Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Hvorfor dette er viktig
allowedToReadOtherUsers-tillatelsen kontrollerer om standardbrukere kan se andre brukeres profiler på tvers av leietakeren. Å aktivere denne innstillingen (standard) støtter samarbeidsfunksjoner som brukeroppslag i Microsoft Teams og SharePoint, men den eksponerer også detaljert profilinformasjon for alle autentiserte brukere. Å begrense denne tillatelsen reduserer risikoen for uautorisert datarekognosering, men kan påvirke brukeropplevelsen i katalogbaserte søk og personvelger-scenarier.
Hva Aether365 sjekker
Aether365 verifiserer om innstillingen defaultUserRolePermissions.allowedToReadOtherUsers i Microsoft Entra ID-autorisasjonspolicyen er konfigurert til false, noe som hindrer brukere i å lese andres fullstendige profildata. Denne kontrollen vises i Aether365-dashbordet under entra-id-tjenesten.
Slik fikser du det
- Logg på Microsoft Entra admin center som global administrator.
- Gå til Identity > External Identities > User settings.
- Under Default user role permissions finner du Users can read other users.
- Sett denne vippebryteren til No for å blokkere standardbrukere fra å lese andres profiler.
- Alternativt kan du bruke Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Samsvar
- EIDSCA: EIDSCA.AP14
- Rammeverk: EIDSCA