Jaká jsou výchozí uživatelská oprávnění v Microsoft Entra ID?

V Microsoft Entra ID jsou všem uživatelům udělena sada výchozích oprávnění. Přístup uživatele se skládá z typu uživatele, jejich přiřazení rolí a jejich vlastnictví jednotlivých objektů.

Tento článek popisuje výchozí oprávnění a porovnává výchozí nastavení člena a uživatele typu host. Výchozí uživatelská oprávnění lze změnit pouze v uživatelských nastaveních v MICROSOFT Entra ID.

Členové a uživatelé typu host

Sada výchozích oprávnění závisí na tom, jestli je uživatel nativním členem tenanta (člena uživatele) nebo je přenesen z jiného adresáře, například hosta spolupráce B2B (business-to-business). Další informace o přidávání uživatelů typu host naleznete v tématu Co je spolupráce Microsoft Entra B2B?. Tady jsou možnosti výchozích oprávnění:

  • Členové můžou registrovat aplikace, spravovat vlastní profilové fotky a číslo mobilního telefonu, měnit vlastní heslo a pozvat hosty B2B. Tito uživatelé můžou také číst všechny informace o adresáři (s několika výjimkami).

  • Uživatelé typu host mají omezená oprávnění k adresáři. Můžou spravovat svůj vlastní profil, měnit vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.

    Například uživatelé typu host nemůžou vytvořit výčet všech uživatelů, skupin a dalších objektů adresáře. Hosty je možné přidat do rolí správce, které jim udělují úplná oprávnění ke čtení a zápisu. Hosté mohou také pozvat další hosty.

Porovnání výchozích oprávnění člena a hosta

Oblast Uživatelská oprávnění člena Výchozí uživatelská oprávnění typu host Omezená oprávnění uživatele typu host
Uživatelé a kontakty
  • Zobrazení výčtu seznamu všech uživatelů a kontaktů
  • Čtení všech veřejných vlastností uživatelů a kontaktů
  • Pozvat hosty
  • Změna vlastního hesla
  • Správa vlastního mobilního telefonního čísla
  • Správa vlastní fotky
  • Zneplatnění vlastních obnovovacích tokenů
  • Čtení vlastních vlastností
  • Čtení zobrazovaného jména, e-mailu, přihlašovacího jména, fotky, hlavního názvu uživatele a vlastností typu uživatele jiných uživatelů a kontaktů
  • Změna vlastního hesla
  • Vyhledání jiného uživatele podle ID objektu (pokud je povoleno)
  • Čtení informací o nadřízenýchach
  • Čtení vlastních vlastností
  • Změna vlastního hesla
  • Správa vlastního mobilního telefonního čísla
Skupiny
  • Vytvoření skupin zabezpečení
  • Vytvoření skupin Microsoftu 365
  • Zobrazení výčtu seznamu všech skupin
  • Čtení všech vlastností skupin
  • Čtení členství ve skupině bez skrytí
  • Čtení skrytého členství ve skupině Microsoft 365 pro připojené skupiny
  • Správa vlastností, vlastnictví a členství ve skupinách, které uživatel vlastní
  • Přidání hostů do vlastněných skupin
  • Správa nastavení členství ve skupinách
  • Odstranění vlastněných skupin
  • Obnovení vlastněných skupin Microsoftu 365
  • Čtení vlastností neskrytých skupin, včetně členství a vlastnictví (dokonce i neschválené skupiny)
  • Čtení skrytého členství ve skupině Microsoft 365 pro připojené skupiny
  • Hledání skupin podle zobrazovaného názvu nebo ID objektu (pokud je povoleno)
  • Id objektu pro připojené skupiny
  • Čtení členství a vlastnictví připojených skupin v některých aplikacích Microsoftu 365 (pokud je povoleno)
Aplikace
  • Registrace (vytvoření) nových aplikací
  • Zobrazení výčtu seznamu všech aplikací
  • Čtení vlastností registrovaných a podnikových aplikací
  • Správa vlastností aplikace, přiřazení a přihlašovacích údajů pro vlastněné aplikace
  • Vytváření nebo odstraňování hesel aplikací pro uživatele
  • Odstranění vlastněných aplikací
  • Obnovení vlastněných aplikací
  • Výpis oprávnění udělených aplikacím
  • Čtení vlastností registrovaných a podnikových aplikací
  • Výpis oprávnění udělených aplikacím
  • Čtení vlastností registrovaných a podnikových aplikací
  • Výpis oprávnění udělených aplikacím
Zařízení
  • Zobrazení výčtu seznamu všech zařízení
  • Čtení všech vlastností zařízení
  • Správa všech vlastností vlastněných zařízení
Žádná oprávnění Žádná oprávnění
Organizace
  • Čtení všech informací o společnosti
  • Čtení všech domén
  • Čtení konfigurace ověřování založeného na certifikátech
  • Čtení všech kontraktů partnerů
  • Čtení základních podrobností o víceklientských organizacích a aktivních tenantů
  • Čtení zobrazovaného názvu společnosti
  • Čtení všech domén
  • Čtení konfigurace ověřování založeného na certifikátech
  • Čtení zobrazovaného názvu společnosti
  • Čtení všech domén
Role a obory
  • Čtení všech rolí pro správu a členství
  • Čtení všech vlastností a členství v jednotkách pro správu
Žádná oprávnění Žádná oprávnění
Předplatná
  • Čtení všech předplatných licencování
  • Povolení členství v plánu služeb
Žádná oprávnění Žádná oprávnění
Politiky
  • Čtení všech vlastností zásad
  • Správa všech vlastností vlastněných zásad
Žádná oprávnění Žádná oprávnění

