Microsoft Entra ID允许普通用户更新自己的UPN
内容提要
微软允许非特权用户在Entra ID中更新用户主体名称(UPN),引发安全隐患,可能导致用户冒充他人并获取邮箱访问权限。管理员可通过限制Entra管理中心和Microsoft Graph PowerShell SDK的访问来降低风险。微软计划于2025年1月24日限制此功能。
关键要点
-
微软允许非特权用户在Entra ID中更新用户主体名称(UPN),引发安全隐患。
-
普通用户可以通过Entra管理中心和Microsoft Graph PowerShell SDK直接编辑自己的UPN。
-
UPN的更新通常仅限于管理员,现在任何用户都可以修改自己的UPN。
-
更改UPN会自动更新Exchange Online中的主SMTP地址,可能导致用户冒充他人获取邮箱访问权限。
-
管理员需积极监控审核日志,以防止UPN更改被忽视。
-
撤销UPN更改不会自动删除创建的额外邮件代理地址,可能导致滥用。
-
管理员可以限制对Entra管理中心的访问,以减少非管理用户的随意访问。
-
保护Microsoft Graph PowerShell SDK,限制相关企业应用程序的设置。
-
微软尚未提供允许无特权用户修改UPN的明确理由,令IT管理员感到困惑。
-
微软计划于2025年1月24日限制用户更新UPN,建议组织实施控制措施以降低风险。
延伸问答
普通用户如何在Entra ID中更新UPN?
普通用户可以通过Entra管理中心或Microsoft Graph PowerShell SDK直接编辑自己的UPN。
更新UPN会带来哪些安全隐患?
更新UPN可能导致用户冒充他人并获取邮箱访问权限,尤其是通过旧的主SMTP地址作为代理地址。
管理员如何降低UPN更新的风险?
管理员可以限制对Entra管理中心的访问,并保护Microsoft Graph PowerShell SDK,以减少非管理用户的随意访问。
微软为什么允许普通用户修改UPN?
微软尚未提供允许无特权用户修改UPN的明确理由,这让IT管理员感到困惑。
微软计划何时限制用户更新UPN?
微软计划于2025年1月24日限制用户更新自己的UPN。
撤销UPN更改会有什么后果?
撤销UPN更改不会自动删除创建的额外邮件代理地址,可能导致滥用。
