일반 계정과 동등한 액세스 권한이 있는 게스트 계정

B2B collaboration은 사용자가 조직과 협업할 게스트를 초대할 수 있게 해 주는 Microsoft Entra ID 기능입니다. 이러한 게스트 사용자는("외부 ID"라고도 함) 기본적으로 Microsoft의 설명대로 액세스 권한을 얻습니다.

자신의 프로필을 관리하고 자신의 비밀번호를 변경하고 다른 사용자, 그룹 및 애플리케이션에 관한 특정 정보를 가져올 수 있습니다. 하지만 게스트 사용자는 모든 디렉터리 정보를 읽을 수는 없습니다. 예를 들어 게스트 사용자는 모든 사용자, 그룹 및 기타 디렉터리 개체의 목록을 열거할 수 없습니다. 게스트를 관리자 역할에 추가하여 읽기 및 쓰기 권한 전체를 허용하는 것은 가능합니다. 게스트는 다른 게스트를 초대할 수도 있습니다.

따라서 게스트는 기본적으로 자신을 초대하는 테넌트 내에서 가시성이 제한되어 있습니다. 그렇지만 게스트 사용자에게 훨씬 더 많은 권한을 부여하는 설정이 있습니다. 일명 "게스트 사용자가 멤버와 같은 액세스 권한을 가짐(가장 포용적)"이라는 설정으로, 이 설정을 사용하면 다음과 같은 결과가 발생합니다.

기본적으로 게스트 사용자에게 모든 멤버 사용자 권한을 부여합니다.

이 설정을 사용하면 잠재적인 공격자를 포함한 외부 게스트가 사용자, 그룹 및 기타 자산에 관한 정보를 더 쉽게 수집할 수 있게 되므로 테넌트의 침해 및 데이터 노출 위험이 커져 보안 위협이 상승합니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "게스트에게 디렉터리 개체에 제한된 액세스 권한을 제공"하는 것을 권장합니다.

테넌트 내에서 게스트 사용자의 가시성을 제한하려면 Entra ID에서 게스트 사용자 액세스 제한을 구성해야 합니다. 최소한 기본 설정인 "게스트 사용자에게 디렉터리 개체의 속성 및 멤버 자격에 대한 제한된 액세스 권한이 있음"으로 되돌릴 수 있습니다. 또는 "게스트 사용자 액세스를 자체 디렉터리 개체의 속성 및 멤버 자격으로만 제한(가장 제한적)" 설정을 통해 더 엄격한 옵션을 선택할 수도 있습니다.

이렇게 하면 외부 사용자와의 협업이 더 어려워질 수 있다는 점을 유의해야 합니다.

이름: 일반 계정과 동등한 액세스 권한이 있는 게스트 계정

코드명: GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

심각도: High

유형: Microsoft Entra ID Indicator of Exposure