Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Perché è Importante
L'autorizzazione allowedToReadOtherUsers controlla se gli utenti predefiniti possono visualizzare i profili degli altri utenti nel tenant. Abilitare questa impostazione (valore predefinito) supporta funzionalità di collaborazione come la ricerca di utenti in Microsoft Teams e SharePoint, ma espone anche informazioni dettagliate del profilo a tutti gli utenti autenticati. Limitare questa autorizzazione riduce il rischio di ricognizione non autorizzata dei dati, ma potrebbe influire sull'esperienza utente nella ricerca basata su directory e negli scenari di selezione utenti.
Cosa Controlla Aether365
Aether365 verifica che l'impostazione defaultUserRolePermissions.allowedToReadOtherUsers nei criteri di autorizzazione di Microsoft Entra ID sia configurata su false, limitando così la lettura dei dati completi del profilo di altri utenti. Questo controllo viene visualizzato nella dashboard di Aether365 sotto il servizio entra-id.
Come Risolvere
- Accedere al Microsoft Entra admin center come Amministratore globale.
- Andare su Identity > External Identities > User settings.
- In Default user role permissions, trovare Users can read other users.
- Impostare questa opzione su No per impedire agli utenti predefiniti di leggere i profili di altri utenti.
- In alternativa, usare Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Conformità
- EIDSCA: EIDSCA.AP14
- Framework: EIDSCA