理員流覽 Microsoft Entra 系統管理入口網站。
限制非系統管理員流覽 Microsoft Entra 系統管理入口網站。 非擁有群組或應用程式的系統管理員無法使用Azure 入口網站來管理自己的資源。

它沒有做什麼?
它不會限制使用 PowerShell、Microsoft GraphAPI 或其他用戶端,例如 Visual Studio 存取 Microsoft Entra 資料。
只要使用者獲指派自訂角色或任何角色,它就不會限制存取權。

何時應該使用此參數?
使用此選項可防止使用者設定其擁有的資源錯誤。

我何時不應該使用此參數?
請勿將此參數作為安全性措施。 請改為建立條件式存取原則,以 Windows Azure 服務管理 API 為目標,以封鎖非系統管理員對 Windows Azure 服務管理 API 存取。

如何?只授與特定非系統管理員使用者使用 Microsoft Entra 系統管理入口網站的能力?
將此選項設定為 [ ],然後指派角色,例如全域讀取器。

限制對 Microsoft Entra 管理入口網站的存取
以 Windows Azure 服務管理 API 為目標的條件式存取原則,以存取所有 Azure 管理為目標。

限制非系統管理員使用者建立租使用者 使用者可以在 [管理租使用者] 底下的 [Microsoft Entra 識別碼] 和 [Microsoft Entra 系統管理入口網站] 中建立租使用者。 租使用者的建立會記錄在稽核記錄檔中,做為 DirectoryManagement 類別和活動建立公司。 建立租使用者的任何人員都會成為該租使用者的全域管理員管理員。 新建立的租使用者不會繼承任何設定或組態。

此參數有何用途?
將此選項設定為 [ ],會將 Microsoft Entra 租使用者的建立限制為全域管理員istrator 或租使用者建立者角色。 將此選項設定為 [否 ] 可讓非系統管理員使用者建立 Microsoft Entra 租使用者。 租使用者建立將會繼續記錄在稽核記錄中。

如何?只授與特定非系統管理員使用者建立新租使用者的能力?
將此選項設定為 [是],然後指派租使用者建立者角色。

限制使用者復原其自有裝置的 BitLocker 金鑰 您可以在裝置設定的 Microsoft Entra 系統管理中心找到此設定。 將此選項設定為 [是 ] 會限制使用者能夠自行復原其自有裝置的 BitLocker 金鑰。 使用者必須連絡組織的技術服務人員,以擷取其 BitLocker 金鑰。 將此選項設定為 [否 ] 可讓使用者復原其 BitLocker 金鑰。。
讀取其他使用者 此設定僅適用于 Microsoft Graph 和 PowerShell。 設定此旗標以防止 $false 所有非系統管理員從目錄讀取使用者資訊。 此旗標不會防止在 Exchange Online 等其他Microsoft 服務中讀取使用者資訊。

此設定適用于特殊情況,因此不建議將旗標設定為 $false

[ 限制非系統管理員使用者建立租 使用者] 選項如下所示

Screenshot showing the option to Restrict non-admins from creating tenants.

限制來賓使用者的預設許可權

您可以透過下列方式限制來賓使用者的預設許可權。

注意

來賓 使用者存取限制 設定已取代來賓 使用者許可權是有限的 設定。 如需使用此功能的指引,請參閱 限制 Microsoft Entra ID 中的來賓存取許可權。

權限 設定說明
來賓使用者存取限制 將此選項設定為 來賓使用者具有與成員 相同的存取權,預設會將所有成員使用者權限授與來賓使用者。

將此選項設定為 來賓使用者存取僅限於其本身目錄物件的 屬性和成員資格,預設只會限制來賓存取自己的使用者設定檔。 即使使用者主體名稱、物件識別碼或顯示名稱進行搜尋,也無法再存取其他使用者。 也不再允許存取群組資訊,包括群組成員資格。

此設定不會防止在某些 Microsoft 365 服務中存取已加入的群組,例如 Microsoft Teams。 若要深入瞭解,請參閱 Microsoft Teams 來賓存取

不論此許可權設定為何,來賓使用者仍可新增至系統管理員角色。

來賓可以邀請 將此選項設定為 [ ] 可讓來賓邀請其他來賓。 若要深入瞭解,請參閱 設定外部共同作業設定

物件擁有權

應用程式註冊擁有者許可權

當使用者註冊應用程式時,系統會自動將其新增為應用程式的擁有者。 身為擁有者,他們可以管理應用程式的中繼資料,例如應用程式要求的名稱和許可權。 他們也可以管理應用程式的租使用者特定設定,例如單一登入 (SSO) 組態和使用者指派。

