未受限訪客帳戶

B2B 協作是 Microsoft Entra ID 的一項功能，可供您的使用者邀請訪客與貴組織協作。根據預設，這些訪客使用者 (也稱為「外部身分」) 會取得 Microsoft 所述的存取權:

他們可以管理自己的設定檔、變更自己的密碼，以及擷取有關其他使用者、群組和應用程式的特定資訊。但是，他們無法讀取所有目錄資訊。 例如，訪客使用者無法列舉所有使用者、群組和其他目錄物件的清單。您可以指派管理員角色給訪客，授予他們完整的讀取和寫入權限。訪客也可以邀請其他訪客。

如果貴組織在訪客使用者方面非常注重安全性和隱私性，您可以透過調整預設設定來強化這些層面。選取「訪客使用者存取權僅限自己目錄物件的屬性與成員資格 (最嚴格)」選項將導致:

根據預設，此設定只允許訪客存取自己的使用者設定檔。這表示即使透過使用者主體名稱、物件 ID 或顯示名稱進行搜尋，訪客也無法取得其他使用者的存取權。不僅如此，此設定還會限制存取群組資訊，包括群組成員資格。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「來賓對目錄物件的存取受到限制」。

若要限制訪客使用者在租用戶中的瀏覽權限，必須在 Entra ID 中選取「訪客使用者存取權僅限自己目錄物件的屬性與成員資格 (最嚴格)」選項，以限制訪客使用者的存取權。

請注意，這可能會提升與外部使用者協作的難度。

名稱: 未受限訪客帳戶

代碼名稱: UNRESTRICTED-GUEST-ACCOUNTS

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure