Default Authorization Settings - User can join the tenant by email validation
De Ce Este Important
Atunci când utilizatorii verificați prin email se pot alătura tenant-ului dvs. fără aprobare, se creează un punct de intrare în directorul negestionat care ocolește controalele de guvernanță a identității. Această setare poate duce la tenanți fantomă, conturi de invitat negestionate și potențiala expunere a datelor dacă utilizatorii externi obțin acces neintenționat la resurse. Actorii rău intenționați ar putea exploata acest lucru pentru a-și stabili o prezență în organizația dvs. prin simpla verificare a unei adrese de email.
Ce Verifică Aether365
Această verificare confirmă că setarea allowEmailVerifiedUsersToJoinOrganization din politica de autorizare Entra ID este configurată la false. Apare în tabloul de bord Aether365 sub verificările entra-id cu severitate Medie.
Cum Se Rezolvă
- Conectați-vă la Microsoft Entra admin center ca Administrator Global.
- Accesați Identity > External Identities > External collaboration settings.
- La secțiunea "Enable guest self-service sign up via user flows", comutați butonul la No (aceasta împiedică utilizatorii verificați prin email să se alăture tenant-ului).
- Alternativ, utilizați Microsoft Graph PowerShell sau Graph API pentru a configura proprietatea
allowEmailVerifiedUsersToJoinOrganizationlafalseîn politica de autorizare. - Verificați modificarea confirmând că setarea nu mai are valoarea implicită
true.
Conformitate
- EIDSCA: EIDSCA.AP06
Resurse Conexe
- Self-service sign up for email-verified users - Microsoft Entra ID
- authorizationPolicy resource type - Microsoft Graph v1.0
- Open in Graph Explorer