Default Authorization Settings - Sign-up for email based subscription
Miért fontos ez
Ha a felhasználók engedélyezve vannak az e-mail alapú előfizetésekre való regisztrációra, az illetéktelen önkiszolgáló regisztrációkhoz vezethet a Microsoft 365-bérlőjében. Ez megkerüli az informatikai irányítási kontrollokat, és lehetővé teheti a rosszindulatú szereplők számára, hogy kéretlen előfizetéseken keresztül hozzáférjenek szervezete erőforrásaihoz. A beállítás letiltásával biztosítható, hogy csak az arra jogosult rendszergazdák kezeljék az előfizetéseket.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a Microsoft Entra ID engedélyezési szabályzat allowedToSignUpEmailBasedSubscriptions tulajdonsága false értékre van-e állítva. Ez az ellenőrzés az Aether365 irányítópultján az entra-id ellenőrzések között jelenik meg, és közepes súlyosságúként van megjelölve, ha hibásan van beállítva.
Hogyan javítsuk ki
- Nyissa meg a Windows PowerShellt rendszergazdaként.
- Futtassa a
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"parancsot a szükséges engedélyekkel történő hitelesítéshez. - Hajtsa végre az
Update-MgPolicyAuthorizationPolicy -AllowedToSignupEmailBasedSubscriptions $falseparancsot az e-mail alapú előfizetés-regisztrációk letiltásához. - Erősítse meg a változtatást a
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptionsparancs futtatásával.
Az Azure Portal felhasználói számára: navigáljon a Microsoft Entra ID menüponthoz, válassza az External Identities, majd az External collaboration settings lehetőséget. Állítsa az "Enable email one-time passcode for guests" beállítást "No" értékre, és tekintse át ennek megfelelően az önkiszolgáló regisztrációs beállításokat.
Megfelelőség
- EIDSCA: EIDSCA.AP05
Kapcsolódó erőforrások
- authorizationPolicy erőforrástípus - Microsoft Graph v1.0
- Graph Explorer: policies/authorizationPolicy megnyitása