Default Settings - Classification and M365 Groups - M365 groups - Allow Guests to become Group Owner
Dlaczego to jest ważne
Umożliwienie użytkownikom-gościom zostawania właścicielami grup w Microsoft 365 może prowadzić do nieuprawnionej kontroli nad członkostwem i ustawieniami grupy. Użytkownicy-goście mogą nie podlegać tym samym zasadom organizacyjnym i nadzorowi co wewnętrzni pracownicy, co zwiększa ryzyko ujawnienia danych lub nieodpowiedniego dostępu. Administratorzy powinni ograniczyć tę możliwość, aby zachować właściwe zarządzanie zasobami grupowymi.
Co sprawdza Aether365
To sprawdzenie potwierdza, że ustawienie katalogu "Allow Guests to become Group Owner" jest ustawione na false dla grup Microsoft 365. Wynik pojawia się na pulpicie nawigacyjnym Aether365 w sekcji sprawdzeń entra-id.
Jak naprawić
- Połącz się z Microsoft Entra ID za pomocą PowerShell:
Connect-MgGraph -Scopes "Directory.ReadWrite.All" - Pobierz bieżący szablon ustawień katalogu dla grup:
$template = Get-MgDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} - Jeśli nie istnieją niestandardowe ustawienia, utwórz je:
$setting = New-MgDirectorySetting -TemplateId $template.Id - Znajdź ustawienie dotyczące uprawnień właściciela-gościa i zaktualizuj je:
$setting.Values | ForEach-Object { if ($_.Name -eq "AllowGuestsToBeGroupOwner") { $_.Value = "false" } } - Zastosuj zaktualizowane ustawienia:
Update-MgDirectorySetting -DirectorySettingId $setting.Id -BodyParameter $setting.Values
Alternatywnie, użyj Microsoft Graph API w Graph Explorer, aby zaktualizować wartość ustawienia na false.
Zgodność
- EIDSCA: EIDSCA.ST08
- CISA SCuBA: 2.18 (Użytkownicy-goście POWINNI mieć ograniczony dostęp do obiektów katalogu Entra ID)
Pokrewne zasoby
- Microsoft Learn: Polecenia cmdlet Entra ID do konfigurowania ustawień grup
- Dokumentacja Graph API: Typ zasobu directorySetting
- Graph Explorer: Otwórz w Graph Explorer