Cuentas de invitado con acceso equivalente al de las cuentas normales
HIGH
Idioma:
Descripción
B2B collaboration es una funcionalidad de Microsoft Entra ID que permite a los usuarios invitar a otros usuarios para que colaboren con la organización. Estos usuarios invitados, también llamados “identidades externas”, obtienen acceso de forma predeterminada como lo describe Microsoft:
Pueden administrar su propio perfil, cambiar su propia contraseña y recuperar cierta información sobre otros usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del directorio. Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios, grupos y otros objetos del directorio. Es posible agregar invitados a roles de administrador, lo que les concede permisos completos de lectura y escritura. Los invitados también pueden invitar a otros invitados.
Por lo tanto, de manera predeterminada, los invitados tienen una visibilidad restringida dentro del inquilino que los invita. Sin embargo, existe una opción para dar a los usuarios invitados aún más permisos llamada “Los usuarios invitados tienen el mismo acceso que los miembros (el más inclusivo)” que tiene el siguiente impacto:
Otorga todos los permisos de usuario miembro a los usuarios invitados de manera predeterminada.
Habilitar esta opción aumenta los riesgos de seguridad al facilitar que invitados externos, incluidos posibles atacantes, recopilen información sobre usuarios, grupos y otros activos, lo que aumenta la amenaza de vulneración y la exposición de datos del inquilino.
En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que los invitados tengan acceso restringido a los objetos de directorio.
Solución
Para limitar la visibilidad de los usuarios invitados dentro de un inquilino, tiene que configurar restricciones de acceso para los usuarios invitados en Entra ID. Como mínimo, puede volver a la opción predeterminada: “Los usuarios invitados tienen acceso limitado a propiedades y pertenencia a objetos de directorio”. Como alternativa, puede elegir una configuración más estricta con la opción “El acceso de usuario invitado está restringido a las propiedades y pertenencias de sus propios objetos de directorio (más restrictivo)”.
Tenga en cuenta que esto puede dificultar la colaboración con usuarios externos.
Detalles del indicador
Nombre: Cuentas de invitado con acceso equivalente al de las cuentas normales
Nombre en clave: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS
Gravedad: High
Tipo: Microsoft Entra ID Indicator of Exposure