Default Settings - Classification and M365 Groups - M365 groups - Allow Guests to become Group Owner
Kodėl tai svarbu
Leidus svečiams naudotojams tapti "Microsoft 365" grupių savininkais, gali kilti rizika, kad jie įgis neleistiną grupės narystės ir nustatymų kontrolę. Svečiams naudotojams gali būti netaikomos tos pačios organizacinės taisyklės ir priežiūra kaip vidiniams darbuotojams, todėl padidėja duomenų atskleidimo ar netinkamo prisijungimo rizika. Administratoriai turėtų apriboti šią galimybę, kad išlaikytų tinkamą grupės išteklių valdymą.
Ką tikrina Aether365
Ši patikra užtikrina, kad katalogo nustatymas "Allow Guests to become Group Owner" būtų nustatytas kaip false "Microsoft 365" grupėms. Rezultatas rodomas "Aether365" ataskaitų skydelio skyriuje "entra-id checks".
Kaip ištaisyti
- Prisijunkite prie "Microsoft Entra ID" naudodami "PowerShell":
Connect-MgGraph -Scopes "Directory.ReadWrite.All" - Gaukite dabartinį grupių katalogo nustatymų šabloną:
$template = Get-MgDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} - Jei pasirinktinių nustatymų nėra, sukurkite juos:
$setting = New-MgDirectorySetting -TemplateId $template.Id - Raskite nustatymą, susijusį su svečių savininko teisėmis, ir atnaujinkite jį:
$setting.Values | ForEach-Object { if ($_.Name -eq "AllowGuestsToBeGroupOwner") { $_.Value = "false" } } - Pritaikykite atnaujintus nustatymus:
Update-MgDirectorySetting -DirectorySettingId $setting.Id -BodyParameter $setting.Values
Arba naudokite "Microsoft Graph" API "Graph Explorer" įrankyje, kad nustatymo reikšmę pakeistumėte į false.
Atitiktis
- EIDSCA: EIDSCA.ST08
- CISA SCuBA: 2.18 (Svečiai naudotojai TURĖTŲ turėti ribotą prieigą prie "Entra ID" katalogo objektų)
Susiję ištekliai
- Microsoft Learn: "Microsoft Entra" cmdlet komandos grupių nustatymams konfigūruoti
- "Graph API" dokumentai: directorySetting ištekliaus tipas
- "Graph Explorer": Atidaryti "Graph Explorer"