Default Authorization Settings - Guest user access

De ce este important

Permisiunile de acces ale utilizatorilor invitați determină ce obiecte de director pot vizualiza utilizatorii externi în entitatea dvs. Entra ID. Dacă utilizatorilor invitați li se atribuie rolul implicit, în loc de unul restrâns, aceștia pot enumera detalii despre utilizatori, apartenența la grupuri și alte informații de director care ar trebui să rămână interne. Limitarea accesului invitaților reduce riscul de expunere a datelor și se aliniază principiilor zero-trust.

Ce verifică Aether365

Această verificare confirmă că setarea guestUserRoleId din authorizationPolicy este configurată la valoarea restrânsă 2af84b1e-32c8-42b7-82bc-daa82404023b. Apare în tabloul de bord Aether365 sub verificările entra-id și semnalează orice abatere de la această configurație recomandată.

Cum se remediază

1. Conectați-vă la Microsoft Entra admin center cu permisiunile corespunzătoare.
2. Accesați Identity > External Identities > External collaboration settings.
3. Sub Guest user access, selectați "Guest users have limited access to properties and memberships of directory objects."
4. Alternativ, utilizați Microsoft Graph API pentru a actualiza authorizationPolicy: PATCH https://graph.microsoft.com/v1.0/policies/authorizationPolicy cu corpul {"guestUserRoleId":"2af84b1e-32c8-42b7-82bc-daa82404023b"}.
5. Verificați modificarea consultând valoarea guestUserRoleId din politică.

Conformitate

• EIDSCA: EIDSCA.AP07
• CISA SCuBA: 2.18 Utilizatorii invitați ar trebui să aibă acces limitat la obiectele de director Entra ID

Resurse conexe

• Tipul de resursă authorizationPolicy - Microsoft Graph v1.0
• Deschideți în Graph Explorer

Microsoft references

• Authorizationpolicy
• Graph explorer