Default Authorization Settings - Guest invite restrictions
Pourquoi Cela Compte
Les invitations d'utilisateurs invités ouvertes à tous les utilisateurs créent un risque de sécurité important en permettant à des personnes non autorisées d'inviter des parties externes dans votre locataire. Restreindre les autorisations d'invitation des invités uniquement aux administrateurs désignés et aux inviteurs d'invités réduit la surface d'attaque et empêche les accès non autorisés. Sans ce contrôle, n'importe quel utilisateur de votre organisation pourrait potentiellement inviter des acteurs malveillants dans votre environnement.
Ce Que Vérifie Aether365
Aether365 vérifie que le paramètre allowInvitesFrom dans la politique d'autorisation est configuré sur adminsAndGuestInviters ou none. Cette vérification apparaît dans votre tableau de bord Aether365 sous les contrôles entra-id avec l'identifiant EIDSCA.AP04.
Comment Corriger
- Connectez-vous au Microsoft Entra admin center en tant qu'Administrateur Général.
- Accédez à Identity > External Identities > External collaboration settings.
- Sous Guest invite settings, sélectionnez soit "Seuls les utilisateurs assignés à des rôles d'administrateur spécifiques peuvent inviter des invités", soit "Personne dans l'organisation ne peut inviter des invités, y compris les administrateurs".
- Cliquez sur Enregistrer pour appliquer la modification.
- Sinon, utilisez l'API Microsoft Graph avec une requête PATCH sur le point de terminaison
policies/authorizationPolicyen définissantallowInvitesFromsuradminsAndGuestInvitersounone.
Conformité
- CISA SCuBA 2.18 : Seuls les utilisateurs disposant du rôle d'Invitateur d'invités devraient pouvoir inviter des utilisateurs invités
- EIDSCA EIDSCA.AP04 ()
Ressources Associées
- Type de ressource authorizationPolicy - Microsoft Graph v1.0 - Microsoft Learn
- Ouvrir dans Graph Explorer