Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Miksi tämä on tärkeää
allowedToReadOtherUsers-käyttöoikeus määrittää, voivatko oletuskäyttäjät tarkastella muiden käyttäjien profiileja koko vuokraajassa. Tämän asetuksen käyttöönotto (oletus) mahdollistaa yhteistyöominaisuudet, kuten käyttäjähaut Microsoft Teamsissa ja SharePointissa, mutta se myös paljastaa yksityiskohtaisia profiilitietoja kaikille todennetuille käyttäjille. Tämän käyttöoikeuden rajoittaminen vähentää luvattoman tiedustelun riskiä, mutta saattaa vaikuttaa käyttökokemukseen hakemistopohjaisessa haussa ja henkilövalitsimissa.
Mitä Aether365 tarkistaa
Aether365 varmistaa, onko defaultUserRolePermissions.allowedToReadOtherUsers -asetus Microsoft Entra ID -valtuutuskäytännössä määritetty arvoon false, mikä estää käyttäjiä lukemasta toisten täydellisiä profiilitietoja. Tämä tarkistus näkyy Aether365-hallintapaneelissa entra-id-palvelun alla.
Korjausohjeet
- Kirjaudu Microsoft Entra admin centeriin pääkäyttäjänä.
- Siirry kohtaan Identity > External Identities > User settings.
- Etsi kohdasta Default user role permissions asetus Users can read other users.
- Aseta tämä kytkin asentoon No, jotta oletuskäyttäjät eivät voi lukea toisten käyttäjien profiileja.
- Vaihtoehtoisesti voit käyttää Microsoft Graph PowerShellia:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Vaatimustenmukaisuus
- EIDSCA: EIDSCA.AP14
- Viitekehys: EIDSCA