Default Authorization Settings - Guest user access

Kodėl tai svarbu

Svečio vartotojo prieigos teisės nustato, kokius katalogo objektus išoriniai vartotojai gali matyti jūsų Entra ID nuomotoje. Jei svečio vartotojams priskiriamas numatytasis, o ne apribotas vaidmuo, jie gali peržiūrėti vartotojų išsamią informaciją, grupių narystę ir kitą katalogo informaciją, kuri turėtų likti vidinė. Svečių prieigos apribojimas sumažina duomenų atskleidimo riziką ir atitinka nulinio pasitikėjimo principus.

Ką tikrina Aether365

Šis patikrinimas patvirtina, kad guestUserRoleId nustatymas authorizationPolicy yra sukonfigūruotas į apribotą reikšmę 2af84b1e-32c8-42b7-82bc-daa82404023b. Šis nustatymas rodomas Aether365 ataskaitų srityje po entra-id patikrinimais ir pažymi bet kokį nukrypimą nuo šios rekomenduojamos konfigūracijos.

Kaip ištaisyti

1. Prisijunkite prie Microsoft Entra admin center su atitinkamomis teisėmis.
2. Eikite į Identity > External Identities > External collaboration settings.
3. Dalyje Guest user access pasirinkite "Guest users have limited access to properties and memberships of directory objects."
4. Arba naudokite Microsoft Graph API, kad atnaujintumėte authorizationPolicy: PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy su turiniu {"guestUserRoleId":"2af84b1e-32c8-42b7-82bc-daa82404023b"}.
5. Patikrinkite pakeitimą peržiūrėdami guestUserRoleId reikšmę strategijoje.

Atitiktis

• EIDSCA: EIDSCA.AP07
• CISA SCuBA: 2.18 Guest users should have limited access to Entra ID directory objects

Susiję ištekliai

• authorizationPolicy resource type - Microsoft Graph v1.0
• Open in Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer