Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Kāpēc tas ir svarīgi
Atļauja allowedToReadOtherUsers nosaka, vai noklusējuma lietotāji var skatīt citu lietotāju profilus visā nomniekā. Šī iestatījuma iespējošana (kas ir noklusējuma vērtība) atbalsta sadarbības funkcijas, piemēram, lietotāju meklēšanu Microsoft Teams un SharePoint, taču tā arī atklāj detalizētu profila informāciju visiem autentificētajiem lietotājiem. Šīs atļaujas ierobežošana samazina nesankcionētas datu izlūkošanas risku, bet var ietekmēt lietotāja pieredzi direktorija meklēšanā un cilvēku atlasītāja scenārijos.
Ko pārbauda Aether365
Aether365 pārbauda, vai defaultUserRolePermissions.allowedToReadOtherUsers iestatījums Microsoft Entra ID autorizācijas politikā ir konfigurēts kā false, kas ierobežo lietotāju iespēju lasīt citu lietotāju pilnus profila datus. Šī pārbaude ir redzama jūsu Aether365 informācijas panelī zem entra-id pakalpojuma.
Kā labot
- Piesakieties Microsoft Entra admin center kā globālais administrators.
- Dodieties uz Identity > External Identities > User settings.
- Sadaļā Default user role permissions atrodiet Users can read other users.
- Iestatiet šo slēdzi uz No, lai bloķētu noklusējuma lietotāju iespēju lasīt citu lietotāju profilus.
- Alternatīvi, izmantojiet Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Atbilstība
- EIDSCA: EIDSCA.AP14
- Ietvars: EIDSCA