Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Prečo je to dôležité
Oprávnenie allowedToReadOtherUsers určuje, či môžu bežní používatelia zobrazovať profily iných používateľov v rámci celého tenanta. Povolenie tohto nastavenia (predvolená hodnota) podporuje funkcie spolupráce, ako je vyhľadávanie používateľov v Microsoft Teams a SharePoint, zároveň však sprístupňuje podrobné informácie o profiloch všetkým overeným používateľom. Obmedzenie tohto oprávnenia znižuje riziko neoprávneného prieskumu údajov, ale môže ovplyvniť používateľský zážitok pri vyhľadávaní v adresári a v scenároch výberu osôb.
Čo kontroluje Aether365
Aether365 overuje, či je nastavenie defaultUserRolePermissions.allowedToReadOtherUsers v autorizačnej politike Microsoft Entra ID nakonfigurované na hodnotu false, čím obmedzuje možnosť používateľov čítať úplné profily iných používateľov. Táto kontrola sa zobrazuje na vašom paneli Aether365 v službe entra-id.
Ako to opraviť
- Prihláste sa do Microsoft Entra admin center ako globálny správca.
- Prejdite na Identity > External Identities > User settings.
- V časti Default user role permissions nájdite možnosť Users can read other users.
- Nastavte tento prepínač na No, čím zakážete bežným používateľom čítať profily iných používateľov.
- Prípadne použite Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Súlad s normami
- EIDSCA: EIDSCA.AP14
- Rámec: EIDSCA