Gastkonto mit einer privilegierten Rolle

B2B collaboration ist eine Microsoft Entra ID-Funktion, mit der Ihre Benutzer Gäste zur Zusammenarbeit mit Ihrer Organisation einladen können. Diese Gastkonten, auch „externe Identitäten“ genannt, erhalten standardmäßig Zugriff wie von Microsoft beschrieben:

Sie können ihr eigenes Profil verwalten, ihr eigenes Passwort ändern und bestimmte Informationen über andere Benutzer, Gruppen und Anwendungen abrufen. Sie können jedoch nicht alle Verzeichnisinformationen lesen. Beispielsweise können Gastbenutzer keine Auflistung aller Benutzer, Gruppen und anderer Verzeichnisobjekte anzeigen. Es ist möglich, Gäste zu Administratorrollen hinzuzufügen und ihnen vollständige Lese- und Schreibberechtigungen zu erteilen. Gäste können auch andere Gäste einladen.

Privilegierte Rollen haben definitionsgemäß erhöhte Rechte. Gastkonten, denen eine privilegierte Rolle zugewiesen ist, stellen ein Sicherheitsrisiko dar und vergrößern die Angriffsfläche des Mandanten erheblich. Dies ist besonders besorgniserregend, da auf Gastkonten möglicherweise schwächere Sicherheitsrichtlinien angewendet werden, was sie anfälliger für Kompromittierungen macht. Darüber hinaus können die Aktivitäten von Gastbenutzern, denen privilegierte Rollen zugewiesen werden, schlechter nachverfolgt und deshalb schwerer überwacht und geprüft werden. Im schlimmsten Fall können solche Zuweisungen sogar auf eine Kompromittierung hinweisen, da Bedrohungsakteure häufig Gastkonten ausnutzen, um sich nicht autorisierten Zugriff zu verschaffen und sich lateral innerhalb der Umgebung zu bewegen.

Überwachen Sie diese Gastkonten sorgfältig und stellen Sie sicher, dass Sie ihnen keine privilegierten Rollen zuweisen.

Um eine Offenlegung Ihres Mandanten außerhalb Ihrer Organisation zu verhindern, widerrufen Sie privilegierte Rollen von Gastkonten oder heben Sie die Zuweisung auf.

Name: Gastkonto mit einer privilegierten Rolle

Codename: GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure