如何在 Microsoft Entra 中限制来宾用户邀请

通过来宾帐户启用对您的环境的外部访问是应该仔细考虑的事情，如果您决定允许它，您还应该考虑要实施哪些安全控制，同时仍然确保员工可以高效工作。

在本教程中，我将向您展示如何限制来宾用户邀请更多来宾用户加入您的租户的能力。

Microsoft Entra 中的默认来宾用户邀请设置

默认情况下，在 Microsoft Entra 中，任何人都可以邀请来宾用户加入您的租户，并将他们注册为 Microsoft Entra ID 中的用户。但是，此权限不仅适用于普通用户，也适用于来宾用户！这意味着，如果您邀请外部用户以访客身份加入您的租户（也许是为了与您合作开展项目），那么他们可以在无需您输入的情况下邀请更多外部用户。

默认情况下，对来宾用户的这种信任级别太高。对租户的访问权限以及其中包含的敏感数据在授予之前应经过仔细控制、审查和批准。

启用此选项的另一个风险是，它使您的员工更容易被操纵，授予用户访问超出其应允许的信息的权限，因为他们已经被“信任”的人邀请加入组织。这是一种社会工程形式，Microsoft Entra 的合法功能已被滥用。

继续阅读这篇文章，以限制来宾用户邀请设置并防止在默认状态下滥用此功能。

如何在 Microsoft Entra 中限制来宾用户邀请

要防止来宾用户在 Microsoft Entra 中邀请其他来宾用户，请按照以下步骤操作。

1. 以全局管理员身份登录 Microsoft Entra。

2. 展开身份 > 外部身份，然后选择外部协作设置。

3. 在访客邀请设置下，确保未选中组织中的任何人都可以邀请访客用户（包括访客和非管理员（最具包容性））选项>。

使用 Microsoft Graph PowerShell 限制来宾用户邀请

使用 Microsoft Graph PowerShell 和 beta 端点也可以实现相同的结果。为此，您需要确保安装了最新的 Microsoft Graph PowerShell 模块，请在此处查看我的有关如何安装该模块的指南。

首先使用 Policy.ReadWrite.Authorization 权限连接到 Microsoft Graph。这将确保您能够修改与 Microsoft Entra 中的外部身份相关的设置。

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization

然后，您可以使用 Update-MgBetaPolicyAuthorizationPolicy cmdlet 修改您的设置。

Update-MgBetaPolicyAuthorizationPolicy -authorizationPolicyId authorizationPolicy `
-AllowInvitesFrom adminsAndGuestInviters

-AllowInvitesFrom 参数的可用值包括：

• 没有任何
• 管理员和访客邀请者，
• 管理员GuestInvitersAndAllMembers
• 每个人

默认设置是所有人。

如果您希望在不依赖 PowerShell 模块的情况下使用 Microsoft Graph，则可以发出以下 HTTP 请求以获得相同的结果。

• 网址： https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
• 方法：补丁
• 负载： {
  “guestUserRoleId”：“10dae51f-b6af-4016-8d66-8c2a99b929b3”，
  “allowInvitesFrom”：“adminsAndGuestInviters”
  }

限制来宾用户邀请对用户的影响

在 Microsoft Entra 中修改并限制访客邀请设置后，如果当前访客用户尝试邀请更多访客用户加入您的组织，他们将收到错误：用户邀请失败。