Azure AD - пользователи B2B могут просматривать участников группы

Мы приглашаем гостевых пользователей Azure B2B в нашу AD, чтобы они могли получить доступ к веб-приложению. Часть этого процесса также добавляет их в качестве членов определенной группы безопасности.

Я заметил, что пользователь B2B может войти в систему - (https://account.activedirectory.windowsazure.com) - и может видеть других членов группы, членами которой они являются.

Поскольку эта информация содержит адреса электронной почты клиентов, тогда возникают проблемы, связанные с GDPR.

В настройках пользователя портала администрирования AD задано значение «ограничить доступ к порталу администрирования Azure AD».

Есть идеи, как мы могли бы ограничить пользователей B2B от возможности перечислять членство в группах таким образом?


azure azure-active-directory azure-ad-b2b
person Globus    schedule 15.01.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Позвольте мне перечислить некоторые факты

  1. Приведенная ниже часть представляет собой ручной шаг, не связанный с добавлением гостя B2B
    # P2 #
  2. Когда вы создаете группу безопасности, все участники могут видеть список доступной информации о других участниках.
  3. Поскольку гостевые пользователи в Azure идентифицируются с помощью их электронной почты, адреса электронной почты всех членов группы безопасности будут видны другим участникам группы.

Обходной путь для этого - создать отдельную группу безопасности для каждого домена (то есть для каждой компании или каждой группы пользователей, у которых есть один и тот же адрес @ xxxx.com на их электронной почте). Затем соберите все эти группы в единую родительскую группу безопасности и назначьте доступ этой родительской группе.

Таким образом, все гостевые пользователи будут иметь одинаковый доступ к ресурсам, но каждая группа сможет видеть только информацию об участниках своей подгруппы.

person Gouda    schedule 15.01.2019