Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Pourquoi c'est important
L'autorisation allowedToReadOtherUsers détermine si les utilisateurs par défaut peuvent consulter les profils des autres utilisateurs dans l'ensemble du locataire. Activer ce paramètre (valeur par défaut) prend en charge les fonctionnalités de collaboration telles que la recherche d'utilisateurs dans Microsoft Teams et SharePoint, mais expose également des informations détaillées du profil à tous les utilisateurs authentifiés. Restreindre cette autorisation réduit le risque de reconnaissance non autorisée des données, mais peut avoir un impact sur l'expérience utilisateur dans les scénarios de recherche dans l'annuaire et de sélecteur de personnes.
Ce que vérifie Aether365
Aether365 vérifie si le paramètre defaultUserRolePermissions.allowedToReadOtherUsers dans la stratégie d'autorisation Microsoft Entra ID est configuré sur false, ce qui empêche les utilisateurs de lire les données complètes du profil des autres. Cette vérification apparaît dans votre tableau de bord Aether365 sous le service entra-id.
Comment corriger
- Connectez-vous au Microsoft Entra admin center en tant qu'Administrateur général.
- Accédez à Identity > External Identities > User settings.
- Sous Default user role permissions, localisez Users can read other users.
- Positionnez ce bouton sur No pour empêcher les utilisateurs par défaut de lire les profils des autres utilisateurs.
- Sinon, utilisez Microsoft Graph PowerShell :powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Conformité
- EIDSCA : EIDSCA.AP14
- Cadre : EIDSCA