Default Authorization Settings - Default User Role Permissions - Allowed to read other users
De ce este important
Permisiunea allowedToReadOtherUsers controlează dacă utilizatorii impliciți pot vedea profilurile altor utilizatori din întregul tenant. Activarea acestei setări (valoarea implicită) suportă funcționalități de colaborare precum căutarea utilizatorilor în Microsoft Teams și SharePoint, dar expune și informații detaliate de profil tuturor utilizatorilor autentificați. Restricționarea acestei permisiuni reduce riscul de recunoaștere neautorizată a datelor, dar poate afecta experiența utilizatorilor în scenarii de căutare în director și în selectorul de persoane.
Ce verifică Aether365
Aether365 verifică dacă setarea defaultUserRolePermissions.allowedToReadOtherUsers din politica de autorizare Microsoft Entra ID este configurată ca false, ceea ce împiedică utilizatorii să citească datele complete de profil ale altora. Această verificare apare în tabloul de bord Aether365, sub serviciul entra-id.
Cum se remediază
- Conectați-vă la Microsoft Entra admin center ca Administrator Global.
- Navigați la Identity > External Identities > User settings.
- Sub Default user role permissions, localizați Users can read other users.
- Setați acest comutator la No pentru a bloca utilizatorii impliciți să citească profilurile altor utilizatori.
- Alternativ, utilizați Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Conformitate
- EIDSCA: EIDSCA.AP14
- Cadru de referință: EIDSCA