Default Authorization Settings - Guest invite restrictions
Miért Fontos Ez
A vendégfelhasználói meghívások, amelyek minden felhasználó számára nyitottak, jelentős biztonsági kockázatot jelentenek azáltal, hogy lehetővé teszik illetéktelen személyek számára külső felek meghívását a bérlőbe. A vendégmeghívási engedélyek kizárólag kijelölt rendszergazdákra és vendégmeghívókra történő korlátozása csökkenti a támadási felületet és megakadályozza a jogosulatlan hozzáférést. E védelem nélkül a szervezet bármely tagja potenciálisan rosszindulatú szereplőket hívhat meg a környezetbe.
Mit Ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy az allowInvitesFrom beállítás a hitelesítési házirendben adminsAndGuestInviters vagy none értékre van-e konfigurálva. Ez az ellenőrzés az Aether365 irányítópultján az entra-id ellenőrzések között jelenik meg az EIDSCA.AP04 azonosítóval.
Javítás Lépései
- Jelentkezzen be a Microsoft Entra admin centerbe globális rendszergazdaként.
- Navigáljon a Identity > External Identities > External collaboration settings menüpontba.
- A Guest invite settings rész alatt válassza a "Csak meghatározott rendszergazdai szerepkörökhöz rendelt felhasználók hívhatnak meg vendégeket" vagy "A szervezetben senki sem hívhat meg vendégeket, beleértve a rendszergazdákat" lehetőséget.
- Kattintson a Save gombra a módosítás alkalmazásához.
- Alternatív megoldásként használja a Microsoft Graph API-t egy PATCH kéréssel a
policies/authorizationPolicyvégponthoz, ahol azallowInvitesFromértéketadminsAndGuestInvitersvagynoneértékre állítja.
Megfelelőség
- CISA SCuBA 2.18: Csak a Vendégmeghívó szerepkörrel rendelkező felhasználók hívhatnak meg vendégfelhasználókat
- EIDSCA EIDSCA.AP04 ()
Kapcsolódó Források
- authorizationPolicy erőforrástípus - Microsoft Graph v1.0 - Microsoft Learn
- Megnyitás a Graph Explorerben