Guest users SHOULD have limited or restricted access to Entra ID directory objects.
Защо това е важно
Достъпът на гост-потребители до обекти в директорията представлява често срещан вектор за атаки в хибридни среди за удостоверяване. Ако гост-акаунтите запазят широки права за четене на информацията за клиента в директорията, нападателят би могъл да изброи потребители, групи и регистрации на приложения, за да картографира вашата среда и да идентифицира привилегирани цели. Ограничаването на достъпа на гости до директорията намалява обхвата на въздействие при компрометиран гост-акаунт и се съобразява с принципите на минималните привилегии.
Какво проверява Aether365
Aether365 проверява дали настройката "Guest users have limited or restricted access to Entra ID directory objects" е правилно конфигурирана в настройките на клиента на Microsoft Entra ID. Тази проверка се появява в таблото на Aether365 под категорията entra-id и отчита находка със средна тежест, ако настройката позволява пълен достъп до директорията за гости.
Как да коригирате
- Влезте в Microsoft Entra admin center на адрес https://entra.microsoft.com.
- Отидете на Identity, след това на Users и изберете User settings.
- Под Guest user access намерете "Guest users have limited or restricted access to Entra ID directory objects".
- Задайте опцията на "Guest user access is limited to properties and memberships of their own directory objects (most restrictive)".
- Натиснете Save, за да приложите промяната.
Съответствие
- CIS Microsoft 365 Foundations Benchmark: CISA.MS.AAD.8.1
- Насоки на CISA (Cybersecurity and Infrastructure Security Agency)
Свързани ресурси
- Microsoft Entra ID external identities documentation
- Configure guest user access controls in Microsoft Entra ID