Azure AD - B2B 用户可以查看组成员

Posted

技术标签:

【中文标题】Azure AD - B2B 用户可以查看组成员【英文标题】:Azure AD - B2B Users can view group members 【发布时间】:2019-01-15 11:21:34 【问题描述】:

我们邀请 Azure B2B 来宾用户加入我们的 AD,以便他们访问 Web 应用程序。此过程的一部分还将它们添加为特定安全组的成员。

我注意到 B2B 用户可以登录 - (https://account.activedirectory.windowsazure.com) - 并且能够看到他们所属的组的其他成员。

鉴于此信息包含客户电子邮件地址,因此它提出了与 GDPR 相关的问题。

AD 管理门户用户设置设置为“限制对 Azure AD 管理门户的访问”

有什么想法可以限制 B2B 用户以这种方式枚举组成员身份吗?

【问题讨论】:

【参考方案1】:

让我列出一些事实

    以下部分是与添加 B2B 来宾用户无关的手动步骤

    此过程的一部分还将它们添加为特定安全组的成员。

    创建安全组时,所有成员都可以看到其他成员的可用信息列表 由于使用电子邮件识别 Azure 上的来宾用户,因此其他组成员可以看到安全组所有成员的电子邮件地址

解决方法是为每个域创建单独的安全组(即每个公司或每个用户组在其电子邮件中具有相同的@xxxx.com)。然后将所有这些组聚集在一个父安全组中,并为该父组分配访问权限

这样,所有来宾用户将拥有相同的资源访问权限,但每个组将只能看到有关其同一子组中成员的信息

【讨论】:

以上是关于Azure AD - B2B 用户可以查看组成员的主要内容,如果未能解决你的问题,请参考以下文章

Azure AD B2B用户不会在myapps下显示任何应用程序

基于 Azure AD 组的登录和 MS 图形 API

管理员帐户的 Azure AD SSO 登录问题

是否可以为 Azure AD 中的用户或组分配多个角色?

Azure AD B2C 是不是允许组层次结构?

Azure 数据库迁移服务安全问题