适用于:
员工租户 
外部租户(了解详细信息)
外部配置中的 Microsoft Entra 租户专用于Microsoft Entra 外部 ID方案。 外部租户在公司员工目录与面向客户的应用目录之间提供了明确的分隔。 默认情况下,在外部租户中创建的用户被限制访问有关外部租户中其他用户、组或设备的信息。 除非为其分配管理员角色,否则所有用户都具有默认权限。
为了更好地了解外部租户中用户的典型用例,我们可以按如下所示对其进行分类:
外部用户 是使用在外部租户中注册的应用的使用者和企业客户。 它们通常保留默认用户权限,这意味着你不会为其分配管理角色。 这些用户通常是通过自助注册创建的,但你可以使用 使用 Microsoft Entra 管理中心或 Microsoft Graph 中的“创建新外部用户”选项创建这些用户。
内部用户 通常是你向其分配 Microsoft Entra 角色管理员。 可以使用管理中心或 Microsoft Graph 中的 创建新用户 选项创建内部用户和分配角色。
受邀用户 通常是你邀请到外部租户的管理员,你向其分配了 Microsoft Entra 角色。 如果未分配角色,则他们具有默认用户权限。 可以使用管理中心或 Microsoft Graph 中的 邀请外部用户 选项邀请用户和分配角色。
在外部租户中创建用户时,它们都以默认权限开头。 但是,可以将 Microsoft Entra 角色 分配给需要在外部租户中执行管理任务的用户。
默认权限
下表描述了分配给外部租户中的用户的默认权限,这些用户包括:
- 使用自助注册的用户
- 由管理员创建的用户
- 受邀用户
| 区域 | 默认用户权限 |
|---|---|
| 用户和联系人 |
|
| 应用程序 |
|
Microsoft Graph API 和权限
下表指出了可帮助客户管理其个人资料信息的 API 操作。 用户 ID 或 userPrincipalName 始终是已登录用户的标识。
| 用户操作 | API 操作 | 所需的权限 |
|---|---|---|
| 阅读个人资料 | GET /me 或 GET /users/{id 或 userPrincipalName} | User.Read |
| 更新配置文件 |
PATCH /me 或 PATCH /users/{id 或 userPrincipalName} 以下属性可更新:city、country、displayName、givenName、jobTitle、postalCode、state、streetAddress、surname 和 preferredLanguage |
User.ReadWrite |
| 更改密码 | POST /me/changePassword | Directory.AccessAsUser.All |