Gastkonten mit gleichem Zugriff wie normale Konten

B2B collaboration ist eine Microsoft Entra ID-Funktion, mit der Ihre Benutzer Gäste zur Zusammenarbeit mit Ihrer Organisation einladen können. Diese Gastbenutzer, auch „externe Identitäten“ genannt, erhalten standardmäßig Zugriff wie von Microsoft beschrieben:

Sie können ihr eigenes Profil verwalten, ihr eigenes Passwort ändern und bestimmte Informationen über andere Benutzer, Gruppen und Anwendungen abrufen. Sie können jedoch nicht alle Verzeichnisinformationen lesen. Beispielsweise können Gastbenutzer keine Auflistung aller Benutzer, Gruppen und anderer Verzeichnisobjekte anzeigen. Es ist möglich, Gäste zu Administratorrollen hinzuzufügen und ihnen vollständige Lese- und Schreibberechtigungen zu erteilen. Gäste können auch andere Gäste einladen.

Daher sind die Elemente, die für Gäste innerhalb des einladenden Mandanten sichtbar sind, standardmäßig eingeschränkt. Nichtsdestotrotz gibt es eine Einstellung, mit der Gastbenutzer sogar noch mehr Berechtigungen erteilt werden können: „Gastbenutzer haben denselben Zugriff wie Mitglieder (umfassendste Einstellung)“. Diese Einstellung hat folgende Auswirkungen:

Gastbenutzern werden standardmäßig die Berechtigungen aller Mitgliedsbenutzer gewährt.

Die Aktivierung dieser Einstellung birgt Sicherheitsrisiken, da sie es externen Gästen, einschließlich potenziellen Angreifern, erleichtert, Informationen über Benutzer, Gruppen und andere Assets zu sammeln, wodurch sich das Risiko der Kompromittierung und Offenlegung von Daten für den Mandanten erhöht.

Um die für Gastbenutzer sichtbaren Elemente innerhalb Ihres Mandanten einzuschränken, müssen Sie Einschränkungen von Gastzugriffsberechtigungen in Entra ID konfigurieren. Zumindest können Sie die Standardeinstellung wiederherstellen: „Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten“. Alternativ können Sie die Option „Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung)“ wählen, um strengere Regeln anzuwenden.

Beachten Sie, dass dies die Zusammenarbeit mit externen Benutzern erschweren kann.

Name: Gastkonten mit gleichem Zugriff wie normale Konten

Codename: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure