Bagikan melalui

Apa saja izin pengguna default di MICROSOFT Entra ID?

  • Artikel

Di ID Microsoft Entra, semua pengguna diberi sekumpulan izin default. Akses pengguna terdiri dari jenis pengguna, penetapan peran, dan kepemilikan objek individu.

Artikel ini menjelaskan izin default tersebut dan membandingkan default pengguna anggota dan tamu. Izin pengguna default hanya dapat diubah di pengaturan pengguna di ID Microsoft Entra.

Pengguna anggota dan tamu

Kumpulan izin default tergantung pada apakah pengguna adalah anggota asli penyewa (pengguna anggota) atau dibawa dari direktori lain, seperti tamu kolaborasi business-to-business (B2B) (pengguna tamu). Untuk informasi selengkapnya tentang menambahkan pengguna tamu, lihat Apa itu kolaborasi Microsoft Entra B2B?. Berikut adalah kemampuan izin default:

  • Pengguna anggota dapat mendaftarkan aplikasi, mengelola foto profil dan nomor ponsel mereka sendiri, mengubah kata sandi mereka sendiri, dan mengundang tamu B2B. Pengguna ini juga dapat membaca semua informasi direktori (dengan beberapa pengecualian).

  • Pengguna tamu memiliki izin direktori terbatas. Mereka dapat mengelola profil mereka sendiri, mengubah kata sandi mereka sendiri, dan mengambil beberapa informasi tentang pengguna, grup, dan aplikasi lain. Namun, mereka tidak dapat membaca semua informasi direktori.

    Misalnya, pengguna tamu tidak dapat menghitung daftar semua pengguna, grup, dan objek direktori lainnya. Tamu dapat ditambahkan ke peran administrator, yang memberi mereka izin baca dan tulis penuh. Anda juga dapat mengundang tamu lain.

Membandingkan izin default anggota dan tamu

Area Izin pengguna anggota Izin pengguna tamu default Izin pengguna tamu terbatas
Pengguna dan kontak
  • Hitung daftar semua pengguna dan kontak
  • Membaca semua properti publik pengguna dan kontak
  • Mengundang tamu
  • Ubah kata sandi mereka sendiri
  • Kelola nomor ponsel mereka sendiri
  • Kelola foto mereka sendiri
  • Batalkan token refresh mereka sendiri
  • Baca properti mereka sendiri
  • Baca nama tampilan, email, nama masuk, foto, nama prinsipal pengguna, dan properti tipe pengguna dari pengguna dan kontak lain
  • Ubah kata sandi mereka sendiri
  • Cari pengguna lain berdasarkan ID objek (jika diizinkan)
  • Membaca manajer dan informasi laporan langsung pengguna lain
  • Baca properti mereka sendiri
  • Ubah kata sandi mereka sendiri
  • Kelola nomor ponsel mereka sendiri
Grup
  • Membuat grup keamanan
  • Membuat grup Microsoft 365
  • Hitung daftar semua grup
  • Membaca semua properti grup
  • Membaca keanggotaan grup nonhidden
  • Membaca keanggotaan grup Microsoft 365 tersembunyi untuk grup yang bergabung
  • Kelola properti, kepemilikan, dan keanggotaan grup yang dimiliki pengguna
  • Menambahkan tamu ke grup yang dimiliki
  • Mengelola pengaturan keanggotaan grup
  • Menghapus grup yang dimiliki
  • Memulihkan grup Microsoft 365 yang dimiliki
  • Membaca properti grup nonhidden, termasuk keanggotaan dan kepemilikan (bahkan grup yang tidak bergabung)
  • Membaca keanggotaan grup Microsoft 365 tersembunyi untuk grup yang bergabung
  • Cari grup berdasarkan nama tampilan atau ID objek (jika diizinkan)
  • Baca ID objek untuk grup yang bergabung
  • Membaca keanggotaan dan kepemilikan grup yang bergabung di beberapa aplikasi Microsoft 365 (jika diizinkan)
Aplikasi
  • Daftarkan (buat) aplikasi baru
  • Hitung daftar semua aplikasi
  • Membaca properti aplikasi terdaftar dan perusahaan
  • Mengelola properti aplikasi, tugas, dan kredensial untuk aplikasi yang dimiliki
  • Buat atau hapus kata sandi aplikasi untuk pengguna
  • Menghapus aplikasi yang dimiliki
  • Memulihkan aplikasi yang dimiliki
  • Mencantumkan izin yang diberikan ke aplikasi
  • Membaca properti aplikasi terdaftar dan perusahaan
  • Mencantumkan izin yang diberikan ke aplikasi
  • Membaca properti aplikasi terdaftar dan perusahaan
  • Mencantumkan izin yang diberikan ke aplikasi
Perangkat
  • Hitung daftar semua perangkat
  • Membaca semua properti perangkat
  • Mengelola semua properti perangkat yang dimiliki
 Tidak ada izin Tidak ada izin
Organization
  • Membaca semua informasi perusahaan
  • Menampilkan semua domain
  • Membaca konfigurasi autentikasi berbasis sertifikat
  • Membaca semua kontrak mitra
  • Membaca detail dasar organisasi multipenyewa dan penyewa aktif
  • Membaca nama tampilan perusahaan
  • Menampilkan semua domain
  • Membaca konfigurasi autentikasi berbasis sertifikat
  • Membaca nama tampilan perusahaan
  • Menampilkan semua domain
Peran dan ruang lingkup
  • Membaca semua peran dan keanggotaan administratif
  • Membaca semua properti dan keanggotaan unit administratif
 Tidak ada izin Tidak ada izin
Langganan
  • Membaca semua langganan lisensi
  • Aktifkan keanggotaan paket layanan
 Tidak ada izin Tidak ada izin
Kebijakan
  • Membaca semua properti kebijakan
  • Kelola semua properti dari kebijakan yang dimiliki
 Tidak ada izin Tidak ada izin
Ketentuan penggunaan Membaca ketentuan penggunaan yang telah diterima pengguna. Membaca ketentuan penggunaan yang telah diterima pengguna. Membaca ketentuan penggunaan yang telah diterima pengguna.

Batasi izin default pengguna anggota

Anda dapat menambahkan batasan ke izin default pengguna.

Anda dapat membatasi izin default untuk pengguna anggota dengan cara berikut:

Perhatian

Menggunakan pengalih Batasi akses ke portal administrasi Microsoft Entra BUKAN ukuran keamanan. Untuk informasi selengkapnya tentang fungsionalitas, lihat tabel berikut ini.

Izin Penjelasan pengaturan
Mendaftarkan aplikasi Mengatur opsi ini ke Tidak akan mencegah pengguna membuat pendaftaran aplikasi. Anda kemudian dapat memberikan kemampuan kembali ke individu tertentu, dengan menambahkannya ke peran pengembang aplikasi.
Mengizinkan pengguna untuk menyambungkan akun kerja atau sekolah dengan LinkedIn Mengatur opsi ini ke Tidak akan mencegah pengguna menghubungkan akun kerja atau sekolah mereka dengan akun LinkedIn mereka. Untuk informasi selengkapnya, lihat Berbagi data koneksi akun LinkedIn dan persetujuan.
Membuat grup keamanan Mengatur opsi ini ke Tidak akan mencegah pengguna membuat kelompok keamanan. Pengguna yang ditetapkan setidaknya peran Administrator Pengguna masih dapat membuat grup keamanan. Untuk mempelajari caranya, lihat cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup.
Membuat grup Microsoft 365 Mengatur opsi ini ke Tidak akan mencegah pengguna membuat grup Microsoft 365. Mengatur opsi ini ke Beberapa memungkinkan sekumpulan pengguna membuat grup Microsoft 365. Siapa pun yang ditetapkan setidaknya peran Administrator Pengguna masih dapat membuat grup Microsoft 365. Untuk mempelajari caranya, lihat cmdlet Microsoft Entra untuk mengonfigurasi pengaturan grup.
Membatasi akses ke portal administrasi Microsoft Entra Apa yang dilakukan pengalih ini?
Tidak memungkinkan nonadministrator menelusuri portal administrasi Microsoft Entra.
Ya Membatasi nonadministrator untuk menelusuri portal administrasi Microsoft Entra. Nonadministrator yang merupakan pemilik grup atau aplikasi tidak dapat menggunakan portal Azure untuk mengelola sumber daya yang mereka miliki.

