說明

B2B 協作是 Microsoft Entra ID 的一項功能,可供您的使用者邀請訪客與貴組織協作。根據預設,這些訪客使用者 (也稱為「外部身分」) 會取得 Microsoft 所述的存取權:

他們可以管理自己的設定檔、變更自己的密碼,以及擷取有關其他使用者、群組和應用程式的特定資訊。但是,他們無法讀取所有目錄資訊。 例如,訪客使用者無法列舉所有使用者、群組和其他目錄物件的清單。您可以指派管理員角色給訪客,授予他們完整的讀取和寫入權限。訪客也可以邀請其他訪客。

如果貴組織在訪客使用者方面非常注重安全性和隱私性,您可以透過調整預設設定來強化這些層面。選取「訪客使用者存取權僅限自己目錄物件的屬性與成員資格 (最嚴格)」選項將導致:

根據預設,此設定只允許訪客存取自己的使用者設定檔。這表示即使透過使用者主體名稱、物件 ID 或顯示名稱進行搜尋,訪客也無法取得其他使用者的存取權。不僅如此,此設定還會限制存取群組資訊,包括群組成員資格。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「來賓對目錄物件的存取受到限制」。

解決方案

若要限制訪客使用者在租用戶中的瀏覽權限,必須在 Entra ID 中選取「訪客使用者存取權僅限自己目錄物件的屬性與成員資格 (最嚴格)」選項,以限制訪客使用者的存取權

請注意,這可能會提升與外部使用者協作的難度。

指標詳細資料

名稱: 未受限訪客帳戶

代碼名稱: UNRESTRICTED-GUEST-ACCOUNTS

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: