Microsoft Entra ID允许普通用户更新自己的UPN
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
微软允许非特权用户在Entra ID中更新用户主体名称(UPN),引发安全隐患,可能导致用户冒充他人并获取邮箱访问权限。管理员可通过限制Entra管理中心和Microsoft Graph PowerShell SDK的访问来降低风险。微软计划于2025年1月24日限制此功能。
🎯
关键要点
-
微软允许非特权用户在Entra ID中更新用户主体名称(UPN),引发安全隐患。
-
普通用户可以通过Entra管理中心和Microsoft Graph PowerShell SDK直接编辑自己的UPN。
-
UPN的更新通常仅限于管理员,现在任何用户都可以修改自己的UPN。
-
更改UPN会自动更新Exchange Online中的主SMTP地址,可能导致用户冒充他人获取邮箱访问权限。
-
管理员需积极监控审核日志,以防止UPN更改被忽视。
-
撤销UPN更改不会自动删除创建的额外邮件代理地址,可能导致滥用。
-
管理员可以限制对Entra管理中心的访问,以减少非管理用户的随意访问。
-
保护Microsoft Graph PowerShell SDK,限制相关企业应用程序的设置。
-
微软尚未提供允许无特权用户修改UPN的明确理由,令IT管理员感到困惑。
-
微软计划于2025年1月24日限制用户更新UPN,建议组织实施控制措施以降低风险。
➡️
