Guest users SHOULD have limited or restricted access to Entra ID directory objects.
Varför detta är viktigt
Gästanvändares åtkomst till katalogobjekt är en vanlig attackvektor i hybrididentitetsmiljöer. Om gästkonton behåller breda läsbehörigheter till klientkataloginformation kan en angripare kartlägga användare, grupper och appregistreringar för att identifiera privilegierade mål i din miljö. Att begränsa gästers katalogåtkomst minskar skadeomfattningen vid ett komprometterat gästkonto och följer principen om lägsta behörighet.
Vad Aether365 kontrollerar
Aether365 verifierar att inställningen "Gästanvändare har begränsad eller restriktiv åtkomst till Entra ID-katalogobjekt" är korrekt konfigurerad i Microsoft Entra ID-klientinställningarna. Denna kontroll visas i Aether365-instrumentpanelen under kategorin entra-id och rapporterar en allvarlighetsgrad på Medel om inställningen tillåter fullständig katalogåtkomst för gäster.
Så här åtgärdar du
- Logga in på Microsoft Entra admin center på https://entra.microsoft.com.
- Navigera till Identity, sedan Users, och välj User settings.
- Under Guest user access, leta upp "Gästanvändare har begränsad eller restriktiv åtkomst till Entra ID-katalogobjekt".
- Välj alternativet "Gästanvändares åtkomst är begränsad till egenskaper för och medlemskap i deras egna katalogobjekt (mest restriktivt)".
- Klicka på Save för att tillämpa ändringen.
Efterlevnad
- CIS Microsoft 365 Foundations Benchmark: CISA.MS.AAD.8.1
- CISA-riktlinjer (Cybersecurity and Infrastructure Security Agency)
Relaterade resurser
- Microsoft Entra ID-dokumentation om externa identiteter
- Konfigurera åtkomstkontroller för gästanvändare i Microsoft Entra ID