Dela via

Vilka är standardanvändarbehörigheterna i Microsoft Entra-ID?

I Microsoft Entra-ID beviljas alla användare en uppsättning standardbehörigheter. En användares åtkomst består av typen av användare, deras rolltilldelningar och deras ägarskap för enskilda objekt.

Den här artikeln beskriver dessa standardbehörigheter och jämför standardinställningarna för medlem och gästanvändare. Standardanvändarbehörigheter kan bara ändras i användarinställningar i Microsoft Entra-ID.

Medlems- och gästanvändare

Uppsättningen med standardbehörigheter beror på om användaren är en intern medlem i klientorganisationen (medlemsanvändaren) eller tas över från en annan katalog, till exempel en B2B-samarbetsgäst (B2B) (gästanvändare). Mer information om hur du lägger till gästanvändare finns i Vad är Microsoft Entra B2B-samarbete?. Här är funktionerna i standardbehörigheterna:

  • Medlemsanvändare kan registrera program, hantera sina egna profilfoton och mobiltelefonnummer, ändra sitt eget lösenord och bjuda in B2B-gäster. Dessa användare kan också läsa all kataloginformation (med några få undantag).

  • Gästanvändare har begränsade katalogbehörigheter. De kan hantera sin egen profil, ändra sitt eget lösenord och hämta viss information om andra användare, grupper och appar. De kan dock inte läsa all kataloginformation.

    Gästanvändare kan till exempel inte räkna upp listan över alla användare, grupper och andra katalogobjekt. Gäster kan läggas till i administratörsroller, vilket ger dem fullständiga läs- och skrivbehörigheter. Du kan också bjuda in andra gäster.

Jämför standardbehörigheter för medlemmar och gästanvändare

Area Medlemsanvändarbehörigheter Standardbehörigheter för gästanvändare Begränsade behörigheter för gästanvändare
Användare och kontakter
  • Räkna upp listan över alla användare och kontakter
  • Läsa alla offentliga egenskaper om användare och kontakter
  • Bjud in gäster
  • Ändra sitt eget lösenord
  • Hantera sitt eget mobiltelefonnummer
  • Hantera ett eget foto
  • Ogiltigförklara sina egna uppdateringstoken
  • Läs sina egna egenskaper
  • Läs visningsnamn, e-post, inloggningsnamn, foto, användarens huvudnamn och användartypegenskaper för andra användare och kontakter
  • Ändra sitt eget lösenord
  • Sök efter en annan användare efter objekt-ID (om det tillåts)
  • Läs chef och direktrapportinformation för andra användare
  • Läs sina egna egenskaper
  • Ändra sitt eget lösenord
  • Hantera sitt eget mobiltelefonnummer
Groups
  • Skapa säkerhetsgrupper
  • Skapa Microsoft 365-grupper
  • Räkna upp listan över alla grupper
  • Läsa alla icke-dolda egenskaper i grupper
  • Läsa gruppmedlemskap utan tillhörighet
  • Läs dolt Microsoft 365-gruppmedlemskap för anslutna grupper
  • Hantera egenskaper, ägarskap och medlemskap i grupper som användaren äger
  • Lägga till gäster i egna grupper
  • Hantera inställningar för gruppmedlemskap
  • Ta bort egna grupper
  • Återställa ägda Microsoft 365-grupper
  • Läs egenskaper för icke-anslutna grupper, inklusive medlemskap och ägarskap (även icke-anslutna grupper)
  • Läs dolt Microsoft 365-gruppmedlemskap för anslutna grupper
  • Sök efter grupper efter visningsnamn eller objekt-ID (om det tillåts)
  • Läsa objekt-ID för anslutna grupper
  • Läs medlemskap och ägarskap för anslutna grupper i vissa Microsoft 365-appar (om det tillåts)
Applications
  • Registrera (skapa) nya program
  • Räkna upp listan över alla program
  • Skrivskyddade egenskaper för registrerade program och företagsprogram
  • Hantera egenskaper för program, tilldelningar och autentiseringsuppgifter för egna program
  • Skapa eller ta bort programlösenord för användare
  • Ta bort egna program
  • Återställ egna program
  • Visa en lista över behörigheter som beviljats program
  • Skrivskyddade egenskaper för registrerade program och företagsprogram
  • Visa en lista över behörigheter som beviljats program
  • Skrivskyddade egenskaper för registrerade program och företagsprogram
  • Visa en lista över behörigheter som beviljats program
Devices
  • Räkna upp listan över alla enheter
  • Läs alla enhetsegenskaper
  • Läs alla egenskaper för egna enheter
 Inga behörigheter Inga behörigheter
Organization
  • Läs all företagsinformation
  • Läsa alla domäner
  • Läs konfiguration av certifikatbaserad autentisering
  • Läsa alla partnerkontrakt
  • Läs grundläggande information om flera klientorganisationer och aktiva klienter
  • Läs företagets visningsnamn
  • Läsa alla domäner
  • Läs konfiguration av certifikatbaserad autentisering
  • Läs företagets visningsnamn
  • Läsa alla domäner
Roller och omfång
  • Läsa alla administrativa roller och medlemskap
  • Läsa alla egenskaper och medlemskap i administrativa enheter
 Inga behörigheter Inga behörigheter
Subscriptions
  • Läs alla licensprenumerationer
  • Aktivera tjänstplansmedlemskap
 Inga behörigheter Inga behörigheter
Policies
  • Läs alla principegenskaper
  • Hantera alla egenskaper för ägda principer
 Inga behörigheter Inga behörigheter
Användningsvillkor Läsvillkor som en användare har godkänt. Läsvillkor som en användare har godkänt. Läsvillkor som en användare har godkänt.

Begränsa medlemsanvändares standardbehörigheter

Det går att lägga till begränsningar i användarnas standardbehörigheter.

Du kan begränsa standardbehörigheterna för medlemsanvändare på följande sätt.

Caution

Inställningen Begränsa åtkomsten till Microsoft Entra-administrationsportalen begränsar åtkomsten till en uppsättning vanliga sidor i administrationscentret. Det är inte en säkerhetsåtgärd. Mer information om inställningen finns i följande tabell.

Permission Inställningsförklaring
Registrera applikationer Om du ställer in det här alternativet på Nej hindras användare från att skapa programregistreringar. Du kan sedan bevilja möjligheten tillbaka till specifika individer genom att lägga till dem i programutvecklarens roll.
Tillåt användare att ansluta arbets- eller skolkonto med LinkedIn Om du ställer in det här alternativet på Nej hindras användarna från att ansluta sitt arbets- eller skolkonto till sitt LinkedIn-konto. Mer information finns i LinkedIn-kontoanslutningar för datadelning och medgivande.
Skapa säkerhetsgrupper Om du ställer in det här alternativet på Nej hindras användare från att skapa säkerhetsgrupper. De användare som tilldelats rollen Användaradministratörer kan fortfarande skapa säkerhetsgrupper. För att lära dig hur, se Microsoft Entra cmdlets för att konfigurera gruppinställningar.
Skapa Microsoft 365-grupper Om du ställer in det här alternativet på Nej hindras användare från att skapa Microsoft 365-grupper. Om du anger det här alternativet till Vissa kan en uppsättning användare skapa Microsoft 365-grupper. Alla som har tilldelats rollen Användaradministratör kan fortfarande skapa Microsoft 365-grupper. För att lära dig hur, se Microsoft Entra cmdlets för att konfigurera gruppinställningar.
Begränsa åtkomsten till Microsoft Entra-administrationsportalen Vad gör den här växeln?
Om du ställer in det här alternativet på Nej kan icke-administratörer logga in på administrationscentret för Microsoft Entra.
Om du ställer in det här alternativet på Ja läggs ett lager av friktion till tillfällig surfning. Den här inställningen hindrar icke-administratörer från att läsa in en uppsättning ofta besökta sidor i administrationscentret för Microsoft Entra och Azure-portalen, inklusive start, klientöversikt och användarlista. Icke-administratörer som äger grupper kan inte använda administrationscentret för Microsoft Entra eller Azure-portalen för att hantera dessa resurser. De flesta sidor i administrationscentret kan fortfarande nås om användaren har en direktlänk (djup).

Vad gör den inte?
Den blockerar inte programmatisk åtkomst till Microsoft Entra-data via PowerShell, Microsoft Graph API eller andra verktyg som Visual Studio.
Den gäller inte för användare med en administrativ roll, inklusive anpassade roller.
Det förhindrar inte all åtkomst till administrationscentret. Många områden kan fortfarande nås via alternativa sökvägar.

När ska jag använda den här växeln?
Använd den här inställningen om du vill lägga till ett friktionslager som avråder icke-administratörsanvändare från att tillfälligt öppna administrationscentret för Microsoft Entra. Det kan bidra till att minska oviktig utforskning, men det hindrar inte användare från att komma åt eller hantera sina resurser på annat sätt.

När ska jag inte använda den här växeln?
Förlita dig inte på den här inställningen som en säkerhetskontroll. För starkare tillämpning använder du en princip för villkorlig åtkomst som riktar sig till Windows Azure Service Management API Windows Azure Service Management API för att blockera icke-administratörsåtkomst till Azure-hanteringsslutpunkter.

Hur ger jag bara en specifik icke-administratörsanvändare möjlighet att använda Microsoft Entra-administrationsportalen?
Ställ in växlingen på Ja och tilldela sedan användarna en roll, till exempel Global läsare eller en annan roll som ger lämpliga behörigheter.

Vill du begränsa åtkomsten mer effektivt?
Använd villkorlig åtkomst för att rikta in dig på API:et för Windows Azure Service Management. Detta ger bredare kontroll över åtkomsten till alla Azure-baserade hanteringsupplevelser, inklusive administrationscentret för Microsoft Entra.
Begränsa användare som inte är administratörer från att skapa klientorganisationer Användare kan skapa klienter i Microsoft Entra-ID:t och Microsoft Entra-administrationsportalen under Hantera klientorganisation. Skapandet av en klientorganisation registreras i granskningsloggen som kategorin DirectoryManagement och aktiviteten Skapa företag. Som standard tilldelas den användare som skapar en Microsoft Entra-klientorganisation automatiskt rollen Global administratör . Den nyligen skapade klientorganisationen ärver inte några inställningar eller konfigurationer.

Vad gör den här växeln?
Om du ställer in det här alternativet på Ja begränsas skapandet av Microsoft Entra-klienter till alla som har tilldelats minst rollen Klientskapare . Om du ställer in det här alternativet på Nej kan icke-användare skapa Microsoft Entra-klienter. Skapande av klientorganisation fortsätter att registreras i granskningsloggen.

Hur ger jag bara en specifik icke-administratörsanvändare möjlighet att skapa nya klienter?
Ställ in det här alternativet på Ja och tilldela dem sedan rollen som Tenantskapare.
Begränsa användare från att återställa BitLocker-nycklar för sina ägda enheter Den här inställningen finns i administrationscentret för Microsoft Entra i Enhetsinställningar. Om du ställer in det här alternativet på Ja begränsas användarna från att självbetjäna återställning av BitLocker-nycklar för sina ägda enheter. Användarna måste kontakta organisationens supportavdelning för att hämta sina BitLocker-nycklar. Om du ställer in det här alternativet på Nej kan användarna återställa sina BitLocker-nycklar.
Läsa vad andra användare har skrivit Den här inställningen är endast tillgänglig i Microsoft Graph och PowerShell. Om du ställer in den här flaggan för att förhindra att $false alla icke-användare läser användarinformation från katalogen. Den här flaggan kan förhindra läsning av användarinformation i andra Microsoft-tjänster som Microsoft Teams.

Den här inställningen är avsedd för särskilda omständigheter, så vi rekommenderar inte att du ställer in flaggan på $false.

Alternativet Begränsning för att icke-administratörer ska kunna skapa hyresgäster visas i följande skärmbild.

Skärmbild som visar alternativet att begränsa icke-administratörer från att skapa hyresgäster.

Begränsa gästanvändares standardbehörigheter

Du kan begränsa standardbehörigheter för gästanvändare på följande sätt.

Note

Inställningen Begränsningar för gästanvändare ersatte behörigheterna för gästanvändare är begränsad . Vägledning om hur du använder den här funktionen finns i Begränsa behörigheter för gäståtkomst i Microsoft Entra-ID.

Permission Inställningsförklaring
Åtkomstbegränsningar för gästanvändare Om du ställer in det här alternativet på Gästanvändare har samma åtkomst som medlemmar ger alla medlemsanvändare behörighet till gästanvändare som standard.

Om du ställer in det här alternativet på Gästanvändaråtkomst begränsas det till egenskaper och medlemskap i egna katalogobjekt begränsar gäståtkomsten till endast sin egen användarprofil som standard. Åtkomst till andra användare tillåts inte längre, även när de söker efter användarens huvudnamn, objekt-ID eller visningsnamn. Åtkomst till gruppinformation, inklusive gruppmedlemskap, tillåts inte längre.

Den här inställningen förhindrar inte åtkomst till anslutna grupper i vissa Microsoft 365-tjänster som Microsoft Teams. Mer information finns i Gäståtkomst för Microsoft Teams.

Gästanvändare kan fortfarande läggas till i administratörsroller oavsett den här behörighetsinställningen.
Gäster kan bjuda in Om du ställer in det här alternativet på Ja kan gäster bjuda in andra gäster. Mer information finns i Konfigurera inställningar för externt samarbete.

Objektägarskap

Ägarbehörigheter för programregistrering

När en användare registrerar ett program läggs de automatiskt till som ägare för programmet. Som ägare kan de hantera programmets metadata, till exempel namnet och behörigheterna som appen begär. De kan också hantera den klientspecifika konfigurationen av programmet, till exempel konfigurationen för enkel inloggning (SSO) och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen programadministratör kan ägarna bara hantera de program som de äger.

Behörigheter för företagsprogramägare

När en användare lägger till ett nytt företagsprogram läggs de automatiskt till som ägare. Som ägare kan de hantera den klientspecifika konfigurationen av programmet, till exempel SSO-konfiguration, etablering och användartilldelningar.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen programadministratör kan ägarna bara hantera de program som de äger.

Gruppägares behörigheter

När en användare skapar en grupp läggs de automatiskt till som ägare för den gruppen. Som ägare kan de hantera egenskaperna för gruppen (till exempel namnet) och hantera gruppmedlemskap.

En ägare kan också lägga till eller ta bort andra ägare. Till skillnad från de användare som har tilldelats rollen Gruppadministratör kan ägarna bara hantera de grupper som de äger och de kan bara lägga till eller ta bort gruppmedlemmar om gruppens medlemskapstyp har tilldelats.

Information om hur du tilldelar en gruppägare finns i Hantera ägare för en grupp.

Information om hur du använder Privileged Access Management (PIM) för att göra en grupp berättigad till en rolltilldelning finns i Använda Microsoft Entra-grupper för att hantera rolltilldelningar.

Ägarskapsbehörigheter

I följande tabeller beskrivs de specifika behörigheter i Microsoft Entra-ID som medlemsanvändare har över objekt som de äger. Användarna har endast dessa behörigheter för objekt som de äger.

Ägda programregistreringar

Användare kan utföra följande åtgärder på ägda programregistreringar:

Action Description
microsoft.directory/applications/audience/update Uppdatera egenskapen applications.audience i Microsoft Entra-ID.
microsoft.directory/applications/authentication/update Uppdatera egenskapen applications.authentication i Microsoft Entra-ID.
microsoft.directory/applications/basic/update Uppdatera grundläggande egenskaper för program i Microsoft Entra-ID.
microsoft.directory/applications/credentials/update Uppdatera egenskapen applications.credentials i Microsoft Entra-ID.
microsoft.directory/applications/delete Ta bort program i Microsoft Entra-ID.
microsoft.directory/applications/owners/update Uppdatera egenskapen applications.owners i Microsoft Entra-ID.
microsoft.directory/applications/permissions/update Uppdatera egenskapen applications.permissions i Microsoft Entra-ID.
microsoft.directory/applications/policies/update Uppdatera egenskapen applications.policies i Microsoft Entra-ID.
microsoft.directory/applications/restore Återställa program i Microsoft Entra-ID.

