Default Authorization Settings - User can join the tenant by email validation
Pourquoi c'est important
Lorsque des utilisateurs vérifiés par email peuvent rejoindre votre locataire sans approbation, cela crée un point d'accès à un annuaire non géré qui contourne vos contrôles de gouvernance des identités. Ce paramètre peut entraîner l'apparition de locataires fantômes, de comptes invités non gérés et une exposition potentielle des données si des utilisateurs externes obtiennent un accès non intentionnel aux ressources. Des acteurs malveillants pourraient exploiter cette faille pour établir une présence dans votre organisation en vérifiant simplement une adresse email.
Ce que vérifie Aether365
Cette vérification garantit que le paramètre allowEmailVerifiedUsersToJoinOrganization dans la politique d'autorisation Entra ID est défini sur false. Il apparaît dans le tableau de bord Aether365 sous les vérifications entra-id avec une sévérité Moyenne.
Comment corriger
- Connectez-vous au Microsoft Entra admin center en tant qu'Administrateur général.
- Accédez à Identity > External Identities > External collaboration settings.
- Sous "Enable guest self-service sign up via user flows", basculez le commutateur sur Non (cela empêche les utilisateurs vérifiés par email de rejoindre le locataire).
- Vous pouvez également utiliser Microsoft Graph PowerShell ou Graph API pour définir la propriété
allowEmailVerifiedUsersToJoinOrganizationsurfalsedans la politique d'autorisation. - Vérifiez le changement en confirmant que le paramètre n'est plus défini sur la valeur par défaut
true.
Conformité
- EIDSCA : EIDSCA.AP06
Ressources associées
- Inscription en libre-service pour les utilisateurs vérifiés par email - Microsoft Entra ID
- Type de ressource authorizationPolicy - Microsoft Graph v1.0
- Ouvrir dans Graph Explorer