Default Authorization Settings - Sign-up for email based subscription
Чому це важливо
Надання користувачам можливості реєструватися для підписок на основі електронної пошти може призвести до несанкціонованої самостійної реєстрації в вашому tenant Microsoft 365. Це обходить заходи контролю IT-адміністрування та може дозволити зловмисникам отримати доступ до ресурсів вашої організації через небажані підписки. Вимкнення цього параметра гарантує, що лише авторизовані адміністратори керують підписками.
Що перевіряє Aether365
Aether365 перевіряє, чи властивість allowedToSignUpEmailBasedSubscriptions у політиці авторизації Microsoft Entra ID встановлена на false. Ця перевірка відображається в панелі керування Aether365 у розділі перевірок entra-id та позначається як середньої серйозності у разі неправильного налаштування.
Як виправити
- Відкрийте Windows PowerShell від імені адміністратора.
- Виконайте
Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"для автентифікації з необхідними дозволами. - Виконайте
Update-MgPolicyAuthorizationPolicy -AllowedToSignupEmailBasedSubscriptions $false, щоб вимкнути реєстрації на підписки на основі електронної пошти. - Підтвердьте зміну, виконавши
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions.
Для користувачів Azure Portal перейдіть до Microsoft Entra ID, виберіть External Identities, потім External collaboration settings. Встановіть "Enable email one-time passcode for guests" на No та відповідно перегляньте налаштування самостійної реєстрації.
Відповідність стандартам
- EIDSCA: EIDSCA.AP05
Пов'язані ресурси
- authorizationPolicy resource type - Microsoft Graph v1.0
- Graph Explorer: Open policies/authorizationPolicy