Comptes invités disposant d'un accès identique aux comptes normaux

B2B collaboration est une fonctionnalité de Microsoft Entra ID qui permet à vos utilisateurs de proposer à des invités de collaborer avec votre organisation. Ces utilisateurs invités, également appelés « identités externes », ont par défaut un accès tel que décrit par Microsoft :

Ils peuvent gérer leur propre profil, changer leur mot de passe et récupérer certaines informations sur d'autres utilisateurs, groupes et applications. Cependant, ils ne peuvent pas lire toutes les informations de l'annuaire. Par exemple, les utilisateurs invités ne peuvent pas énumérer la liste de tous les utilisateurs, groupes et autres objets AD. Il est possible d'ajouter des invités aux rôles d'administrateur, en leur donnant des autorisations complètes en lecture et en écriture. Les invités peuvent également autoriser d'autres invités.

Ainsi, par défaut, les invités disposent d'une visibilité restreinte au sein du tenant qui les invite. Néanmoins, il existe un paramètre qui permet de donner aux utilisateurs invités encore plus d'autorisations. Appelé « Les utilisateurs invités ont le même accès que les membres (le plus inclusif) », son impact est le suivant :

Accorde par défaut toutes les autorisations des utilisateurs membres aux utilisateurs invités.

L'activation de ce paramètre augmente les risques de sécurité en permettant aux invités externes, y compris aux attaquants potentiels, de recueillir plus facilement des informations sur les utilisateurs, les groupes et autres assets, augmentant ainsi le risque de compromission et l'exposition des données pour le tenant.

Pour limiter la visibilité des utilisateurs invités au sein de votre tenant, vous devez configurer les restrictions d'accès des utilisateurs invités dans Entra ID. Au minimum, vous pouvez rétablir le paramètre par défaut : « Les utilisateurs invités disposent d'un accès limité aux propriétés et aux appartenances des objets AD ». Sinon, vous pouvez choisir une option plus stricte avec le paramètre « L'accès des utilisateurs invités est restreint aux propriétés et aux appartenances de leurs propres objets AD (le plus restrictif) ».

N'oubliez pas : cela peut rendre plus difficile la collaboration avec les utilisateurs externes.

Nom: Comptes invités disposant d'un accès identique aux comptes normaux

Nom de code: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure