Azure Active Directory(AD)中的访客用户通常是外部用户(例如供应商、承包商、合作伙伴、客户和其他临时角色)创建的账户。
他们只是外部人士,因此,请尽量减少他们的数量。
问题在于,随着时间的流逝,一些企业的访客用户不断堆积,往往导致一些访客失效后忘记撤消其访问权限,这是非常危险的。
访客账户往往会成为攻击者在网络环境中的立足点,可能导致特权提权以及Azure云环境中的其他问题。
因此,应始终检查访客账户的数量。实际上,CIS Benchmark甚至建议完全不使用访客用户。
这是我们使用Azure CLI查找所有来宾用户的方法:
az ad user list --query "[?additionalProperties.userType=='Guest']"