我们邀请Azure B2B来宾用户加入我们的AD,以便他们访问Web应用程序。此过程的一部分还将它们添加为特定安全组的成员。
我注意到的是B2B用户可以登录-(https://account.activedirectory.windowsazure.com)-并可以看到他们所属的组中的其他成员。
鉴于此信息包含客户的电子邮件地址,则它会提出与GDPR相关的问题。
AD管理门户用户设置设置为“限制对Azure AD管理门户的访问”
有什么想法可以限制B2B用户以这种方式枚举组成员身份?
答案 0 :(得分:0)
让我列出一些事实
此过程的一部分还将它们添加为特定安全组的成员。
此问题的解决方法是为每个域(即电子邮件中具有相同@ xxxx.com的每个公司或每个用户组)创建一个单独的安全组。然后将所有这些组收集到一个父安全组中,并分配对该父组的访问权限
这样,所有来宾用户将具有相同的资源访问权限,但每个组将只能看到有关同一子组中成员的信息