Microsoft Entra guest invites sunt unul dintre acele setări implicite care creează risc în liniște: implicit, toți utilizatorii din organizație, inclusiv utilizatorii B2B guest, pot invita utilizatori externi. Dacă ai presupus că accesul guest se oprește la persoana aprobată de tine, nu se oprește.
Acest ghid este un PSA bun pentru administratori. Arată exact setarea din Entra ID prin care oprești guest să invite alți guest și, pentru majoritatea tenant-urilor, este o schimbare pe care merită să o faci acum, nu mai târziu.
Ce face bine ghidul
Ideea centrală este simplă: colaborarea externă nu ar trebui să meargă pe pilot automat. În Entra, mergi la Entra ID > External Identities > External collaboration settings și schimbă Guest invite settings din opțiunea cea mai permisivă.
Alegerea practică pentru multe organizații este:
- Member users and users assigned to specific admin roles can invite guest users
Dacă vrei control mai strict, folosește:
- Only users assigned to specific admin roles can invite guest users
Asta se aliniază mult mai bine cu least privilege decât să oferi fiecărui guest o cale de a crea alt guest.
Cealaltă setare pe care merită să o verifici în paralel este Guest user access restrictions. Microsoft documentează că setarea implicită pentru guest este doar "limited", nu complet blocată. Guest pot vedea în continuare unele proprietăți ale utilizatorilor și membership pentru grupurile non-hidden. Dacă iei în serios zero trust, verifică dacă guest ar trebui restricționați doar la propriile obiecte din director.
Verdictul meu
Este recomandarea corectă, cu o observație importantă: oprirea invitațiilor guest-to-guest este necesară, dar nu este suficientă.
Capcana este că multe echipe cred că, după schimbarea acestei setări, au rezolvat guvernanța pentru guest. Nu au rezolvat-o. Microsoft menționează și că unele experiențe Microsoft 365 pot expune în continuare contextul grupurilor din care fac parte, iar comportamentul de external sharing este împărțit între Entra, Teams, SharePoint și OneDrive. Dacă ai construit colaborarea pe presupuneri relaxate, verifică întregul lanț.
În practică, eu aș trata această schimbare ca primele cinci minute ale muncii. Restul este guvernanță:
- atribuie rolul Guest Inviter în loc de roluri admin mai largi, unde se poate
- rulează access reviews recurente pentru guest dacă ai licențierea necesară
- verifică setările de cross-tenant access, nu doar external collaboration settings
- auditează unde direct sharing a ocolit procesul tău intenționat
Genul acesta de curățenie îl includ de obicei într-un audit de AI și automatizare, pentru că identity sprawl apare des lângă workflow sprawl.
Cel mai util lucru de reținut
Pentru majoritatea organizațiilor, există puține dezavantaje în a bloca guest să invite alți guest. Dacă există un caz real de business, trece-l prin sponsori interni nominalizați sau printr-un proces controlat, ori construiește acel proces corect cu PowerShell sau workflow automation.
Dacă mediul tău depinde la scară mare de colaborare externă, aici încep să conteze și modele mai structurate, cum ar fi Microsoft Copilot și AI agents sau access packages guvernate: un agent nu ar trebui să primească un cec în alb în tenantul tău, iar același lucru este valabil și pentru un guest.
Citește articolul original pentru pașii exacți și capturile de ecran. Este scurt, corect și merită aplicat.