Apa yang tidak dilakukannya?
Ini tidak membatasi akses ke data Microsoft Entra menggunakan PowerShell, Microsoft GraphAPI, atau klien lain seperti Visual Studio.
Ini tidak membatasi akses selama pengguna diberi peran kustom (atau peran apa pun).

Kapan saya harus menggunakan sakelar ini?
Gunakan opsi ini untuk mencegah pengguna salah mengonfigurasi sumber daya yang mereka miliki.

Kapan saya tidak boleh menggunakan sakelar ini?
Jangan gunakan sakelar ini sebagai ukuran keamanan. Sebagai gantinya, buat kebijakan Akses Kondisional yang menargetkan API Manajemen Layanan Windows Azure yang memblokir akses nonadministrator ke Windows Azure Service Management API.

Bagaimana cara memberi pengguna non-administrator tertentu kemampuan untuk menggunakan portal administrasi Microsoft Entra saja?
Atur opsi ini ke Ya, lalu tetapkan peran seperti pembaca global.

Membatasi akses ke portal administrasi Microsoft Entra
Kebijakan Akses Bersyar yang menargetkan WINDOWS Azure Service Management API menargetkan akses ke semua manajemen Azure.
Membatasi pengguna non-admin untuk membuat penyewa Pengguna dapat membuat penyewa di ID Microsoft Entra dan portal administrasi Microsoft Entra di bawah Kelola penyewa. Pembuatan penyewa dicatat dalam log Audit sebagai kategori DirectoryManagement dan aktivitas Create Company. Siapa pun yang membuat penyewa menjadi Administrator Global penyewa tersebut. Penyewa yang baru dibuat tidak mewarisi pengaturan atau konfigurasi apa pun.

Apa yang dilakukan pengalih ini?
Mengatur opsi ini ke Ya membatasi pembuatan penyewa Microsoft Entra kepada siapa pun yang ditetapkan setidaknya peran Pembuat Penyewa. Mengatur opsi ini ke Tidak memungkinkan pengguna nonadmin untuk membuat penyewa Microsoft Entra. Pembuatan penyewa terus direkam di log Audit.

Bagaimana cara memberi pengguna non-administrator tertentu kemampuan untuk membuat penyewa baru saja?
Atur opsi ini ke Ya, lalu tetapkan peran Pembuat Penyewa.
Membatasi pengguna memulihkan kunci BitLocker untuk perangkat milik mereka Pengaturan ini dapat ditemukan di pusat admin Microsoft Entra di Pengaturan Perangkat. Mengatur opsi ini ke Ya membatasi pengguna agar tidak dapat memulihkan kunci BitLocker secara mandiri untuk perangkat miliknya. Pengguna harus menghubungi staf dukungan organisasi mereka untuk mengambil kunci BitLocker mereka. Mengatur opsi ini ke Tidak ada memungkinkan pengguna memulihkan kunci BitLocker mereka.
Baca pengguna lain Pengaturan ini hanya tersedia pada Microsoft Graph dan PowerShell. Mengatur bendera ini untuk $false mencegah semua nonadmin membaca informasi pengguna dari direktori. Bendera ini mungkin mencegah pembacaan informasi pengguna di layanan Microsoft lain seperti Microsoft Teams.

Pengaturan ini dimaksudkan untuk keadaan khusus, jadi kami tidak menyarankan mengatur tanda ke $false.

Opsi Pengguna non-admin terbatas dari pembuatan penyewa diperlihatkan dalam cuplikan layar berikut.

Cuplikan layar memperlihatkan opsi untuk Membatasi nonadmin agar tidak membuat penyewa.

