Default Authorization Settings - Guest invite restrictions
Dlaczego to jest ważne
Zaproszenia dla użytkowników-gości otwarte dla wszystkich użytkowników stanowią znaczące ryzyko bezpieczeństwa, ponieważ umożliwiają nieautoryzowanym osobom zapraszanie zewnętrznych stron do dzierżawy. Ograniczenie uprawnień do zapraszania gości tylko do wyznaczonych administratorów i osób zapraszających gości zmniejsza powierzchnię ataku i zapobiega nieautoryzowanemu dostępowi. Bez tego mechanizmu kontroli każdy użytkownik w organizacji może potencjalnie zaprosić złośliwe podmioty do środowiska.
Co sprawdza Aether365
Aether365 weryfikuje, czy ustawienie allowInvitesFrom w zasadach autoryzacji jest skonfigurowane jako adminsAndGuestInviters lub none. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w ramach sprawdzeń entra-id pod identyfikatorem EIDSCA.AP04.
Jak naprawić
- Zaloguj się do Microsoft Entra admin center jako Global Administrator.
- Przejdź do Identity > External Identities > External collaboration settings.
- W obszarze Guest invite settings wybierz opcję "Only users assigned to specific admin roles can invite guests" lub "No one in the organization can invite guests including admins".
- Kliknij Save, aby zastosować zmianę.
- Alternatywnie użyj Microsoft Graph API z żądaniem PATCH do punktu końcowego
policies/authorizationPolicy, ustawiającallowInvitesFromnaadminsAndGuestInviterslubnone.
Zgodność
- CISA SCuBA 2.18: Tylko użytkownicy z rolą Guest Inviter powinni mieć możliwość zapraszania użytkowników-gości
- EIDSCA EIDSCA.AP04 ()