Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Proč na tom záleží
Oprávnění allowedToReadOtherUsers určuje, zda mohou výchozí uživatelé zobrazovat profily ostatních uživatelů napříč tenantem. Povolení tohoto nastavení (výchozí stav) podporuje funkce spolupráce, jako je vyhledávání uživatelů v Microsoft Teams a SharePoint, ale zároveň zpřístupňuje podrobné informace o profilech všem ověřeným uživatelům. Omezení tohoto oprávnění snižuje riziko neoprávněného průzkumu dat, ale může ovlivnit uživatelský komfort při vyhledávání v adresáři a ve scénářích s výběrem osob.
Co Aether365 kontroluje
Aether365 ověřuje, zda je nastavení defaultUserRolePermissions.allowedToReadOtherUsers v autorizační politice Microsoft Entra ID nakonfigurováno na false, což omezuje uživatelům možnost číst úplná profilová data ostatních. Tato kontrola se zobrazuje na vašem dashboardu Aether365 v rámci služby entra-id.
Jak opravit
- Přihlaste se do Microsoft Entra admin center jako globální správce.
- Přejděte na Identity > External Identities > User settings.
- V části Default user role permissions najděte možnost Users can read other users.
- Tento přepínač nastavte na No, čímž zabráníte výchozím uživatelům ve čtení profilů ostatních uživatelů.
- Alternativně můžete použít Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Soulad s předpisy
- EIDSCA: EIDSCA.AP14
- Rámec: EIDSCA