Jaká jsou výchozí uživatelská oprávnění v Microsoft Entra ID?

Článek
08/23/2024

V Microsoft Entra ID jsou všem uživatelům udělena sada výchozích oprávnění. Přístup uživatele se skládá z typu uživatele, jejich přiřazení rolí a jejich vlastnictví jednotlivých objektů.

Tento článek popisuje výchozí oprávnění a porovnává výchozí nastavení člena a uživatele typu host. Výchozí uživatelská oprávnění lze změnit pouze v uživatelských nastaveních v MICROSOFT Entra ID.

Členové a uživatelé typu host

Sada výchozích oprávnění závisí na tom, jestli je uživatel nativním členem tenanta (člena uživatele) nebo je přenesen z jiného adresáře, například hosta spolupráce B2B (business-to-business). Další informace o přidávání uživatelů typu host naleznete v tématu Co je spolupráce Microsoft Entra B2B?. Tady jsou možnosti výchozích oprávnění:

Členové můžou registrovat aplikace, spravovat vlastní profilové fotky a číslo mobilního telefonu, měnit vlastní heslo a pozvat hosty B2B. Tito uživatelé můžou také číst všechny informace o adresáři (s několika výjimkami).
Uživatelé typu host mají omezená oprávnění k adresáři. Můžou spravovat svůj vlastní profil, měnit vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.

Například uživatelé typu host nemůžou vytvořit výčet všech uživatelů, skupin a dalších objektů adresáře. Hosty je možné přidat do rolí správce, které jim udělují úplná oprávnění ke čtení a zápisu. Hosté mohou také pozvat další hosty.

Porovnání výchozích oprávnění člena a hosta

Oblast	Uživatelská oprávnění člena	Výchozí uživatelská oprávnění typu host	Omezená oprávnění uživatele typu host
Uživatelé a kontakty	Zobrazení výčtu seznamu všech uživatelů a kontaktů Čtení všech veřejných vlastností uživatelů a kontaktů Pozvat hosty Změna vlastního hesla Správa vlastního mobilního telefonního čísla Správa vlastní fotky Zneplatnění vlastních obnovovacích tokenů	Čtení vlastních vlastností Čtení zobrazovaného jména, e-mailu, přihlašovacího jména, fotky, hlavního názvu uživatele a vlastností typu uživatele jiných uživatelů a kontaktů Změna vlastního hesla Vyhledání jiného uživatele podle ID objektu (pokud je povoleno) Čtení informací o nadřízenýchach	Čtení vlastních vlastností Změna vlastního hesla Správa vlastního mobilního telefonního čísla
Skupiny	Vytvoření skupin zabezpečení Vytvoření skupin Microsoftu 365 Zobrazení výčtu seznamu všech skupin Čtení všech vlastností skupin Čtení členství ve skupině bez skrytí Čtení skrytého členství ve skupině Microsoft 365 pro připojené skupiny Správa vlastností, vlastnictví a členství ve skupinách, které uživatel vlastní Přidání hostů do vlastněných skupin Správa nastavení členství ve skupinách Odstranění vlastněných skupin Obnovení vlastněných skupin Microsoftu 365	Čtení vlastností neskrytých skupin, včetně členství a vlastnictví (dokonce i neschválené skupiny) Čtení skrytého členství ve skupině Microsoft 365 pro připojené skupiny Hledání skupin podle zobrazovaného názvu nebo ID objektu (pokud je povoleno)	Id objektu pro připojené skupiny Čtení členství a vlastnictví připojených skupin v některých aplikacích Microsoftu 365 (pokud je povoleno)
Aplikace	Registrace (vytvoření) nových aplikací Zobrazení výčtu seznamu všech aplikací Čtení vlastností registrovaných a podnikových aplikací Správa vlastností aplikace, přiřazení a přihlašovacích údajů pro vlastněné aplikace Vytváření nebo odstraňování hesel aplikací pro uživatele Odstranění vlastněných aplikací Obnovení vlastněných aplikací Výpis oprávnění udělených aplikacím	Čtení vlastností registrovaných a podnikových aplikací Výpis oprávnění udělených aplikacím	Čtení vlastností registrovaných a podnikových aplikací Výpis oprávnění udělených aplikacím
Zařízení	Zobrazení výčtu seznamu všech zařízení Čtení všech vlastností zařízení Správa všech vlastností vlastněných zařízení	Žádná oprávnění	Žádná oprávnění
Organizace	Čtení všech informací o společnosti Čtení všech domén Čtení konfigurace ověřování založeného na certifikátech Čtení všech kontraktů partnerů Čtení základních podrobností o víceklientských organizacích a aktivních tenantů	Čtení zobrazovaného názvu společnosti Čtení všech domén Čtení konfigurace ověřování založeného na certifikátech	Čtení zobrazovaného názvu společnosti Čtení všech domén
Role a obory	Čtení všech rolí pro správu a členství Čtení všech vlastností a členství v jednotkách pro správu	Žádná oprávnění	Žádná oprávnění
Předplatná	Čtení všech předplatných licencování Povolení členství v plánu služeb	Žádná oprávnění	Žádná oprávnění
Politiky	Čtení všech vlastností zásad Správa všech vlastností vlastněných zásad	Žádná oprávnění	Žádná oprávnění

Omezení výchozích oprávnění uživatelů členů

K výchozím oprávněním uživatelů je možné přidat omezení.

Výchozí oprávnění pro uživatele členů můžete omezit následujícími způsoby:

Opatrnost

Použití přepínače Omezit přístup k portálu pro správu Microsoft Entra není bezpečnostní opatření. Další informace o funkcích najdete v následující tabulce.

Povolení	Vysvětlení nastavení
Registrace aplikací	Nastavením této možnosti na Ne zabráníte uživatelům vytvářet registrace aplikací. Potom můžete udělit možnost zpět konkrétním jednotlivcům tak, že je přidáte do role vývojáře aplikace.
Povolit uživatelům připojení pracovního nebo školního účtu s LinkedInem	Nastavením této možnosti na Ne zabráníte uživatelům v připojení pracovního nebo školního účtu ke svému účtu LinkedIn. Další informace najdete v tématu Sdílení dat a souhlas připojení účtu LinkedIn.
Vytvoření skupin zabezpečení	Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny zabezpečení. Tito uživatelé, kteří mají přiřazenou alespoň roli Správci uživatelů, mohou stále vytvářet skupiny zabezpečení. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Vytvoření skupin Microsoftu 365	Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny Microsoftu 365. Když tuto možnost nastavíte na Některé , umožníte skupině uživatelů vytvářet skupiny Microsoftu 365. Skupiny Microsoftu 365 můžou vytvářet všichni, kdo mají přiřazenou alespoň roli Správce uživatelů. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny.
Omezení přístupu k portálu pro správu Microsoft Entra	Co tento přepínač dělá? Neschválíte, aby nesprávci procházeli portál pro správu Microsoft Entra. Ano Omezuje nesprávce na portálu pro správu Microsoft Entra. Nespravující správci, kteří jsou vlastníky skupin nebo aplikací, nemůžou pomocí webu Azure Portal spravovat vlastní prostředky. Co to nedělá? Neomezuje přístup k datům Microsoft Entra pomocí PowerShellu, Microsoft GraphAPI nebo jiných klientů, jako je Visual Studio. Neomezuje přístup, pokud má uživatel přiřazenou vlastní roli (nebo jakoukoli roli). Kdy mám použít tento přepínač? Tuto možnost použijte, pokud chcete uživatelům zabránit v nesprávné konfiguraci prostředků, které vlastní. Kdy použít tento přepínač? Tento přepínač nepoužívejte jako bezpečnostní opatření. Místo toho vytvořte zásadu podmíněného přístupu, která cílí na rozhraní API pro správu služeb Windows Azure, která blokuje přístup nesprávců k rozhraní API pro správu služeb Windows Azure. Návody udělit pouze konkrétním uživatelům, kteří nejsou správci, možnost používat portál pro správu Microsoft Entra? Nastavte tuto možnost na Ano a pak jim přiřaďte roli, jako je globální čtenář. Omezení přístupu k portálu pro správu Microsoft Entra Zásady podmíněného přístupu, které cílí na rozhraní API pro správu služeb Windows Azure, cílí na přístup ke všem službám Azure Management.
Omezení uživatelů, kteří nejsou správci, aby vytvářeli tenanty	Uživatelé můžou vytvářet tenanty na portálu pro správu Microsoft Entra a Na portálu pro správu Microsoft Entra v části Spravovat tenanta. Vytvoření tenanta se zaznamená do protokolu auditu jako kategorie DirectoryManagement a aktivita Create Company. Každý, kdo vytvoří tenanta, se stane globálním správcem tohoto tenanta. Nově vytvořený tenant nedědí žádná nastavení ani konfigurace. Co tento přepínač dělá? Nastavením této možnosti na Ano omezíte vytváření tenantů Microsoft Entra na každého, kdo má přiřazenou alespoň roli Tvůrce tenanta. Nastavením této možnosti na Ne umožníte uživatelům, kteří nejsou správci, vytvářet tenanty Microsoft Entra. Vytváření tenanta se bude dál zaznamenávat v protokolu auditu. Návody udělit pouze konkrétním uživatelům bez oprávnění správce možnost vytvářet nové tenanty? Nastavte tuto možnost na Ano a pak jim přiřaďte roli Tvůrce tenanta.
Omezení obnovení klíčů BitLockeru pro vlastní zařízení	Toto nastavení najdete v Centru pro správu Microsoft Entra v nastavení zařízení. Nastavením této možnosti na Ano omezíte uživatelům možnost samoobslužného obnovení klíčů BitLockeru pro vlastní zařízení. Uživatelé musí kontaktovat helpdesk své organizace, aby získali klíče BitLockeru. Nastavením této možnosti na Ne umožníte uživatelům obnovit klíče BitLockeru.
Čtení ostatních uživatelů	Toto nastavení je dostupné jenom v Microsoft Graphu a PowerShellu. Nastavením tohoto příznaku zabráníte `$false` všem uživatelům, kteří nejsou správcem, číst informace o uživatelích z adresáře. Tento příznak může zabránit čtení informací o uživatelích v jiných služby Microsoft, jako je Microsoft Teams. Toto nastavení je určené pro zvláštní okolnosti, proto nedoporučujeme nastavit příznak na `$false`.

Možnost Omezené uživatele bez oprávnění správce při vytváření tenantů je znázorněno na následujícím snímku obrazovky.

Omezení výchozích oprávnění uživatelů typu host

Výchozí oprávnění pro uživatele typu host můžete omezit následujícími způsoby.

Poznámka

Nastavení omezení přístupu uživatele typu host nahradilo nastavení Oprávnění uživatelů typu host je omezené . Pokyny k používání této funkce najdete v tématu Omezení oprávnění pro přístup hostů v Microsoft Entra ID.

Povolení	Vysvětlení nastavení
Omezení přístupu uživatelů typu host	Nastavení této možnosti pro uživatele typu host má stejný přístup jako členové uděluje všem uživatelům uživatelů typu host ve výchozím nastavení oprávnění uživatele typu host. Nastavení této možnosti přístupu uživatelů typu host je omezeno na vlastnosti a členství vlastních objektů adresáře omezuje přístup hostů pouze na vlastní profil uživatele ve výchozím nastavení. Přístup k jiným uživatelům už není povolený, i když hledají podle hlavního názvu uživatele, ID objektu nebo zobrazovaného názvu. Přístup k informacím o skupinách, včetně členství ve skupinách, už také není povolený. Toto nastavení nebrání přístupu k připojeným skupinám v některých službách Microsoftu 365, jako je Microsoft Teams. Další informace najdete v tématu Přístup hosta v Microsoft Teams. Uživatelé typu host se stále dají přidávat do rolí správce bez ohledu na toto nastavení oprávnění.
Hosté mohou pozvat	Nastavení této možnosti na Ano umožňuje hostům pozvat další hosty. Další informace najdete v tématu Konfigurace nastavení externí spolupráce.

Povolení

Vysvětlení nastavení

Omezení přístupu uživatelů typu host

Nastavení této možnosti pro uživatele typu host má stejný přístup jako členové uděluje všem uživatelům uživatelů typu host ve výchozím nastavení oprávnění uživatele typu host.

Nastavení této možnosti přístupu uživatelů typu host je omezeno na vlastnosti a členství vlastních objektů adresáře omezuje přístup hostů pouze na vlastní profil uživatele ve výchozím nastavení. Přístup k jiným uživatelům už není povolený, i když hledají podle hlavního názvu uživatele, ID objektu nebo zobrazovaného názvu. Přístup k informacím o skupinách, včetně členství ve skupinách, už také není povolený.

Toto nastavení nebrání přístupu k připojeným skupinám v některých službách Microsoftu 365, jako je Microsoft Teams. Další informace najdete v tématu Přístup hosta v Microsoft Teams.

Uživatelé typu host se stále dají přidávat do rolí správce bez ohledu na toto nastavení oprávnění.

Hosté mohou pozvat

Nastavení této možnosti na Ano umožňuje hostům pozvat další hosty. Další informace najdete v tématu Konfigurace nastavení externí spolupráce.

Vlastnictví objektu

Oprávnění vlastníka registrace aplikace

Když uživatel zaregistruje aplikaci, automaticky se přidá jako vlastník aplikace. Jako vlastník může spravovat metadata aplikace, například název a oprávnění, která aplikace požaduje. Můžou také spravovat konfiguraci aplikace specifickou pro tenanta, například konfiguraci jednotného přihlašování (SSO) a přiřazení uživatelů.

Vlastník může také přidávat nebo odebírat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.

Oprávnění vlastníka podnikové aplikace

Když uživatel přidá novou podnikovou aplikaci, automaticky se přidá jako vlastník. Jako vlastník může spravovat konfiguraci aplikace specifickou pro tenanta, jako je konfigurace jednotného přihlašování, zřizování a přiřazení uživatelů.

Oprávnění vlastníka skupiny

Když uživatel vytvoří skupinu, automaticky se přidá jako vlastník této skupiny. Jako vlastník může spravovat vlastnosti skupiny (například název) a spravovat členství ve skupině.

Vlastník může také přidávat nebo odebírat další vlastníky. Na rozdíl od uživatelů přiřazených alespoň roli Správce skupin můžou vlastníci spravovat jenom skupiny, které vlastní, a můžou přidávat nebo odebírat členy skupiny jenom v případě, že je přiřazen typ členství skupiny.

Pokud chcete přiřadit vlastníka skupiny, přečtěte si téma Správa vlastníků skupiny.

Pokud chcete použít Privileged Access Management (PIM) k tomu, aby skupina byla způsobilá pro přiřazení role, přečtěte si téma Použití skupin Microsoft Entra ke správě přiřazení rolí.

Oprávnění k vlastnictví

Následující tabulky popisují konkrétní oprávnění v Microsoft Entra ID, která členové uživatelé mají nad objekty. Uživatelé mají tato oprávnění pouze pro objekty, které vlastní.

Registrace vlastněných aplikací

Uživatelé můžou při registraci vlastněných aplikací provádět následující akce:

Akce	Popis
microsoft.directory/applications/audience/update	Aktualizujte `applications.audience` vlastnost v Microsoft Entra ID.
microsoft.directory/applications/authentication/update	Aktualizujte `applications.authentication` vlastnost v Microsoft Entra ID.
microsoft.directory/applications/basic/update	Aktualizujte základní vlastnosti aplikací v Microsoft Entra ID.
microsoft.directory/applications/credentials/update	Aktualizujte `applications.credentials` vlastnost v Microsoft Entra ID.
microsoft.directory/applications/delete	Odstraňte aplikace v Microsoft Entra ID.
microsoft.directory/applications/owners/update	Aktualizujte `applications.owners` vlastnost v Microsoft Entra ID.
microsoft.directory/applications/permissions/update	Aktualizujte `applications.permissions` vlastnost v Microsoft Entra ID.
microsoft.directory/applications/policies/update	Aktualizujte `applications.policies` vlastnost v Microsoft Entra ID.
microsoft.directory/applications/restore	Obnovte aplikace v Microsoft Entra ID.

Vlastněné podnikové aplikace

Uživatelé můžou s podnikovými aplikacemi ve vlastnictví provádět následující akce. Podniková aplikace se skládá z instančního objektu, jedné nebo více zásad aplikace a někdy objektu aplikace ve stejném tenantovi jako instanční objekt.

Akce	Popis
microsoft.directory/auditLogs/allProperties/read	Přečtěte si všechny vlastnosti (včetně privilegovaných vlastností) v protokolech auditu v ID Microsoft Entra.
microsoft.directory/policies/basic/update	Aktualizujte základní vlastnosti zásad v Microsoft Entra ID.
microsoft.directory/policies/delete	Odstraňte zásady v Microsoft Entra ID.
microsoft.directory/policies/owners/update	Aktualizujte `policies.owners` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aktualizujte `servicePrincipals.appRoleAssignedTo` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/appRoleAssignments/update	Aktualizujte `users.appRoleAssignments` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/audience/update	Aktualizujte `servicePrincipals.audience` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/authentication/update	Aktualizujte `servicePrincipals.authentication` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/basic/update	Aktualizujte základní vlastnosti instančních objektů v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/credentials/update	Aktualizujte `servicePrincipals.credentials` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/delete	Odstraňte instanční objekty v MICROSOFT Entra ID.
microsoft.directory/servicePrincipals/owners/update	Aktualizujte `servicePrincipals.owners` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/permissions/update	Aktualizujte `servicePrincipals.permissions` vlastnost v Microsoft Entra ID.
microsoft.directory/servicePrincipals/policies/update	Aktualizujte `servicePrincipals.policies` vlastnost v Microsoft Entra ID.
microsoft.directory/signInReports/allProperties/read	Čtení všech vlastností (včetně privilegovaných vlastností) v sestavách přihlašování v Microsoft Entra ID.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization/standard/read	Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu

Vlastněná zařízení

Uživatelé můžou na vlastněných zařízeních provádět následující akce:

Akce	Popis
microsoft.directory/devices/bitLockerRecoveryKeys/read	Přečtěte si `devices.bitLockerRecoveryKeys` vlastnost v Microsoft Entra ID.
microsoft.directory/devices/disable	Zakažte zařízení v Microsoft Entra ID.

Vlastněné skupiny

Uživatelé můžou ve vlastněných skupinách provádět následující akce.