Default Authorization Settings - User can join the tenant by email validation
Kodėl tai svarbu
Kai el. paštu patvirtinti vartotojai gali prisijungti prie jūsų nuomotojo be patvirtinimo, tai sukuria nevaldomą katalogo įėjimo tašką, kuris apeina jūsų tapatybės valdymo kontrolę. Šis nustatymas gali sukelti šešėlinius nuomotojus, nevaldomas svečių paskyras ir galimą duomenų atskleidimą, jei išoriniai vartotojai įgyja neteisėtą prieigą prie išteklių. Piktybiniai veikėjai galėtų tuo pasinaudoti, kad įsitvirtintų jūsų organizacijoje, tiesiog patvirtindami el. pašto adresą.
Ką tikrina Aether365
Šis patikrinimas patikrina, ar allowEmailVerifiedUsersToJoinOrganization nustatymas Entra ID autorizacijos politikoje yra nustatytas kaip false. Jis rodomas Aether365 ataskaitų suvestinėje po entra-id patikrinimais, kurių sunkumo lygis yra Vidutinis.
Kaip ištaisyti
- Prisijunkite prie Microsoft Entra admin center kaip visuotinis administratorius.
- Eikite į Identity > External Identities > External collaboration settings.
- Dalyje "Enable guest self-service sign up via user flows" nustatykite jungiklį į No (tai neleidžia el. paštu patvirtintiems vartotojams prisijungti prie nuomotojo).
- Arba naudokite Microsoft Graph PowerShell arba Graph API, kad nustatytumėte
allowEmailVerifiedUsersToJoinOrganizationsavybę kaipfalseautorizacijos politikoje. - Patvirtinkite pakeitimą įsitikindami, kad nustatymas nebėra nustatytas kaip numatytoji reikšmė
true.
Atitiktis
- EIDSCA: EIDSCA.AP06
Susiję ištekliai
- Savarankiškas registravimasis el. paštu patvirtintiems vartotojams - Microsoft Entra ID
- authorizationPolicy išteklių tipas - Microsoft Graph v1.0
- Atidaryti Graph Explorer