Batasi izin default pengguna tamu

Anda dapat membatasi izin default untuk pengguna tamu dengan cara berikut.

Catatan

Pengaturan Pembatasan akses pengguna tamu menggantikan pengaturan Izin pengguna tamu terbatas. Untuk panduan tentang menggunakan fitur ini, lihat Membatasi izin akses tamu di ID Microsoft Entra.

Izin Penjelasan pengaturan
Pembatasan akses pengguna tamu Mengatur opsi ini ke Pengguna tamu memiliki akses yang sama seperti anggota seperti anggota memberikan semua izin pengguna anggota kepada pengguna tamu secara default.

Mengatur opsi ini ke Batasi akses pengguna tamu ke properti dan keanggotaan objek direktori mereka sendiri akan membatasi akses tamu hanya ke profil pengguna mereka sendiri secara default. Akses ke pengguna lain tidak lagi diizinkan, bahkan saat mereka mencari berdasarkan nama prinsipal pengguna, ID objek, atau nama tampilan. Akses ke informasi grup, termasuk keanggotaan grup, juga tidak lagi diizinkan.

Pengaturan ini tidak mencegah akses ke grup yang bergabung di beberapa layanan Microsoft 365 seperti Microsoft Teams. Untuk mempelajari selengkapnya, lihat akses tamu Microsoft Teams.

Pengguna tamu masih dapat ditambahkan ke peran administrator terlepas dari pengaturan izin ini.
Tamu dapat mengundang Mengatur opsi ini ke Ya memungkinkan tamu mengundang tamu lain. Untuk mempelajari selengkapnya, lihat Mengonfigurasi pengaturan kolaborasi eksternal.

Kepemilikan objek

Izin pemilik pendaftaran aplikasi

Saat pengguna mendaftarkan aplikasi, mereka secara otomatis ditambahkan sebagai pemilik aplikasi. Sebagai pemilik, mereka dapat mengelola metadata aplikasi, seperti nama dan izin yang diminta aplikasi. Mereka juga dapat mengelola konfigurasi khusus penyewa aplikasi, seperti konfigurasi akses menyeluruh (SSO) dan penetapan pengguna.

Pemilik juga dapat menambahkan atau menghapus pemilik lain. Tidak seperti pengguna yang ditetapkan setidaknya peran Administrator Aplikasi, pemilik hanya dapat mengelola aplikasi yang mereka miliki.

Izin pemilik aplikasi perusahaan

Saat pengguna menambahkan aplikasi perusahaan baru, mereka secara otomatis ditambahkan sebagai pemilik. Sebagai pemilik, mereka dapat mengelola konfigurasi khusus penyewa aplikasi, seperti konfigurasi SSO, penyediaan, dan penetapan pengguna.

Pemilik juga dapat menambahkan atau menghapus pemilik lain. Tidak seperti pengguna yang ditetapkan setidaknya peran Administrator Aplikasi, pemilik hanya dapat mengelola aplikasi yang mereka miliki.

Izin pemilik grup

Saat pengguna membuat grup, mereka otomatis ditambahkan sebagai pemilik grup tersebut. Sebagai pemilik, mereka dapat mengelola properti grup (seperti nama) dan mengelola keanggotaan grup.

Pemilik juga dapat menambahkan atau menghapus pemilik lain. Tidak seperti pengguna yang ditetapkan setidaknya peran Administrator Grup, pemilik hanya dapat mengelola grup yang mereka miliki dan mereka dapat menambahkan atau menghapus anggota grup hanya jika jenis keanggotaan grup Ditetapkan.

Untuk menetapkan pemilik grup, lihat Mengelola pemilik grup.

Untuk menggunakan Privileged Access Management (PIM) untuk membuat grup memenuhi syarat untuk penetapan peran, lihat Menggunakan grup Microsoft Entra untuk mengelola penetapan peran.

Izin kepemilikan

Tabel berikut ini menjelaskan izin tertentu di ID Microsoft Entra yang dimiliki pengguna anggota atas objek yang mereka miliki. Pengguna memiliki izin ini hanya pada objek yang mereka miliki.

Pendaftaran aplikasi yang dimiliki

Pengguna dapat melakukan tindakan berikut pada pendaftaran aplikasi yang dimiliki:

Perbuatan Keterangan
microsoft.directory/applications/audience/update applications.audience Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/authentication/perbarui applications.authentication Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/basic/update Perbarui properti dasar pada aplikasi di ID Microsoft Entra.
microsoft.directory/applications/credentials/update applications.credentials Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/delete Menghapus aplikasi di ID Microsoft Entra.
microsoft.directory/applications/owners/update applications.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/permissions/update applications.permissions Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/policies/update applications.policies Perbarui properti di ID Microsoft Entra.
microsoft.directory/applications/restore Memulihkan aplikasi di ID Microsoft Entra.

Aplikasi perusahaan yang dimiliki

Pengguna dapat melakukan tindakan berikut di aplikasi perusahaan yang dimiliki. Aplikasi perusahaan terdiri dari perwakilan layanan, satu atau beberapa kebijakan aplikasi, dan terkadang objek aplikasi di penyewa yang sama dengan perwakilan layanan.

Perbuatan Keterangan
microsoft.directory/auditLogs/allProperties/read Baca semua properti (termasuk properti istimewa) pada log audit di ID Microsoft Entra.
microsoft.directory/policies/basic/update Perbarui properti dasar pada kebijakan di ID Microsoft Entra.
microsoft.directory/policies/delete Menghapus kebijakan di ID Microsoft Entra.
microsoft.directory/policies/owners/update policies.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui servicePrincipals.appRoleAssignedTo Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/appRoleAssignments/update users.appRoleAssignments Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/audience/perbarui servicePrincipals.audience Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/authentication/perbarui servicePrincipals.authentication Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/basic/update Perbarui properti dasar pada perwakilan layanan di ID Microsoft Entra.
microsoft.directory/servicePrincipals/mandat/perbarui servicePrincipals.credentials Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/hapus Hapus perwakilan layanan di ID Microsoft Entra.
microsoft.directory/servicePrincipals/owners/update servicePrincipals.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/permissions/update servicePrincipals.permissions Perbarui properti di ID Microsoft Entra.
microsoft.directory/servicePrincipals/policies/perbarui servicePrincipals.policies Perbarui properti di ID Microsoft Entra.
microsoft.directory/signInReports/allProperties/read Baca semua properti (termasuk properti istimewa) pada laporan masuk di ID Microsoft Entra.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronization/standard/read Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda

Perangkat yang dimiliki

Pengguna dapat melakukan tindakan berikut pada perangkat yang dimiliki:

Perbuatan Keterangan
microsoft.directory/devices/bitLockerRecoveryKeys/read devices.bitLockerRecoveryKeys Baca properti di ID Microsoft Entra.
microsoft.directory/devices/disable Nonaktifkan perangkat di ID Microsoft Entra.

Grup yang dimiliki

Pengguna dapat melakukan tindakan berikut pada grup yang dimiliki.

Catatan

Pemilik grup keanggotaan dinamis harus memiliki peran Administrator Grup, Administrator Intune, atau Administrator Pengguna untuk mengedit aturan untuk grup keanggotaan dinamis. Untuk informasi selengkapnya, lihat Membuat atau memperbarui grup keanggotaan dinamis di ID Microsoft Entra.

Perbuatan Keterangan
microsoft.directory/groups/appRoleAssignments/update groups.appRoleAssignments Perbarui properti di ID Microsoft Entra.
microsoft.directory/groups/basic/update Perbarui properti dasar pada grup di ID Microsoft Entra.
microsoft.directory/groups/delete Hapus grup di ID Microsoft Entra.
microsoft.directory/groups/members/update groups.members Perbarui properti di ID Microsoft Entra.
microsoft.directory/groups/owners/update groups.owners Perbarui properti di ID Microsoft Entra.
microsoft.directory/groups/restore Memulihkan grup di ID Microsoft Entra.
microsoft.directory/groups/settings/update groups.settings Perbarui properti di ID Microsoft Entra.

Langkah berikutnya