0

我们邀请 Azure B2B 来宾用户加入我们的 AD,以便他们访问 Web 应用程序。此过程的一部分还将它们添加为特定安全组的成员。

我注意到的是 B2B 用户可以登录 - ( https://account.activedirectory.windowsazure.com ) - 并且能够看到他们所属的组的其他成员。

鉴于此信息包含客户电子邮件地址,因此它提出了与 GDPR 相关的问题。

AD 管理门户用户设置设置为“限制对 Azure AD 管理门户的访问”

有什么想法可以限制 B2B 用户以这种方式枚举组成员身份吗?

4

1 回答 1

0

让我列出一些事实

  1. 以下部分是与添加 B2B 访客用户无关的手动步骤

    此过程的一部分还将它们添加为特定安全组的成员。

  2. 创建安全组时,所有成员都可以看到其他成员的可用信息列表
  3. 由于使用电子邮件识别 Azure 上的来宾用户,因此安全组的所有成员的电子邮件地址将对其他组成员可见

解决方法是为每个域创建单独的安全组(即每个公司或在其电子邮件中具有相同@xxxx.com 的每个用户组)。然后将所有这些组聚集在一个父安全组中,并将访问权限分配给该父组

这样,所有来宾用户都将拥有相同的资源访问权限,但每个组将只能看到有关其同一子组中成员的信息

于 2019-01-15T15:04:48.293 回答