訪客帳戶具有特權角色

B2B collaboration 是 Microsoft Entra ID 的一項功能，可供您的使用者邀請訪客與貴組織協作。根據預設，這些訪客帳戶 (也稱為「外部身分」) 會取得 Microsoft 所述的存取權:

他們可以管理自己的設定檔、變更自己的密碼，以及擷取有關其他使用者、群組和應用程式的特定資訊。但是，他們無法讀取所有目錄資訊。 例如，訪客使用者無法列舉所有使用者、群組和其他目錄物件的清單。您可以指派管理員角色給訪客，授予他們完整的讀取和寫入權限。訪客也可以邀請其他訪客。

從定義上來看，特權角色本身就擁有較高的特權。一旦訪客帳戶獲派特權角色，就會造成安全風險，並顯著增加租用戶的攻擊破綻。另外由於訪客帳戶適用的安全性原則可能較脆弱，更容易受到入侵，因此這項問題需要特別注意。此外，向訪客使用者指派特權角色會導致其行為難以追蹤，進而增加監控和稽核的難度。最糟的情況是，此類指派可能反映出帳戶已受到入侵，因為威脅執行者經常利用訪客帳戶來竊取未授權的存取權，並在系統內部進行橫向滲透。

請仔細監控這些訪客帳戶，並避免向其指派特權角色。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「來賓未獲指派高特權目錄角色」。

為了防止租用戶資源暴露於組織之外，請撤銷或取消訪客帳戶獲派的任何特權角色。

名稱: 訪客帳戶具有特權角色

代碼名稱: GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure