Default Authorization Settings - Sign-up for email based subscription
Hvorfor dette er vigtigt
Hvis brugere kan tilmelde sig mailbaserede abonnementer, kan det føre til uautoriserede selvbetjeningsregistreringer i din Microsoft 365-lejer. Dette omgår IT-styringsprocesser og kan give ondsindede aktører adgang til organisationens ressourcer gennem uønskede abonnementer. Ved at deaktivere denne indstilling sikrer du, at kun autoriserede administratorer styrer abonnementsadministration.
Hvad Aether365 kontrollerer
Aether365 verificerer, at allowedToSignUpEmailBasedSubscriptions-egenskaben i Microsoft Entra ID-autorisationspolitikken er indstillet til false. Denne kontrol vises i Aether365-dashboardet under Entra ID-kontroller og markeres som medium alvorlighed, hvis den er forkert konfigureret.
Sådan rettes det
- Åbn Windows PowerShell som administrator.
- Kør
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"for at godkende med de nødvendige tilladelser. - Udfør
Update-MgPolicyAuthorizationPolicy -AllowedToSignupEmailBasedSubscriptions $falsefor at deaktivere mailbaserede abonnementstilmeldinger. - Bekræft ændringen ved at køre
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions.
For brugere af Azure Portal: Gå til Microsoft Entra ID, vælg External Identities, og derefter External collaboration settings. Indstil "Enable email one-time passcode for guests" til No, og gennemgå indstillingerne for selvbetjeningstilmelding derefter.
Overholdelse
- EIDSCA: EIDSCA.AP05
Relaterede ressourcer
- authorizationPolicy resource type - Microsoft Graph v1.0
- Graph Explorer: Open policies/authorizationPolicy