不受限来宾帐户

B2B 协作是 Microsoft Entra ID 的一项功能，可让用户邀请来宾与您的组织进行协作。默认情况下，这些来宾用户（也称为“外部身份”）会获得如 Microsoft 所述的访问权限：

他们可以管理自己的配置文件、更改自己的密码，并检索有关其他用户、组和应用程序的某些信息。但是，他们无法读取所有目录信息。 例如，来宾用户无法枚举所有用户、组和其他目录对象的列表。您可以将来宾用户添加为管理员角色，并授予其完整的读取和写入权限。来宾用户还可以邀请其他来宾。

如果您的组织在对待来宾用户时高度重视安全性和隐私，您可以通过调整默认设置，选择“来宾用户的访问权限仅限于其自身目录对象的属性和成员资格（最严格）”选项来增强这些方面。此设置的影响如下：

默认情况下，该设置会将来宾用户的访问权限严格限制在其自身的用户配置文件上。这意味着，即使通过用户主体名称、对象 ID 或显示名称进行搜索，来宾用户也无法获得其他用户的访问权限。此外，此配置还限制对组信息（包括组成员资格）的访问。

Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“使来宾用户对目录对象的访问权限受限”。

要限制来宾用户在您的租户中的可见性，您必须在 Entra ID 中 限制来宾用户的访问权限，方法是选择以下选项：“来宾用户的访问权限仅限于其自身目录对象的属性和成员资格（最严格）”。

请注意，这可能会增加与外部用户协作的难度。

名称: 不受限来宾帐户

代码名称: UNRESTRICTED-GUEST-ACCOUNTS

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure