Detecciones

Cuentas de invitado sin restricciones

MEDIUM

Idioma:

Descripción

Colaboración B2B es una funcionalidad de Microsoft Entra ID que permite a los usuarios invitar a otros usuarios para que colaboren con la organización. Estos usuarios invitados, también llamados “identidades externas”, obtienen acceso de forma predeterminada como lo describe Microsoft:

Pueden administrar su propio perfil, cambiar su propia contraseña y recuperar cierta información sobre otros usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del directorio. Por ejemplo, los usuarios invitados no pueden enumerar la lista de todos los usuarios, grupos y otros objetos del directorio. Es posible agregar invitados a roles de administrador, lo que les concede permisos completos de lectura y escritura. Los invitados también pueden invitar a otros invitados.

Si la organización otorga gran importancia a la seguridad y la privacidad relativas a los usuarios invitados, se pueden mejorar estos aspectos si se ajusta la configuración predeterminada y se selecciona la opción “El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio (más restrictivo)” que tiene el siguiente efecto:

De manera predeterminada, esta opción limita el acceso de los invitados exclusivamente a su propio perfil de usuario. Es decir, incluso cuando se busca por nombre principal de usuario, identificador de objeto o nombre para mostrar, los invitados no pueden obtener acceso a otros usuarios. Además, esta configuración también restringe el acceso a la información de los grupos, incluidas las pertenencias a grupos.

En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que los invitados tengan acceso restringido a los objetos de directorio.

Solución

Para restringir la visibilidad de los usuarios invitados dentro de un inquilino, tiene que seleccionar la opción “El acceso de los usuarios invitados está restringido a las propiedades y pertenencias de sus propios objetos de directorio (más restrictivo)” para restringir el acceso de los usuarios invitados en Entra ID .

Tenga en cuenta que esto puede dificultar la colaboración con usuarios externos.

Detalles del indicador

Nombre: Cuentas de invitado sin restricciones

Nombre en clave: UNRESTRICTED-GUEST-ACCOUNTS

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: