Restringir permissões de acesso de convidado no Microsoft Entra ID

  • Artigo

O Microsoft Entra ID, parte do Microsoft Entra, permite restringir o que os usuários convidados externos podem ver em sua organização no Microsoft Entra ID. Os usuários convidados são definidos como um nível de permissão limitado por padrão no Microsoft Entra ID, enquanto o padrão para usuários membros é o conjunto completo de permissões de usuário. Há outro nível de permissão de usuário convidado nas configurações de colaboração externa da sua organização do Microsoft Entra para acesso ainda mais restrito, de modo que os níveis de acesso de convidado sejam:

Nível de permissão Nível de acesso Value
Igual aos utilizadores membros Os convidados têm o mesmo acesso aos recursos do Microsoft Entra que os usuários membros A0B1B346-4D3E-4E8B-98F8-753987BE4970
Acesso limitado (predefinição) Os hóspedes podem ver a associação de todos os grupos não ocultos 10DAE51F-B6AF-4016-8D66-8C2A99B929B3
Acesso restrito (novo) Os hóspedes não podem ver a participação em nenhum grupo 2AF84B1E-32C8-42B7-82BC-DAA82404023B

Quando o acesso de convidado é restringido, os convidados só podem ver o seu próprio perfil de utilizador. A permissão para ver outros utilizadores não é permitida, mesmo que o convidado esteja a procurar por Nome Principal de Utilizador ou objectId. O acesso restringido também impede os utilizadores convidados de ver a adesão a grupos em que estão. Para obter mais informações sobre as permissões gerais de usuário padrão, incluindo permissões de usuário convidado, consulte Quais são as permissões de usuário padrão no Microsoft Entra ID?.

Atualizar no portal do Azure

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Fizemos alterações nos controles existentes do portal do Azure para permissões de usuário convidado.

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. Selecione Identidades>externas.

  3. Selecione Configurações de colaboração externa.

  4. Na página Configurações de colaboração externa, selecione Acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório.

    Captura de ecrã da página de definições de colaboração externa do Microsoft Entra.

  5. Selecione Guardar. As alterações podem levar até 15 minutos para entrar em vigor para usuários convidados.

Atualizar com a API do Microsoft Graph

Adicionamos uma nova API do Microsoft Graph para configurar permissões de convidado em sua organização do Microsoft Entra. As chamadas de API a seguir podem ser feitas para atribuir qualquer nível de permissão. O valor para guestUserRoleId usado aqui é para ilustrar a configuração de usuário convidado mais restrita. Para obter mais informações sobre como usar o Microsoft Graph para definir permissões de convidado, consulte authorizationPolicy Tipo de recurso.

Configurando pela primeira vez

POST https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

A resposta deve ser Sucesso 204.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Atualizando o valor existente

PATCH https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

{
  "guestUserRoleId": "2af84b1e-32c8-42b7-82bc-daa82404023b"
}

A resposta deve ser Sucesso 204.

Ver o valor atual

GET https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

Resposta de exemplo:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authorizationPolicy/$entity",
    "id": "authorizationPolicy",
    "displayName": "Authorization Policy",
    "description": "Used to manage authorization related settings across the company.",
    "enabledPreviewFeatures": [],
    "guestUserRoleId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "permissionGrantPolicyIdsAssignedToDefaultUserRole": [
        "user-default-legacy"
    ]
}

Atualizar com cmdlets do PowerShell

Com esse recurso, adicionamos a capacidade de configurar as permissões restritas por meio de cmdlets do PowerShell v2. Obter e atualizar cmdlets do PowerShell foram publicados na versão 2.0.2.85.

Obter comando: Get-MgPolicyAuthorizationPolicy

Exemplo:

Get-MgPolicyAuthorizationPolicy | Format-List

AllowEmailVerifiedUsersToJoinOrganization : True
AllowInvitesFrom                          : everyone
AllowUserConsentForRiskyApps              :
AllowedToSignUpEmailBasedSubscriptions    : True
AllowedToUseSspr                          : True
BlockMsolPowerShell                       : False
DefaultUserRolePermissions                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDefaultUserRolePermissions
DeletedDateTime                           :
Description                               : Used to manage authorization related settings across the company.
DisplayName                               : Authorization Policy
GuestUserRoleId                           : 10dae51f-b6af-4016-8d66-8c2a99b929b3
Id                                        : authorizationPolicy
AdditionalProperties                      : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/authorizationPolicy/$entity]}

Comando Update: Update-MgPolicyAuthorizationPolicy

Exemplo:

Update-MgPolicyAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'

Serviços Microsoft 365 suportados

Serviços suportados

Por apoiado, queremos dizer que a experiência é a esperada; especificamente, que é o mesmo que a experiência atual do hóspede.

