Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Dlaczego jest to ważne
Uprawnienie allowedToReadOtherUsers kontroluje, czy domyślni użytkownicy mogą przeglądać profile innych użytkowników w całej dzierżawie. Włączenie tego ustawienia (domyślnie włączone) umożliwia funkcje współpracy, takie jak wyszukiwanie użytkowników w Microsoft Teams i SharePoint, ale jednocześnie ujawnia szczegółowe informacje o profilach wszystkim uwierzytelnionym użytkownikom. Ograniczenie tego uprawnienia zmniejsza ryzyko nieautoryzowanego rozpoznania danych, ale może wpłynąć na komfort pracy w scenariuszach wyszukiwania w katalogu i wyboru osób.
Co sprawdza Aether365
Aether365 weryfikuje, czy ustawienie defaultUserRolePermissions.allowedToReadOtherUsers w zasadach autoryzacji Microsoft Entra ID jest skonfigurowane na false, co uniemożliwia użytkownikom odczytywanie pełnych danych profilowych innych osób. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w usłudze entra-id.
Jak naprawić
- Zaloguj się do Microsoft Entra admin center jako Administrator globalny.
- Przejdź do Identity > External Identities > User settings.
- W sekcji Default user role permissions znajdź opcję Users can read other users.
- Ustaw przełącznik na No, aby zablokować domyślnym użytkownikom odczytywanie profili innych osób.
- Alternatywnie, użyj Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Zgodność
- EIDSCA: EIDSCA.AP14
- Ramy: EIDSCA