Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Por Que Es Importante
El permiso allowedToReadOtherUsers controla si los usuarios predeterminados pueden ver los perfiles de otros usuarios en todo el inquilino. Habilitar esta opción (la predeterminada) facilita funciones de colaboración como la búsqueda de usuarios en Microsoft Teams y SharePoint, pero tambien expone informacion detallada del perfil a todos los usuarios autenticados. Restringir este permiso reduce el riesgo de reconocimiento de datos no autorizado, aunque puede afectar la experiencia del usuario en escenarios de busqueda directa y selectores de personas.
Que Verifica Aether365
Aether365 verifica si la configuracion defaultUserRolePermissions.allowedToReadOtherUsers en la politica de autorizacion de Microsoft Entra ID esta establecida en false, lo que restringe a los usuarios la lectura de los datos completos del perfil de otros. Esta verificacion aparece en el panel de control de Aether365 bajo el servicio entra-id.
Como Solucionarlo
- Inicie sesion en el Microsoft Entra admin center como Administrador Global.
- Vaya a Identity > External Identities > User settings.
- En Default user role permissions, localice Users can read other users.
- Establezca este control en No para bloquear a los usuarios predeterminados la lectura de perfiles de otros usuarios.
- Alternativamente, use Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Cumplimiento Normativo
- EIDSCA: EIDSCA.AP14
- Marco: EIDSCA