Omezení výchozích oprávnění uživatelů členů

K výchozím oprávněním uživatelů je možné přidat omezení.

Výchozí oprávnění pro uživatele členů můžete omezit následujícími způsoby:

Opatrnost

Použití přepínače Omezit přístup k portálu pro správu Microsoft Entra není bezpečnostní opatření. Další informace o funkcích najdete v následující tabulce.

Povolení Vysvětlení nastavení
Registrace aplikací Nastavením této možnosti na Ne zabráníte uživatelům vytvářet registrace aplikací. Potom můžete udělit možnost zpět konkrétním jednotlivcům tak, že je přidáte do role vývojáře aplikace.
Povolit uživatelům připojení pracovního nebo školního účtu s LinkedInem Nastavením této možnosti na Ne zabráníte uživatelům v připojení pracovního nebo školního účtu ke svému účtu LinkedIn. Další informace najdete v tématu Sdílení dat a souhlas připojení účtu LinkedIn.
Vytvoření skupin zabezpečení Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny zabezpečení. Tito uživatelé, kteří mají přiřazenou alespoň roli Správci uživatelů, mohou stále vytvářet skupiny zabezpečení. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Vytvoření skupin Microsoftu 365 Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny Microsoftu 365. Když tuto možnost nastavíte na Některé , umožníte skupině uživatelů vytvářet skupiny Microsoftu 365. Skupiny Microsoftu 365 můžou vytvářet všichni, kdo mají přiřazenou alespoň roli Správce uživatelů. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Omezení přístupu k portálu pro správu Microsoft Entra Co tento přepínač dělá?
Neschválíte, aby nesprávci procházeli portál pro správu Microsoft Entra.
Ano Omezuje nesprávce na portálu pro správu Microsoft Entra. Nespravující správci, kteří jsou vlastníky skupin nebo aplikací, nemůžou pomocí webu Azure Portal spravovat vlastní prostředky.

Co to nedělá?
Neomezuje přístup k datům Microsoft Entra pomocí PowerShellu, Microsoft GraphAPI nebo jiných klientů, jako je Visual Studio.
Neomezuje přístup, pokud má uživatel přiřazenou vlastní roli (nebo jakoukoli roli).

Kdy mám použít tento přepínač?
Tuto možnost použijte, pokud chcete uživatelům zabránit v nesprávné konfiguraci prostředků, které vlastní.

Kdy použít tento přepínač?
Tento přepínač nepoužívejte jako bezpečnostní opatření. Místo toho vytvořte zásadu podmíněného přístupu, která cílí na rozhraní API pro správu služeb Windows Azure, která blokuje přístup nesprávců k rozhraní API pro správu služeb Windows Azure.

Návody udělit pouze konkrétním uživatelům, kteří nejsou správci, možnost používat portál pro správu Microsoft Entra?
Nastavte tuto možnost na Ano a pak jim přiřaďte roli, jako je globální čtenář.

Omezení přístupu k portálu pro správu Microsoft Entra
Zásady podmíněného přístupu, které cílí na rozhraní API pro správu služeb Windows Azure, cílí na přístup ke všem službám Azure Management.

Omezení uživatelů, kteří nejsou správci, aby vytvářeli tenanty Uživatelé můžou vytvářet tenanty na portálu pro správu Microsoft Entra a Na portálu pro správu Microsoft Entra v části Spravovat tenanta. Vytvoření tenanta se zaznamená do protokolu auditu jako kategorie DirectoryManagement a aktivita Create Company. Každý, kdo vytvoří tenanta, se stane globálním správcem tohoto tenanta. Nově vytvořený tenant nedědí žádná nastavení ani konfigurace.

Co tento přepínač dělá?
Nastavením této možnosti na Ano omezíte vytváření tenantů Microsoft Entra na každého, kdo má přiřazenou alespoň roli Tvůrce tenanta. Nastavením této možnosti na Ne umožníte uživatelům, kteří nejsou správci, vytvářet tenanty Microsoft Entra. Vytváření tenanta se bude dál zaznamenávat v protokolu auditu.

Návody udělit pouze konkrétním uživatelům bez oprávnění správce možnost vytvářet nové tenanty?
Nastavte tuto možnost na Ano a pak jim přiřaďte roli Tvůrce tenanta.

Omezení obnovení klíčů BitLockeru pro vlastní zařízení Toto nastavení najdete v Centru pro správu Microsoft Entra v nastavení zařízení. Nastavením této možnosti na Ano omezíte uživatelům možnost samoobslužného obnovení klíčů BitLockeru pro vlastní zařízení. Uživatelé musí kontaktovat helpdesk své organizace, aby získali klíče BitLockeru. Nastavením této možnosti na Ne umožníte uživatelům obnovit klíče BitLockeru.
Čtení ostatních uživatelů Toto nastavení je dostupné jenom v Microsoft Graphu a PowerShellu. Nastavením tohoto příznaku zabráníte $false všem uživatelům, kteří nejsou správcem, číst informace o uživatelích z adresáře. Tento příznak může zabránit čtení informací o uživatelích v jiných služby Microsoft, jako je Microsoft Teams.

Toto nastavení je určené pro zvláštní okolnosti, proto nedoporučujeme nastavit příznak na $false.

Možnost Omezené uživatele bez oprávnění správce při vytváření tenantů je znázorněno na následujícím snímku obrazovky.

Snímek obrazovky znázorňující možnost Omezit uživatele bez oprávnění správce vytvářet tenanty

Omezení výchozích oprávnění uživatelů typu host

Výchozí oprávnění pro uživatele typu host můžete omezit následujícími způsoby.

Poznámka

Nastavení omezení přístupu uživatele typu host nahradilo nastavení Oprávnění uživatelů typu host je omezené . Pokyny k používání této funkce najdete v tématu Omezení oprávnění pro přístup hostů v Microsoft Entra ID.

Povolení Vysvětlení nastavení
Omezení přístupu uživatelů typu host Nastavení této možnosti pro uživatele typu host má stejný přístup jako členové uděluje všem uživatelům uživatelů typu host ve výchozím nastavení oprávnění uživatele typu host.

Nastavení této možnosti přístupu uživatelů typu host je omezeno na vlastnosti a členství vlastních objektů adresáře omezuje přístup hostů pouze na vlastní profil uživatele ve výchozím nastavení. Přístup k jiným uživatelům už není povolený, i když hledají podle hlavního názvu uživatele, ID objektu nebo zobrazovaného názvu. Přístup k informacím o skupinách, včetně členství ve skupinách, už také není povolený.

Toto nastavení nebrání přístupu k připojeným skupinám v některých službách Microsoftu 365, jako je Microsoft Teams. Další informace najdete v tématu Přístup hosta v Microsoft Teams.

Uživatelé typu host se stále dají přidávat do rolí správce bez ohledu na toto nastavení oprávnění.

Hosté mohou pozvat Nastavení této možnosti na Ano umožňuje hostům pozvat další hosty. Další informace najdete v tématu Konfigurace nastavení externí spolupráce.

Vlastnictví objektu

Oprávnění vlastníka registrace aplikace

Když uživatel zaregistruje aplikaci, automaticky se přidá jako vlastník aplikace. Jako vlastník může spravovat metadata aplikace, například název a oprávnění, která aplikace požaduje. Můžou také spravovat konfiguraci aplikace specifickou pro tenanta, například konfiguraci jednotného přihlašování (SSO) a přiřazení uživatelů.

Vlastník může také přidávat nebo odebírat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka podnikové aplikace

Když uživatel přidá novou podnikovou aplikaci, automaticky se přidá jako vlastník. Jako vlastník může spravovat konfiguraci aplikace specifickou pro tenanta, jako je konfigurace jednotného přihlašování, zřizování a přiřazení uživatelů.

Vlastník může také přidávat nebo odebírat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka skupiny

Když uživatel vytvoří skupinu, automaticky se přidá jako vlastník této skupiny. Jako vlastník může spravovat vlastnosti skupiny (například název) a spravovat členství ve skupině.

Vlastník může také přidávat nebo odebírat další vlastníky. Na rozdíl od uživatelů přiřazených alespoň roli Správce skupin můžou vlastníci spravovat jenom skupiny, které vlastní, a můžou přidávat nebo odebírat členy skupiny jenom v případě, že je přiřazen typ členství skupiny.

Pokud chcete přiřadit vlastníka skupiny, přečtěte si téma Správa vlastníků skupiny.

Pokud chcete použít Privileged Access Management (PIM) k tomu, aby skupina byla způsobilá pro přiřazení role, přečtěte si téma Použití skupin Microsoft Entra ke správě přiřazení rolí.

Oprávnění k vlastnictví

Následující tabulky popisují konkrétní oprávnění v Microsoft Entra ID, která členové uživatelé mají nad objekty. Uživatelé mají tato oprávnění pouze pro objekty, které vlastní.

Registrace vlastněných aplikací

Uživatelé můžou při registraci vlastněných aplikací provádět následující akce:

Akce Popis
microsoft.directory/applications/audience/update Aktualizujte applications.audience vlastnost v Microsoft Entra ID.
microsoft.directory/applications/authentication/update Aktualizujte applications.authentication vlastnost v Microsoft Entra ID.
microsoft.directory/applications/basic/update Aktualizujte základní vlastnosti aplikací v Microsoft Entra ID.
microsoft.directory/applications/credentials/update Aktualizujte applications.credentials vlastnost v Microsoft Entra ID.
microsoft.directory/applications/delete Odstraňte aplikace v Microsoft Entra ID.
microsoft.directory/applications/owners/update Aktualizujte applications.owners vlastnost v Microsoft Entra ID.
microsoft.directory/applications/permissions/update Aktualizujte applications.permissions vlastnost v Microsoft Entra ID.
microsoft.directory/applications/policies/update Aktualizujte applications.policies vlastnost v Microsoft Entra ID.
microsoft.directory/applications/restore Obnovte aplikace v Microsoft Entra ID.

Vlastněné podnikové aplikace

Uživatelé můžou s podnikovými aplikacemi ve vlastnictví provádět následující akce. Podniková aplikace se skládá z instančního objektu, jedné nebo více zásad aplikace a někdy objektu aplikace ve stejném tenantovi jako instanční objekt.

Akce Popis
microsoft.directory/auditLogs/allProperties/read Přečtěte si všechny vlastnosti (včetně privilegovaných vlastností) v protokolech auditu v ID Microsoft Entra.
microsoft.directory/policies/basic/update Aktualizujte základní vlastnosti zásad v Microsoft Entra ID.
microsoft.directory/policies/delete Odstraňte zásady v Microsoft Entra ID.
microsoft.directory/policies/owners/update Aktualizujte policies.owners vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizujte servicePrincipals.appRoleAssignedTo vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update Aktualizujte users.appRoleAssignments vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update Aktualizujte servicePrincipals.audience vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update Aktualizujte servicePrincipals.authentication vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update Aktualizujte základní vlastnosti instančních objektů v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/credentials/update Aktualizujte servicePrincipals.credentials vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete Odstraňte instanční objekty v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/owners/update Aktualizujte servicePrincipals.owners vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update Aktualizujte servicePrincipals.permissions vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update Aktualizujte servicePrincipals.policies vlastnost v Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) v sestavách přihlašování v Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu

Vlastněná zařízení

Uživatelé můžou na vlastněných zařízeních provádět následující akce:

Akce Popis
microsoft.directory/devices/bitLockerRecoveryKeys/read Přečtěte si devices.bitLockerRecoveryKeys vlastnost v Microsoft Entra ID.
microsoft.directory/devices/disable Zakažte zařízení v Microsoft Entra ID.

Vlastněné skupiny

Uživatelé můžou ve vlastněných skupinách provádět následující akce.

Poznámka

Vlastníci dynamických skupin členství musí mít roli Správce skupin, Správce Intune nebo Správce uživatelů, aby mohli upravovat pravidla pro dynamické skupiny členství. Další informace naleznete v tématu Vytvoření nebo aktualizace dynamické členství ve skupině Microsoft Entra ID.

Akce Popis
microsoft.directory/groups/appRoleAssignments/update Aktualizujte groups.appRoleAssignments vlastnost v Microsoft Entra ID.
microsoft.directory/groups/basic/update Aktualizujte základní vlastnosti pro skupiny v Microsoft Entra ID.
microsoft.directory/groups/delete Odstraňte skupiny v Microsoft Entra ID.
microsoft.directory/groups/members/update Aktualizujte groups.members vlastnost v Microsoft Entra ID.
microsoft.directory/groups/owners/update Aktualizujte groups.owners vlastnost v Microsoft Entra ID.
microsoft.directory/groups/restore Obnovte skupiny v Microsoft Entra ID.
microsoft.directory/groups/settings/update Aktualizujte groups.settings vlastnost v Microsoft Entra ID.

Další kroky