具有特权角色的来宾帐户

B2B collaboration 是 Microsoft Entra ID 的一项功能，可让用户邀请来宾与您的组织进行协作。默认情况下，这些来宾帐户（也称为“外部身份”）会获得如下访问权限，如 Microsoft 所述：

他们可以管理自己的配置文件、更改自己的密码，并检索有关其他用户、组和应用程序的某些信息。但是，他们无法读取所有目录信息。 例如，来宾用户无法枚举所有用户、组和其他目录对象的列表。您可以将来宾用户添加为管理员角色，并授予其完整的读取和写入权限。来宾用户还可以邀请其他来宾。

特权角色天然具有更高的特权。获得特权角色分配的来宾帐户会带来安全风险，并显著增加租户的攻击面。这尤其令人担忧，因为来宾帐户可能应用了较弱的安全策略，使其更容易遭到入侵。此外，为来宾用户分配特权角色会降低可追踪性，使得监控和审计其活动变得更加困难。在最坏的情况下，此类分配甚至可能表明已经发生入侵，因为威胁制造者常常利用来宾帐户进行未经授权的访问，并在环境中横向移动。

仔细监控这些来宾帐户，并确保不要为它们分配特权角色。

Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“来宾用户不应被分配具有高特权的目录角色”。

为防止租户暴露在组织之外，请撤销或取消分配给宾客帐户的任何特权角色。

名称: 具有特权角色的来宾帐户

代码名称: GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

严重性: High

类型: Microsoft Entra ID Indicator of Exposure