Default Settings - Classification and M365 Groups - M365 groups - Allow Guests to become Group Owner
De ce este important
Permiterea utilizatorilor invitați (guest users) să devină proprietari de grupuri Microsoft 365 poate duce la control neautorizat asupra apartenenței la grup și a setărilor acestuia. Utilizatorii invitați s-ar putea să nu fie supuși acelorași politici organizaționale și supravegherii ca angajații interni, ceea ce crește riscul expunerii datelor sau al accesului necorespunzător. Administratorii ar trebui să restricționeze această capacitate pentru a menține o guvernanță adecvată asupra resurselor grupului.
Ce verifică Aether365
Această verificare confirmă că setarea de director "Allow Guests to become Group Owner" este configurată ca false pentru grupurile Microsoft 365. Rezultatul apare în tabloul de bord Aether365, în secțiunea verificărilor entra-id.
Cum se remediază
- Conectați-vă la Microsoft Entra ID utilizând PowerShell:
Connect-MgGraph -Scopes "Directory.ReadWrite.All" - Recuperați șablonul curent de setări de director pentru grupuri:
$template = Get-MgDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} - Dacă nu există setări personalizate, creați-le:
$setting = New-MgDirectorySetting -TemplateId $template.Id - Localizați setarea pentru permisiunea de proprietar invitat și actualizați-o:
$setting.Values | ForEach-Object { if ($_.Name -eq "AllowGuestsToBeGroupOwner") { $_.Value = "false" } } - Aplicați setările actualizate:
Update-MgDirectorySetting -DirectorySettingId $setting.Id -BodyParameter $setting.Values
Alternativ, utilizați API-ul Microsoft Graph în Graph Explorer pentru a actualiza valoarea setării la false.
Conformitate
- EIDSCA: EIDSCA.ST08
- CISA SCuBA: 2.18 (Utilizatorii invitați AR trebui să aibă acces limitat la obiectele de director Entra ID)
Resurse conexe
- Microsoft Learn: Cmdlet-uri Microsoft Entra pentru configurarea setărilor de grup
- Documentația Graph API: tipul de resursă directorySetting
- Graph Explorer: Deschideți în Graph Explorer