Default Authorization Settings - User can join the tenant by email validation

Neden Önemli

E-posta doğrulaması yapmış kullanıcılar onay alınmadan kiracınıza katılabildiğinde, kimlik yönetimi kontrollerinizi atlatan yönetilmeyen bir dizin giriş noktası oluşur. Bu ayar; gölge kiracılara, yönetilmeyen konuk hesaplarına ve harici kullanıcıların kaynaklara istenmeyen erişim sağlaması durumunda olası veri sızıntılarına yol açabilir. Kötü niyetli aktörler, yalnızca bir e-posta adresini doğrulayarak kuruluşunuzda bir dayanak noktası oluşturmak için bundan faydalanabilir.

Aether365 Kontrolü Ne Yapar

Bu kontrol, Entra ID yetkilendirme politikasındaki allowEmailVerifiedUsersToJoinOrganization ayarının false olarak ayarlanıp ayarlanmadığını doğrular. Aether365 panosunda, entra-id kontrolleri altında Orta (Medium) önem derecesiyle görünür.

Nasıl Düzeltilir

1. Microsoft Entra admin center'da Global Administrator olarak oturum açın.
2. Identity > External Identities > External collaboration settings bölümüne gidin.
3. "Enable guest self-service sign up via user flows" altındaki geçiş düğmesini Hayır olarak ayarlayın (bu, e-posta doğrulaması yapmış kullanıcıların kiracıya katılmasını engeller).
4. Alternatif olarak, Microsoft Graph PowerShell veya Graph API kullanarak yetkilendirme politikasındaki allowEmailVerifiedUsersToJoinOrganization özelliğini false olarak ayarlayın.
5. Ayarın varsayılan true değerinde olmadığını doğrulayarak değişikliği onaylayın.

Uyumluluk

• EIDSCA: EIDSCA.AP06

İlgili Kaynaklar

• E-posta doğrulaması yapmış kullanıcılar için self servis kaydolma - Microsoft Entra ID
• authorizationPolicy kaynak türü - Microsoft Graph v1.0
• Graph Explorer'da Aç

Microsoft references

• Directory self service signup
• Authorizationpolicy
• Graph explorer