Default Settings - Classification and M365 Groups - M365 groups - Allow Guests to become Group Owner
Kāpēc tas ir svarīgi
Atļaut vieslietotājiem kļūt par Microsoft 365 grupu īpašniekiem var novest pie neatļautas kontroles pār grupas dalību un iestatījumiem. Vieslietotāji var nebūt pakļauti tādiem pašiem organizācijas noteikumiem un uzraudzībai kā iekšējie darbinieki, palielinot datu atklāšanas vai neatbilstošas piekļuves risku. Administratoriem vajadzētu ierobežot šo iespēju, lai uzturētu atbilstošu pārvaldību pār grupas resursiem.
Ko pārbauda Aether365
Šī pārbaude apstiprina, ka direktorija iestatījums "Allow Guests to become Group Owner" ir iestatīts uz false Microsoft 365 grupām. Atrastais rezultāts parādās Aether365 informācijas panelī sadaļā entra-id pārbaudes.
Kā labot
- Pieslēdzieties Microsoft Entra ID, izmantojot PowerShell:
Connect-MgGraph -Scopes "Directory.ReadWrite.All" - Iegūstiet pašreizējo direktorija iestatījumu veidni grupām:
$template = Get-MgDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} - Ja nav pielāgotu iestatījumu, izveidojiet tos:
$setting = New-MgDirectorySetting -TemplateId $template.Id - Atrodiet iestatījumu viesu īpašnieka atļaujām un atjauniniet to:
$setting.Values | ForEach-Object { if ($_.Name -eq "AllowGuestsToBeGroupOwner") { $_.Value = "false" } } - Pielietojiet atjauninātos iestatījumus:
Update-MgDirectorySetting -DirectorySettingId $setting.Id -BodyParameter $setting.Values
Alternatīvi izmantojiet Microsoft Graph API Graph Explorer, lai atjauninātu iestatījuma vērtību uz false.
Atbilstība
- EIDSCA: EIDSCA.ST08
- CISA SCuBA: 2.18 (Vieslietotājiem būtu jābūt ierobežotai piekļuvei Entra ID direktorija objektiem)
Saistītie resursi
- Microsoft Learn: Microsoft Entra cmdlets grupu iestatījumu konfigurēšanai
- Graph API dokumentācija: directorySetting resursa tips
- Graph Explorer: Atvērt Graph Explorer