Calendar details SHALL NOT be shared with all domains.
Pourquoi c'est important
Lorsque les détails de calendrier sont partagés avec tous les domaines, des informations sensibles telles que les titres des réunions, les noms des participants et les heures de rendez-vous peuvent être exposées à des parties externes. Cela augmente le risque d'attaques d'ingénierie sociale, de phishing ciblé et de collecte de renseignements d'entreprise par des acteurs malveillants. Les administrateurs doivent restreindre le partage de calendrier pour maintenir la confidentialité et réduire la surface d'attaque organisationnelle.
Ce que vérifie Aether365
Cette vérification s'assure que les politiques de partage de calendrier ne sont pas configurées pour exposer les détails du calendrier à tous les domaines externes. Dans le tableau de bord Aether365, sous les vérifications microsoft-365, cette évaluation examine la politique de partage Exchange Online pertinente afin de garantir qu'elle restreint les informations détaillées aux seuls utilisateurs authentifiés ou à des organisations externes spécifiques.
Comment corriger
- Connectez-vous au Exchange admin center et accédez à Organization > Sharing.
- Sélectionnez la politique de partage de calendrier utilisée pour le partage externe et modifiez-la.
- Sous la section "Specify the calendar detail level", choisissez une restriction appropriée (par exemple, "Availability only" ou "Limited details") au lieu de "All details".
- Définissez la portée des domaines de partage sur des domaines de confiance spécifiques plutôt que sur "All domains".
- Enregistrez la politique et validez la modification en testant l'accès externe au calendrier depuis un domaine non authentifié.
Conformité
- CIS Microsoft 365 Foundations Benchmark : CISA.MS.EXO.6.2
- Framework : CIS
- Service : microsoft-365