Default Authorization Settings - User can join the tenant by email validation
Kāpēc tas ir svarīgi
Ja lietotāji, kuri verificēti ar e-pastu, var pievienoties jūsu tenantam bez apstiprinājuma, tiek izveidots nepārvaldīts direktorija ierakstu punkts, kas apiet jūsu identitātes pārvaldības kontroles. Šis iestatījums var radīt ēnu tenantus, nepārvaldītus viesu kontus un iespējamu datu atklāšanu, ja ārējie lietotāji iegūst neparedzētu piekļuvi resursiem. Ļaunprātīgi dalībnieki varētu to izmantot, lai iegūtu atbalsta punktu jūsu organizācijā, vienkārši verificējot e-pasta adresi.
Ko pārbauda Aether365
Šī pārbaude pārliecinās, ka allowEmailVerifiedUsersToJoinOrganization iestatījums Entra ID autorizācijas politikā ir iestatīts uz false. Tas tiek parādīts Aether365 informācijas panelī sadaļā entra-id pārbaudes ar smaguma pakāpi "Vidējs".
Kā labot
- Pierakstieties Microsoft Entra admin centrā kā globālais administrators.
- Dodieties uz Identity (Identitāte) > External Identities (Ārējās identitātes) > External collaboration settings (Ārējās sadarbības iestatījumi).
- Sadaļā "Enable guest self-service sign up via user flows" (Iespējot viesu pašapkalpošanās reģistrāciju, izmantojot lietotāju plūsmas) pārslēdziet slēdzi uz No (Nē) (tas neļauj e-pasta verificētiem lietotājiem pievienoties tenantam).
- Kā alternatīvu izmantojiet Microsoft Graph PowerShell vai Graph API, lai iestatītu
allowEmailVerifiedUsersToJoinOrganizationīpašību uzfalseautorizācijas politikā. - Pārbaudiet izmaiņas, apstiprinot, ka iestatījums vairs nav iestatīts uz noklusējuma vērtību
true.
Atbilstība
- EIDSCA: EIDSCA.AP06
Saistītie resursi
- Self-service sign up for email-verified users - Microsoft Entra ID
- authorizationPolicy resource type - Microsoft Graph v1.0
- Open in Graph Explorer