Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Warum dies wichtig ist
Die Berechtigung allowedToReadOtherUsers steuert, ob Standardbenutzer Profile anderer Benutzer im gesamten Mandanten einsehen können. Die Aktivierung dieser Einstellung (Standard) unterstützt Kollaborationsfunktionen wie die Benutzersuche in Microsoft Teams und SharePoint, legt jedoch auch detaillierte Profilinformationen für alle authentifizierten Benutzer offen. Die Einschränkung dieser Berechtigung verringert das Risiko unbefugter Datenausforschung, kann jedoch die Benutzererfahrung bei verzeichnisbasierten Such- und Personenauswahl-Szenarien beeinträchtigen.
Was Aether365 prüft
Aether365 überprüft, ob die Einstellung defaultUserRolePermissions.allowedToReadOtherUsers in der Autorisierungsrichtlinie von Microsoft Entra ID auf false gesetzt ist, wodurch Benutzer daran gehindert werden, vollständige Profildaten anderer zu lesen. Diese Überprüfung erscheint in Ihrem Aether365-Dashboard unter dem Dienst entra-id.
Behebungsmethode
- Melden Sie sich als Global Administrator beim Microsoft Entra admin center an.
- Navigieren Sie zu Identity > External Identities > User settings.
- Suchen Sie unter Default user role permissions die Option Users can read other users.
- Setzen Sie diesen Schalter auf No, um Standardbenutzern das Lesen der Profile anderer Benutzer zu untersagen.
- Alternativ können Sie Microsoft Graph PowerShell verwenden:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Compliance
- EIDSCA: EIDSCA.AP14
- Framework: EIDSCA