Cuando invitamos usuarios externos a nuestro tenant, tenemos que ser conscientes y tener muy claro que podrán o no podrán hacer una vez hayan aceptado la invitación. Por defecto Azure ha aplicado siempre unas opciones bastante restrictivas en este sentido, pero ahora han publicado un nuevo nivel limitando aún más estas características por lo que es interesante conocerlo y saber cómo aplicarlo. Vamos a ver como en este Cybertruco.
En Azure AD encontramos tres niveles de acceso para los usuarios invitados, son los siguientes (en orden de menos restrictivo a más restrictivo)
- Igual que los usuarios miembros - Los invitados tienen el mismo acceso a los recursos de Azure AD que los usuarios miembros (valor GuestUserRoleId a0b1b346-4d3e-4e8b-98f8-753987be4970)
- Acceso limitado - Los invitados pueden ver la pertenencia de todos los grupos no ocultos (valor GuestUserRoleId 10dae51f-b6af-4016-8d66-8c2a99b929b3)
- Acceso restringido - Los invitados no pueden ver la pertenencia de ningún grupo (valor GuestUserRoleId 2af84b1e-32c8-42b7-82bc-daa82404023b)
El acceso limitado es el predefinido en la plataforma y el más estricto que se podía aplicar como comentábamos. El nuevo acceso restringido es el nuevo que tenemos disponible. Si aplicamos este, los invitados solo pueden ver su propio perfil de usuario y no permite ver el de otros aunque se busque por su nombre principal de usuario incluso restringe que vean la pertenencia a grupos a los que ellos mismos pertenecen.
Considero que en la mayoría de los casos todos los tenants que incluyan a usuarios invitados de diferentes empresas de terceros y que no sean parte del mismo grupo deberían activar este acceso restringido ya que por ejemplo en caso de tener equipos a través de los cuales se comparta información a diferentes partners solo por GDPR deberíamos ocultar a esos usuarios invitados cualquier información del resto de invitados.
Comprobar el nivel de acceso de usuarios invitados
Primero como siempre vamos comprobar la configuración actual con el siguiente cmdlet
Get-AzureADMSAuthorizationPolicy | Select GuestUserRoleId
En este caso los filtrado la salida del cmdlet para mostrar únicamente el valor del GuestUserRoleId, esto es el valor correspondiente al nivel de acceso. Si lo comparamos a los que tenemos un poco más arriba en el texto podemos identificar a cual corresponde.
Configurar el nivel de acceso en Powershell
Para configurar un nuevo nivel de acceso simplemente fijaremos este valor de GuestUserRoleId para que se ajuste al rol que deseemos. Para ello utilizaremos el cmdlet Set-AzureADMSAuthorizationPolicy. En el siguiente caso lo fijamos al nivel de acceso restringido.
Set-AzureADMSAuthorizationPolicy -GuestUserRoleId '2af84b1e-32c8-42b7-82bc-daa82404023b'
Una vez hecho esto volvemos a comprobar que el nivel ha quedado correctamente configurado y listos. Espero que os sea de utilidad.