Azure AD - B2B用户可以查看组成员

Question

我们邀请Azure B2B访客用户加入我们的AD，以便他们能够访问web应用程序。此过程的一部分还会将它们添加为特定安全组的成员。

我注意到的是，B2B用户可以登录(https://account.activedirectory.windowsazure.com)，并且能够看到他们所在组的其他成员。

鉴于此信息包含客户电子邮件地址，因此它提出了与GDPR相关的问题。

AD管理门户用户设置被设置为“限制对Azure AD管理门户的访问”

您知道如何限制B2B用户以这种方式枚举组成员身份吗？

Answer 1

让我列举一些事实

1. 以下部分是一个手动步骤，与添加B2B来宾用户无关。此过程的一部分还会将他们添加为特定安全组的成员。

1. 创建安全组时，所有成员都可以看到其他成员的可用信息列表
2. 当Azure上的访客用户使用其电子邮件进行标识时，安全组的所有成员的电子邮件地址将对其他组成员可见

解决方法是为每个域创建单独的安全组(即，每个公司或在其电子邮件中具有相同@xxxx.com的每组用户)。然后将所有这些组收集到单个父安全组中，并将访问权限分配给该父组

这样，所有来宾用户都将拥有相同的资源访问权限，但每个组只能查看其相同子组中成员的相关信息