Default Settings - Classification and M365 Groups - M365 groups - Allow Guests to become Group Owner

Bunun Önemi

Konuk kullanıcıların Microsoft 365 gruplarında grup sahibi olmasına izin vermek, grup üyeliği ve ayarları üzerinde yetkisiz kontrole yol açabilir. Konuk kullanıcılar, dahili çalışanlarla aynı kurumsal politikalara ve denetime tabi olmayabilir, bu da veri ifşası veya uygunsuz erişim riskini artırır. Yöneticiler, grup kaynakları üzerinde uygun yönetişimi sağlamak için bu yeteneği kısıtlamalıdır.

Aether365 Ne Kontrol Eder

Bu kontrol, Microsoft 365 grupları için "Konukların Grup Sahibi Olmasına İzin Ver" ("Allow Guests to become Group Owner") dizin ayarının false olarak ayarlanıp ayarlanmadığını doğrular. Bulgu, Aether365 panosunda entra-id kontrolleri bölümü altında görünür.

Düzeltme Yöntemi

1. PowerShell kullanarak Microsoft Entra ID'ye bağlanın: Connect-MgGraph -Scopes "Directory.ReadWrite.All"
2. Gruplar için geçerli dizin ayarları şablonunu alın:
   $template = Get-MgDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
3. Özel ayarlar yoksa, bunları oluşturun:
   $setting = New-MgDirectorySetting -TemplateId $template.Id
4. Konuk sahibi izni ayarını bulun ve güncelleyin:
   $setting.Values | ForEach-Object { if ($_.Name -eq "AllowGuestsToBeGroupOwner") { $_.Value = "false" } }
5. Güncellenmiş ayarları uygulayın:
   Update-MgDirectorySetting -DirectorySettingId $setting.Id -BodyParameter $setting.Values

Alternatif olarak, ayar değerini false olarak güncellemek için Graph Explorer'da Microsoft Graph API'sini kullanabilirsiniz.

Uyumluluk

• EIDSCA: EIDSCA.ST08
• CISA SCuBA: 2.18 (Konuk kullanıcıların Entra ID dizin nesnelerine SINIRLI erişimi OLMALIDIR)

İlgili Kaynaklar

• Microsoft Learn: Grup ayarlarını yapılandırmak için Microsoft Entra cmdlet'leri
• Graph API Dokümanları: directorySetting kaynak türü
• Graph Explorer: Graph Explorer'da Aç

Microsoft references

• Groups settings cmdlets
• Directorysetting
• Graph explorer