Default Authorization Settings - Sign-up for email based subscription
Warum dies wichtig ist
Wenn Benutzer sich für E-Mail-basierte Abonnements anmelden können, kann dies zu nicht autorisierten Self-Service-Registrierungen in Ihrem Microsoft 365-Mandanten führen. Dies umgeht die IT-Governance-Kontrollen und kann es böswilligen Akteuren ermöglichen, durch unerwünschte Abonnements Zugriff auf die Ressourcen Ihrer Organisation zu erhalten. Wenn Sie diese Einstellung deaktivieren, stellen Sie sicher, dass nur autorisierte Administratoren die Abonnementverwaltung steuern.
Was Aether365 prüft
Aether365 überprüft, ob die Eigenschaft allowedToSignUpEmailBasedSubscriptions in der Autorisierungsrichtlinie von Microsoft Entra ID auf false gesetzt ist. Diese Prüfung wird im Aether365-Dashboard unter den Überprüfungen von Entra ID angezeigt und bei Fehlkonfiguration als mittelschwerer Schweregrad eingestuft.
So beheben Sie das Problem
- Öffnen Sie Windows PowerShell als Administrator.
- Führen Sie
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"aus, um sich mit den erforderlichen Berechtigungen zu authentifizieren. - Führen Sie
Update-MgPolicyAuthorizationPolicy -AllowedToSignupEmailBasedSubscriptions $falseaus, um die Anmeldung für E-Mail-basierte Abonnements zu deaktivieren. - Bestätigen Sie die Änderung, indem Sie
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptionsausführen.
Navigieren Sie für Azure Portal-Benutzer zu Microsoft Entra ID, wählen Sie External Identities und dann External collaboration settings. Setzen Sie "Enable email one-time passcode for guests" auf No und überprüfen Sie die Self-Service-Anmeldeeinstellungen entsprechend.
Compliance
- EIDSCA: EIDSCA.AP05
Zugehörige Ressourcen
- Ressourcentyp authorizationPolicy - Microsoft Graph v1.0
- Graph Explorer: Richtlinien/authorizationPolicy öffnen