Azure AD - пользователи B2B могут просматривать участников группы

Question

Мы приглашаем гостевых пользователей Azure B2B в нашу AD, чтобы они могли получить доступ к веб-приложению. Часть этого процесса также добавляет их в качестве членов определенной группы безопасности.

Что я заметил, так это то, что пользователь B2B может войти в систему - (https://account.activedirectory.windowsazure.com)) и может видеть других членов группы, членами которой они являются.

Учитывая, что эта информация содержит адреса электронной почты клиентов, возникают проблемы, связанные с GDPR.

Пользовательские настройки портала администрирования AD установлены на «ограничить доступ к административному порталу Azure AD»

Есть идеи, как мы можем ограничить пользователей B2B от возможности перечислять членство в группе таким образом?

Answer 1

Позвольте мне перечислить некоторые факты

1. Следующая часть представляет собой ручной шаг, который не связан с добавлением гостя B2B.

   Часть этого процесса также добавляет их в качестве членов определенной группы безопасности.

2. Когда вы создаете группу безопасности, все участники могут видеть список доступной информации других участников
3. Поскольку гостевые пользователи в Azure идентифицируются по их электронной почте, адреса электронной почты всех членов группы безопасности будут видны другим членам группы

Обходной путь для этого заключается в создании отдельной группы безопасности для каждого домена (т. Е. Каждой компании или каждой группе пользователей, у которых одинаковый @ xxxx.com в их электронной почте). Затем соберите все эти группы в одну родительскую группу безопасности и назначьте доступ этой родительской группе

Таким образом, все гостевые пользователи будут иметь одинаковый доступ к ресурсам, но каждая группа сможет видеть только информацию о членах своей подгруппы