Ägda företagsprogram

Användare kan utföra följande åtgärder i ägda företagsprogram. Ett företagsprogram består av ett huvudnamn för tjänsten, en eller flera programprinciper och ibland ett programobjekt i samma klientorganisation som tjänstens huvudnamn.

Action Description
microsoft.directory/auditLogs/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) i granskningsloggar i Microsoft Entra-ID.
microsoft.directory/policies/basic/update Uppdatera grundläggande egenskaper för principer i Microsoft Entra-ID.
microsoft.directory/policies/delete Ta bort principer i Microsoft Entra-ID.
microsoft.directory/policies/owners/update Uppdatera egenskapen policies.owners i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Uppdatera egenskapen servicePrincipals.appRoleAssignedTo i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Uppdatera egenskapen users.appRoleAssignments i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/audience/update Uppdatera egenskapen servicePrincipals.audience i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/authentication/update Uppdatera egenskapen servicePrincipals.authentication i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/basic/update Uppdatera grundläggande egenskaper för tjänstens huvudnamn i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/credentials/update Uppdatera egenskapen servicePrincipals.credentials i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/delete Ta bort tjänstens huvudnamn i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/owners/update Uppdatera egenskapen servicePrincipals.owners i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/permissions/update Uppdatera egenskapen servicePrincipals.permissions i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/policies/update Uppdatera egenskapen servicePrincipals.policies i Microsoft Entra-ID.
microsoft.directory/signInReports/allProperties/read Läs alla egenskaper (inklusive privilegierade egenskaper) i inloggningsrapporter i Microsoft Entra-ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Hantera hemligheter och autentiseringsuppgifter för programetablering
microsoft.directory/servicePrincipals/synchronizationJobs/manage Starta, starta om och pausa synkroniseringsjobb för programetablering
microsoft.directory/servicePrincipals/synchronizationSchema/manage Skapa och hantera synkroniseringsjobb och schema för programetablering
microsoft.directory/servicePrincipals/synchronization/standard/read Läsa etableringsinställningar som är associerade med tjänstens huvudnamn

Ägda enheter

Användare kan utföra följande åtgärder på ägda enheter:

Action Description
microsoft.directory/devices/bitLockerRecoveryKeys/read Läs egenskapen devices.bitLockerRecoveryKeys i Microsoft Entra-ID.
microsoft.directory/devices/disable Inaktivera enheter i Microsoft Entra-ID.

Ägda grupper

Användare kan utföra följande åtgärder i ägda grupper.

Note

Ägare av dynamiska medlemskapsgrupper måste ha rollen Gruppadministratör, Intune-administratör eller Användaradministratör för att kunna redigera regler för dynamiska medlemskapsgrupper. Mer information finns i Skapa eller uppdatera en dynamisk medlemskapsgrupp i Microsoft Entra-ID.

Action Description
microsoft.directory/groups/appRoleAssignments/update Uppdatera egenskapen groups.appRoleAssignments i Microsoft Entra-ID.
microsoft.directory/groups/basic/update Uppdatera grundläggande egenskaper för grupper i Microsoft Entra-ID.
microsoft.directory/groups/delete Ta bort grupper i Microsoft Entra-ID.
microsoft.directory/groups/members/update Uppdatera egenskapen groups.members i Microsoft Entra-ID.
microsoft.directory/groups/owners/update Uppdatera egenskapen groups.owners i Microsoft Entra-ID.
microsoft.directory/groups/restore Återställa grupper i Microsoft Entra-ID.
microsoft.directory/groups/settings/update Uppdatera egenskapen groups.settings i Microsoft Entra-ID.

Nästa steg