Default Authorization Settings - Guest invite restrictions

Γιατί Είναι Σημαντικό

Οι προσκλήσεις χρηστών-επισκεπτών που είναι ανοιχτές σε όλους τους χρήστες δημιουργούν σημαντικό κίνδυνο ασφαλείας, επιτρέποντας σε μη εξουσιοδοτημένα άτομα να προσκαλούν εξωτερικά μέρη στον tenant σας. Ο περιορισμός των δικαιωμάτων πρόσκλησης επισκεπτών μόνο σε συγκεκριμένους διαχειριστές και σε όσους έχουν ρόλο guest inviter μειώνει την επιφάνεια επίθεσης και αποτρέπει μη εξουσιοδοτημένη πρόσβαση. Χωρίς αυτόν τον έλεγχο, οποιοσδήποτε χρήστης στον οργανισμό σας θα μπορούσε ενδεχομένως να προσκαλέσει κακόβουλους παράγοντες στο περιβάλλον σας.

Τι Ελέγχει το Aether365

Το Aether365 επαληθεύει ότι η ρύθμιση allowInvitesFrom στην πολιτική εξουσιοδότησης έχει διαμορφωθεί είτε σε adminsAndGuestInviters είτε σε none. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 κάτω από τους ελέγχους entra-id με το αναγνωριστικό EIDSCA.AP04.

Πώς να το Διορθώσετε

1. Συνδεθείτε στο Microsoft Entra admin center ως Global Administrator.
2. Μεταβείτε στο Identity > External Identities > External collaboration settings.
3. Στην ενότητα Guest invite settings, επιλέξτε είτε "Only users assigned to specific admin roles can invite guests" είτε "No one in the organization can invite guests including admins".
4. Κάντε κλικ στο Save για να εφαρμοστεί η αλλαγή.
5. Εναλλακτικά, χρησιμοποιήστε το Microsoft Graph API με ένα αίτημα PATCH στο τελικό σημείο policies/authorizationPolicy και ορίστε την τιμή allowInvitesFrom σε adminsAndGuestInviters ή none.

Συμμόρφωση

• CISA SCuBA 2.18: Μόνο χρήστες με τον ρόλο Guest Inviter θα πρέπει να μπορούν να προσκαλούν χρήστες-επισκέπτες
• EIDSCA EIDSCA.AP04 ()

Σχετικοί Πόροι

• authorizationPolicy resource type - Microsoft Graph v1.0 - Microsoft Learn
• Open in Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer