訪客帳戶和一般帳戶享有同等存取權

B2B collaboration 是 Microsoft Entra ID 的一項功能，可供您的使用者邀請訪客與貴組織協作。根據預設，這些訪客使用者 (也稱為「外部身分」) 會取得 Microsoft 所述的存取權:

他們可以管理自己的設定檔、變更自己的密碼，以及擷取有關其他使用者、群組和應用程式的特定資訊。但是，他們無法讀取所有目錄資訊。 例如，訪客使用者無法列舉所有使用者、群組和其他目錄物件的清單。您可以指派管理員角色給訪客，授予他們完整的讀取和寫入權限。訪客也可以邀請其他訪客。

因此根據預設，訪客只能在其邀請的租用戶中看到有限的內容。然而，有一項設定可授予訪客使用者更多權限，名為「訪客帳戶和一般帳戶享有同等存取權 (範圍最廣)」，其影響如下:

預設將成員使用者的所有權限授予訪客使用者。

啟用此設定會增加安全風險，使外部訪客 (包括潛在攻擊者) 更容易收集有關使用者、群組和其他資產的資訊，進而提升租用戶受到入侵或資料外洩的可能性。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「來賓對目錄物件的存取受到限制」。

如欲限制訪客使用者在租用戶中的瀏覽權限，您必須在 Entra ID 中設定訪客使用者存取限制。最低要求是將設定還原為預設值:「訪客使用者對目錄物件的屬性和成員資格僅享有限存取權」。或者，您也可以選擇更嚴格的選項，將設定改為「訪客使用者存取權僅限自己目錄物件的屬性與成員資格 (最嚴格)」。

請注意，這可能會提升與外部使用者協作的難度。

名稱: 訪客帳戶和一般帳戶享有同等存取權

代碼名稱: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure