Default Authorization Settings - Guest invite restrictions
Защо това е важно
Поканите за гостуващи потребители, които са отворени за всички потребители, създават сериозен риск за сигурността, като позволяват на неоторизирани лица да канят външни страни във вашия tenant. Ограничаването на разрешенията за покани на гости само до определени администратори и поканващи гости намалява повърхността за атака и предотвратява нерегламентиран достъп. Без този контрол всеки потребител във вашата организация би могъл потенциално да покани злонамерени лица във вашата среда.
Какво проверява Aether365
Aether365 проверява дали настройката allowInvitesFrom в политиката за оторизация е конфигурирана на adminsAndGuestInviters или none. Тази проверка се появява във вашето табло на Aether365 под проверките entra-id с идентификатор EIDSCA.AP04.
Как да го отстраните
- Влезте в Microsoft Entra admin center като глобален администратор.
- Отидете на Identity > External Identities > External collaboration settings.
- Под Guest invite settings изберете "Only users assigned to specific admin roles can invite guests" или "No one in the organization can invite guests including admins".
- Натиснете Save, за да приложите промяната.
- Като алтернатива използвайте Microsoft Graph API с PATCH заявка към крайната точка
policies/authorizationPolicy, като зададетеallowInvitesFromнаadminsAndGuestInvitersилиnone.
Съответствие
- CISA SCuBA 2.18: Само потребители с роля Guest Inviter трябва да могат да канят гостуващи потребители
- EIDSCA EIDSCA.AP04 ()