Default Settings - Classification and M365 Groups - M365 groups - Allow Guests to become Group Owner
Prečo je to dôležité
Povolenie hosťovským používateľom stať sa vlastníkmi skupín v Microsoft 365 môže viesť k nekontrolovanému riadeniu členstva a nastavení skupín. Hosťovskí používatelia nemusia podliehať rovnakým organizačným politikám a dohľadu ako interní zamestnanci, čo zvyšuje riziko úniku údajov alebo nevhodného prístupu. Správcovia by mali túto možnosť obmedziť, aby sa zachovala správna správa skupinových zdrojov.
Čo kontroluje Aether365
Táto kontrola overuje, či je nastavenie adresára "Allow Guests to become Group Owner" (Povoliť hosťom stať sa vlastníkom skupiny) nastavené na false pre skupiny Microsoft 365. Výsledok kontroly sa zobrazí v paneli Aether365 v sekcii kontroly entra-id.
Ako to opraviť
- Pripojte sa k Microsoft Entra ID pomocou PowerShellu:
Connect-MgGraph -Scopes "Directory.ReadWrite.All" - Získajte aktuálnu šablónu nastavení adresára pre skupiny:
$template = Get-MgDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} - Ak neexistujú žiadne vlastné nastavenia, vytvorte ich:
$setting = New-MgDirectorySetting -TemplateId $template.Id - Nájdite nastavenie pre povolenie hosťovského vlastníctva a aktualizujte ho:
$setting.Values | ForEach-Object { if ($_.Name -eq "AllowGuestsToBeGroupOwner") { $_.Value = "false" } } - Použite aktualizované nastavenia:
Update-MgDirectorySetting -DirectorySettingId $setting.Id -BodyParameter $setting.Values
Alternatívne môžete použiť Microsoft Graph API v Graph Exploreri na aktualizáciu hodnoty nastavenia na false.
Súlad s predpismi
- EIDSCA: EIDSCA.ST08
- CISA SCuBA: 2.18 (Hosťovskí používatelia by mali mať obmedzený prístup k objektom adresára Entra ID)
Súvisiace zdroje
- Microsoft Learn: Rutiny Microsoft Entra na konfiguráciu nastavení skupín
- Dokumentácia Graph API: Typ prostriedku directorySetting
- Graph Explorer: Otvoriť v Graph Exploreri