Default Authorization Settings - Guest user access

Kāpēc tas ir svarīgi

Vieslietotāju piekļuves atļaujas nosaka, kādus direktorija objektus ārējie lietotāji var apskatīt jūsu Entra ID nomniekā. Ja vieslietotājiem ir piešķirta noklusējuma loma, nevis ierobežota loma, viņi var apskatīt lietotāju informāciju, grupu dalības un citu direktorija informāciju, kurai būtu jāpaliek iekšējai. Viesu piekļuves ierobežošana samazina datu atklāšanas risku un atbilst nulles uzticības principiem.

Ko pārbauda Aether365

Šī pārbaude apstiprina, ka guestUserRoleId iestatījums authorizationPolicy ir konfigurēts ar ierobežoto vērtību 2af84b1e-32c8-42b7-82bc-daa82404023b. Tas ir redzams Aether365 panelī zem entra-id pārbaudēm un norāda uz jebkuru novirzi no šīs ieteicamās konfigurācijas.

Kā labot

1. Pierakstieties Microsoft Entra admin center ar atbilstošām atļaujām.
2. Dodieties uz Identity > External Identities > External collaboration settings.
3. Sadaļā Guest user access atlasiet "Guest users have limited access to properties and memberships of directory objects."
4. Alternatīvi, izmantojiet Microsoft Graph API, lai atjauninātu authorizationPolicy: PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy ar pamattekstu {"guestUserRoleId":"2af84b1e-32c8-42b7-82bc-daa82404023b"}.
5. Pārbaudiet izmaiņas, pārskatot guestUserRoleId vērtību politikā.

Atbilstība

• EIDSCA: EIDSCA.AP07
• CISA SCuBA: 2.18 Vieslietotājiem jābūt ierobežotai piekļuvei Entra ID direktorija objektiem

Saistītie resursi

• authorizationPolicy resursa tips - Microsoft Graph v1.0
• Atvērt Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer