Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Varför detta är viktigt
Behörigheten allowedToReadOtherUsers styr om standardanvändare kan visa andra användares profiler i hela klientorganisationen. Att aktivera denna inställning (standard) stödjer samarbetsfunktioner som användarsökning i Microsoft Teams och SharePoint, men exponerar även detaljerad profilinformation för alla autentiserade användare. Om du begränsar denna behörighet minskar risken för obehörig dataavspaning, men det kan påverka användarupplevelsen vid katalogbaserad sökning och personväljarscenarier.
Vad Aether365 kontrollerar
Aether365 verifierar om inställningen defaultUserRolePermissions.allowedToReadOtherUsers i Microsoft Entra ID:s auktoriseringspolicy är konfigurerad som false, vilket förhindrar användare från att läsa andras fullständiga profildata. Denna kontroll visas i din Aether365-instrumentpanel under tjänsten entra-id.
Åtgärd
- Logga in i Microsoft Entra admin center som global administratör.
- Navigera till Identity > External Identities > User settings.
- Under Default user role permissions, leta reda på Users can read other users.
- Ställ in reglaget på No för att hindra standardanvändare från att läsa andra användares profiler.
- Alternativt kan du använda Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Efterlevnad
- EIDSCA: EIDSCA.AP14
- Ramverk: EIDSCA