通常アカウントと同等のアクセス権を持つゲストアカウント

B2B collaboration は、ユーザーがゲストを招待して自分の組織とコラボレーションできるようにする Microsoft Entra ID 機能です。これらのゲストユーザーは「外部 ID」とも呼ばれ、Microsoft が説明しているアクセスをデフォルトで取得します。

ゲストユーザーは各自のプロフィールを管理し、各自のパスワードを変更し、他のユーザー、グループ、アプリケーションに関する特定の情報を取得することができます。ただし、すべてのディレクトリ情報を読み取れるわけではありません。 たとえば、ゲストユーザーは、すべてのユーザーやグループのリスト、他のディレクトリオブジェクトのリストを列挙できません。ゲストを管理者ロールに追加し、完全な読み取りアクセス許可と書き込みアクセス許可を付与することができます。ゲストは他のゲストを招待することもできます。

そのため、デフォルトでは、ゲストの招待したテナント内の可視性は制限されています。それにもかかわらず、ゲストユーザーにさらに多くのアクセス許可を付与する [ゲストユーザーには、メンバーと同じアクセス権があります (最も包括的)] という設定があります。これには、次の影響があります。

デフォルトで、メンバーが持つすべてのユーザーアクセス許可をゲストユーザーに付与します。

この設定を有効にすると、潜在的な攻撃者を含む外部ゲストが容易にユーザー、グループ、その他の資産に関する情報を収集できるようになり、セキュリティリスクが高まります。これにより、テナントの侵害やデータ漏洩の脅威が高まります。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「ゲストのディレクトリオブジェクトへのアクセスを制限する」ことを推奨しています。

テナント内のゲストユーザーの可視性を制限するには、Entra ID でゲストユーザーのアクセス制限を設定する必要があります。少なくとも、[ゲストユーザーに対してディレクトリオブジェクトのプロパティとメンバーシップへのアクセスを制限する] というデフォルト設定に戻すことができます。または、[ゲストユーザーのアクセスを、自分のディレクトリオブジェクトのプロパティとメンバーシップに制限する (最も厳しい制限)] という設定で、より厳格なオプションを選択することもできます。

これにより、外部ユーザーとのコラボレーションがやりづらくなる可能性があることに注意してください。

名前: 通常アカウントと同等のアクセス権を持つゲストアカウント

コード名: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure