Default Authorization Settings - Default User Role Permissions - Allowed to read other users
Чому це важливо
Дозвіл allowedToReadOtherUsers визначає, чи можуть звичайні користувачі переглядати профілі інших користувачів у всьому клієнті. Увімкнення цього параметра (за замовчуванням) підтримує функції спільної роботи, як-от пошук користувачів у Microsoft Teams та SharePoint, але також відкриває детальну інформацію профілю для всіх автентифікованих користувачів. Обмеження цього дозволу знижує ризик несанкціонованої розвідки даних, однак може вплинути на роботу з пошуком у каталозі та вибором користувачів.
Що перевіряє Aether365
Aether365 перевіряє, чи налаштовано параметр defaultUserRolePermissions.allowedToReadOtherUsers у політиці авторизації Microsoft Entra ID на значення false, що обмежує можливість користувачів читати повні дані профілів інших. Ця перевірка відображається на панелі керування Aether365 у розділі entra-id.
Як виправити
- Увійдіть до Microsoft Entra admin center як глобальний адміністратор.
- Перейдіть до Identity > External Identities > User settings.
- У розділі Default user role permissions знайдіть пункт Users can read other users.
- Встановіть перемикач у положення No, щоб заблокувати звичайним користувачам читання профілів інших.
- Або скористайтеся Microsoft Graph PowerShell:powershell
Update-MgPolicyAuthorizationPolicy -BodyParameter @{DefaultUserRolePermissions = @{AllowedToReadOtherUsers = $false}}
Відповідність стандартам
- EIDSCA: EIDSCA.AP14
- Фреймворк: EIDSCA