Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Защо това е важно
Разрешението allowedToReadOtherUsers контролира дали потребителите по подразбиране могат да виждат профилите на други потребители в рамките на целия клиент. Активирането на тази настройка (по подразбиране) поддържа функции за сътрудничество като търсене на потребители в Microsoft Teams и SharePoint, но също така излага подробна информация от профили на всички удостоверени потребители. Ограничаването на това разрешение намалява риска от неоторизирано разузнаване на данни, но може да повлияе на потребителското изживяване при търсене в директория и сценарии с избор на хора.
Какво проверява Aether365
Aether365 проверява дали настройката defaultUserRolePermissions.allowedToReadOtherUsers в политиката за упълномощаване на Microsoft Entra ID е конфигурирана на false, което ограничава потребителите да четат пълните профилни данни на други. Тази проверка се появява във вашето табло за управление на Aether365 под услугата entra-id.
Как да отстраните проблема
- Влезте в Microsoft Entra admin center като глобален администратор.
- Отидете на Identity > External Identities > User settings.
- Под Default user role permissions намерете Users can read other users.
- Задайте този превключвател на No, за да блокирате потребителите по подразбиране да четат профилите на други потребители.
- Алтернативно, използвайте Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Съответствие
- EIDSCA: EIDSCA.AP14
- Рамка: EIDSCA