Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Hvorfor dette er vigtigt
Tilladelsen allowedToReadOtherUsers bestemmer, om standardbrugere kan se andre brugeres profiler på tværs af lejeren. Aktivering af denne indstilling (standardindstillingen) understøtter samarbejdsfunktioner som brugersøgning i Microsoft Teams og SharePoint, men den udsætter også detaljerede profiloplysninger for alle godkendte brugere. Begrænsning af denne tilladelse reducerer risikoen for uautoriseret datarekognoscering, men kan påvirke brugeroplevelsen i katalogbaseret søgning og personsøgningsscenarier.
Hvad Aether365 kontrollerer
Aether365 verificerer, om indstillingen defaultUserRolePermissions.allowedToReadOtherUsers i Microsoft Entra ID's autorisationspolitik er konfigureret til false, hvilket forhindrer brugere i at læse andre brugeres fulde profildata. Denne kontrol vises i dit Aether365-dashboard under tjenesten entra-id.
Sådan løser du det
- Log på Microsoft Entra admin center som Global Administrator.
- Naviger til Identity > External Identities > User settings.
- Under Default user role permissions finder du Users can read other users.
- Skift denne knap til No for at blokere standardbrugeres mulighed for at læse andre brugeres profiler.
- Alternativt kan du bruge Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Overholdelse
- EIDSCA: EIDSCA.AP14
- Rammeværk: EIDSCA