Guest users SHOULD have limited or restricted access to Entra ID directory objects.
Prečo je to dôležité
Prístup používateľov typu guest k objektom adresára predstavuje bežný útočný vektor v hybridných prostrediach identity. Ak si účty typu guest zachovajú široké oprávnenia na čítanie informácií o nájomníkovi, útočník by mohol získať zoznam používateľov, skupín a registrácií aplikácií, čím by si zmapoval vaše prostredie a identifikoval privilegované ciele. Obmedzenie prístupu hostí k adresáru znižuje dosah kompromitovaného účtu typu guest a je v súlade s princípmi najnižších privilégií.
Čo Aether365 kontroluje
Aether365 overuje, či je nastavenie "Guest users have limited or restricted access to Entra ID directory objects" správne nakonfigurované v nastaveniach nájomníka Microsoft Entra ID. Táto kontrola sa zobrazuje na paneli Aether365 v kategórii entra-id a hlási zistenie so strednou závažnosťou, ak je nastavenie povolené pre plný prístup hostí k adresáru.
Ako to opraviť
- Prihláste sa do Microsoft Entra admin center na https://entra.microsoft.com.
- Prejdite na Identity, potom na Users a vyberte User settings.
- V časti Guest user access nájdite "Guest users have limited or restricted access to Entra ID directory objects".
- Nastavte možnosť na "Guest user access is limited to properties and memberships of their own directory objects (most restrictive)".
- Kliknutím na Save uložte zmenu.
Súlad s predpismi
- CIS Microsoft 365 Foundations Benchmark: CISA.MS.AAD.8.1
- Odporúčanie CISA (Cybersecurity and Infrastructure Security Agency)
Súvisiace zdroje
- Microsoft Entra ID external identities documentation
- Configure guest user access controls in Microsoft Entra ID