擁有者也可以新增或移除其他擁有者。 不同于 Global 管理員istrators,擁有者只能管理其擁有的應用程式。

企業應用程式擁有者許可權

當使用者新增新的企業應用程式時,他們會自動新增為擁有者。 身為擁有者,他們可以管理應用程式的租使用者特定設定,例如 SSO 設定、布建和使用者指派。

擁有者也可以新增或移除其他擁有者。 不同于 Global 管理員istrators,擁有者只能管理其擁有的應用程式。

群組擁有者許可權

當使用者建立群組時,他們會自動新增為該群組的擁有者。 身為擁有者,他們可以管理群組的屬性(例如名稱),以及管理群組成員資格。

擁有者也可以新增或移除其他擁有者。 不同于 Global 管理員istrators 和 User 管理員istrators,擁有者只能管理其擁有的群組。

若要指派群組擁有者,請參閱 管理群組 的擁有者。

擁有權許可權

下表描述成員使用者對擁有物件擁有之 Microsoft Entra 識別碼的特定許可權。 使用者只擁有這些許可權的物件。

擁有的應用程式註冊

使用者可以在擁有的應用程式註冊上執行下列動作:

動作 說明
microsoft.directory/applications/audience/update applications.audience更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/applications/authentication/update applications.authentication更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/applications/basic/update 更新 Microsoft Entra 識別碼中應用程式的基本屬性。
microsoft.directory/applications/credentials/update applications.credentials更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/applications/delete 刪除 Microsoft Entra 識別碼中的應用程式。
microsoft.directory/applications/owners/update applications.owners更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/applications/permissions/update applications.permissions更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/applications/policies/update applications.policies更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/applications/restore 在 Microsoft Entra 識別碼中還原應用程式。

擁有的企業應用程式

使用者可以對擁有的企業應用程式執行下列動作。 企業應用程式是由服務主體、一或多個應用程式原則所組成,有時是與服務主體位於相同租使用者中的應用程式物件。

動作 說明
microsoft.directory/auditLogs/allProperties/read 在 Microsoft Entra ID 中的稽核記錄上讀取所有屬性(包括特殊許可權屬性)。
microsoft.directory/policies/basic/update 更新 Microsoft Entra 識別碼中原則的基本屬性。
microsoft.directory/policies/delete 刪除 Microsoft Entra 識別碼中的原則。
microsoft.directory/policies/owners/update policies.owners更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update servicePrincipals.appRoleAssignedTo更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/appRoleAssignments/update users.appRoleAssignments更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/audience/update servicePrincipals.audience更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/authentication/update servicePrincipals.authentication更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/basic/update 更新 Microsoft Entra 識別符中服務主體的基本屬性。
microsoft.directory/servicePrincipals/credentials/update servicePrincipals.credentials更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/delete 刪除 Microsoft Entra 識別碼中的服務主體。
microsoft.directory/servicePrincipals/owners/update servicePrincipals.owners更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/permissions/update servicePrincipals.permissions更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/servicePrincipals/policies/update servicePrincipals.policies更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/signInReports/allProperties/read 在 Microsoft Entra ID 的登入報告中讀取所有屬性(包括特殊許可權屬性)。
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建秘密和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立和管理應用程式佈建同步處理作業和架構
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與您的服務主體相關聯的布建設定

擁有的裝置

使用者可以在擁有的裝置上執行下列動作:

動作 說明
microsoft.directory/devices/bitLockerRecoveryKeys/read devices.bitLockerRecoveryKeys讀取 Microsoft Entra 識別碼中的 屬性。
microsoft.directory/devices/disable 停用 Microsoft Entra 識別碼中的裝置。

擁有的群組

用戶可以在擁有的群組上執行下列動作。

注意

動態群組的擁有者必須擁有全域 管理員 istrator、Group 管理員 istrator、Intune 管理員 istrator 或 User 管理員 istrator 角色,才能編輯群組成員資格規則。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中建立或更新動態群組。

動作 說明
microsoft.directory/groups/appRoleAssignments/update groups.appRoleAssignments更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/groups/basic/update 更新 Microsoft Entra 識別碼中群組的基本屬性。
microsoft.directory/groups/delete 刪除 Microsoft Entra 識別碼中的群組。
microsoft.directory/groups/members/update groups.members更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/groups/owners/update groups.owners更新 Microsoft Entra ID 中的 屬性。
microsoft.directory/groups/restore 還原 Microsoft Entra 識別碼中的群組。
microsoft.directory/groups/settings/update groups.settings更新 Microsoft Entra ID 中的 屬性。

下一步