来宾帐户与普通帐户具有相同的访问权限

B2B collaboration 是 Microsoft Entra ID 的一项功能，可让用户邀请来宾与您的组织进行协作。默认情况下，这些来宾用户（也称为“外部身份”）会获得如 Microsoft 所述的访问权限：

他们可以管理自己的配置文件、更改自己的密码，并检索有关其他用户、组和应用程序的某些信息。但是，他们无法读取所有目录信息。 例如，来宾用户无法枚举所有用户、组和其他目录对象的列表。您可以将来宾用户添加为管理员角色，并授予其完整的读取和写入权限。来宾用户还可以邀请其他来宾。

因此，默认情况下，来宾在发出邀请的租户中仅具有有限的可见性。尽管如此，系统中存在一个名为“来宾用户具有与成员相同的访问权限（最包容）”的设置，可以向来宾用户授予更多权限，其影响如下：

默认情况下，向来宾用户授予与成员用户相同的所有权限。

启用此设置会增加安全风险，因为这使外部来宾（包括潜在攻击者）更容易收集有关用户、组和其他资产的信息，从而增加租户遭入侵和数据泄露的威胁。

Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“使来宾用户对目录对象的访问权限受限”。

要限制来宾用户在您租户内的可见性，您必须在 Entra ID 中配置来宾用户访问限制。至少，您可以恢复到默认设置：“来宾用户对目录对象的属性和成员资格具有有限的访问权限”。或者，您可以选择一个更严格的选项，将设置调整为“来宾用户访问权限仅限于其自身目录对象的属性和成员资格（最严格）”。

请注意，这可能会增加与外部用户协作的难度。

名称: 来宾帐户与普通帐户具有相同的访问权限

代码名称: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

严重性: High

类型: Microsoft Entra ID Indicator of Exposure