  • Teams
  • Perspetivas (OWA)
  • SharePoint
  • Planejador em Equipes
  • Aplicativo móvel do Planner
  • Aplicativo Web do Planejador
  • Projeto para a Web
  • Operações do Projeto

Serviços atualmente não suportados

O serviço sem suporte atual pode ter problemas de compatibilidade com a nova configuração de restrição de convidado.

  • Formulários
  • Project Online
  • Yammer
  • Planejador no SharePoint

Perguntas mais frequentes (FAQ)

Pergunta Resposta
Onde essas permissões se aplicam? Essas permissões de nível de diretório são impostas nos serviços do Microsoft Entra, incluindo o Microsoft Graph, o PowerShell v2, o portal do Azure e o portal Meus Aplicativos. Os serviços do Microsoft 365 que utilizam grupos do Microsoft 365 para cenários de colaboração também são afetados, especificamente o Outlook, o Microsoft Teams e o SharePoint.
Como as permissões restritas afetam quais grupos os hóspedes podem ver? Independentemente das permissões de convidado padrão ou restritas, os convidados não podem enumerar a lista de grupos ou usuários. Os convidados podem ver os grupos dos quais são membros no portal do Azure e no portal Meus Aplicativos, dependendo das permissões:
  • Permissões padrão: para localizar os grupos dos quais são membros no portal do Azure, o convidado deve procurar sua ID de objeto na lista Todos os usuários e selecionar Grupos. Aqui eles podem ver a lista de grupos dos quais são membros, incluindo todos os detalhes do grupo, incluindo nome, e-mail e assim por diante. No portal Meus Aplicativos, eles podem ver uma lista de grupos que possuem e grupos em que estão.
  • Permissões de convidado restritas: no portal do Azure, eles podem encontrar a lista de grupos em que estão pesquisando sua ID de objeto na lista Todos os usuários e selecionando Grupos. Eles podem ver apenas detalhes limitados sobre o grupo, principalmente o ID do objeto. Por design, as colunas Nome e Email estão em branco e Tipo de Grupo não é reconhecido. No portal Meus Aplicativos, eles não conseguem acessar a lista de grupos que possuem ou dos quais são membros.

Para obter uma comparação mais detalhada das permissões de diretório provenientes da API do Graph, consulte Permissões de usuário padrão.
Quais partes do portal Meus Aplicativos esse recurso afetará? A funcionalidade de grupos no portal Meus Aplicativos honrará essas novas permissões. Essa funcionalidade inclui todos os caminhos para exibir a lista de grupos e as associações de grupo em Meus Aplicativos. Não foram feitas alterações na disponibilidade de blocos do grupo. A disponibilidade do bloco de grupo ainda é controlada pela configuração de grupo existente no portal do Azure.
Essas permissões substituem as configurações de convidado do SharePoint ou do Microsoft Teams? N.º Essas configurações existentes ainda controlam a experiência e o acesso nesses aplicativos. Por exemplo, se vir problemas no SharePoint, verifique novamente as suas definições de partilha externa. Os convidados adicionados pelos proprietários da equipe no nível da equipe têm acesso ao bate-papo da reunião do canal apenas para canais padrão, excluindo quaisquer canais privados e compartilhados.
Quais são os problemas de compatibilidade conhecidos no Yammer? Com as permissões definidas como "restritas", os convidados com sessão iniciada no Yammer não poderão sair do grupo.
As minhas permissões de hóspede existentes serão alteradas no meu inquilino? Não foram feitas alterações nas suas configurações atuais. Mantemos a retrocompatibilidade com as suas configurações existentes. Você decide quando deseja fazer alterações.
Essas permissões serão definidas por padrão? N.º As permissões padrão existentes permanecem inalteradas. Opcionalmente, você pode definir as permissões para serem mais restritivas.
Existem requisitos de licença para este recurso? Não, não existem novos requisitos de licenciamento com esta funcionalidade.

Próximos passos