EDU テナント用の PowerShell のブロック

概要

Microsoft 365 の既定では、Microsoft Entra IDのメンバー ユーザーは共通ツールを使用してテナントに接続し、ユーザーの詳細とディレクトリ情報を表示/ダウンロードできます。 この記事では、この目的で使用される可能性のあるいくつかの一般的なツールをブロックする方法について説明します。

PowerShell のブロック

PowerShell アプリ ID をブロックするには、次の手順に従います。

自分以外のすべてのユーザーに対して PowerShell をブロックする

このスクリプトは、スクリプトを実行しているユーザーを除き、テナント内のすべてのユーザーの PowerShell をブロックします。 アクセスが必要なユーザー (IT 管理者など) をブロックしないように注意してください。

1. ここにある PowerShell スクリプトをダウンロードし、c:\temp で保存します

2. PowerShell を起動し、次の cmd を実行します。

   Set-Location c:\temp

3. 下に cmd を入力し、Enter キーを押します

   .\Block-PowerShell_for_everyone_except_me.ps1

4. Azure AD v2 PowerShell モジュールを使用して認証を試みると、次のようなエラーが表示されます。

管理者の一覧を除くすべてのユーザーに対して PowerShell をブロックする

このスクリプトは、CSV ファイルで指定されたユーザーの一覧を除き、テナント内のすべてのユーザーの PowerShell をブロックします。 リストが正しいチェックダブル。

1. ここに配置されている PowerShell スクリプトと、ここに配置されているサンプル CSV ファイルをダウンロードし、両方を c:\temp で保存します

2. CSV を開き、PowerShell アクセスを必要とするすべての管理者で UserPrincipalName の一覧を更新します。 更新したら、CSV ファイルを保存して閉じます。

   

3. PowerShell を起動し、次の cmd を実行します。

   Set-Location c:\temp

4. 下に cmd と入力し、Enter キーを押します。

   .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

自分以外のすべてのユーザーに対して MS Graph PowerShell をブロックする

このスクリプトは、スクリプトを実行しているユーザーを除き、テナント内のすべてのユーザーの MS Graph PowerShell モジュールをブロックします。 注意して使用してください。

1. ここにある PowerShell スクリプトをダウンロードし、c:\temp で保存します

2. PowerShell を起動し、次の cmd を実行します。

   Set-Location c:\temp

3. 下に cmd を入力し、Enter キーを押します

   .\Block-PowerShell_for_everyone_except_me.ps1

4. MS Graph PowerShell モジュールを使用して認証を試みると、次のようなエラーが表示されます。

   

ユーザーの一覧を除くすべてのユーザーの MS Graph PowerShell をブロックする

このスクリプトは、CSV ファイルで指定されたユーザーの一覧を除き、テナント内のすべてのユーザーの MS Graph PowerShell モジュールをブロックします。 注意して使用してください。

1. ここに配置されている PowerShell スクリプトと、ここに配置されているサンプル CSV ファイルをダウンロードし、両方を c:\temp で保存します

2. CSV を開き、PowerShell アクセスを必要とするすべての管理者で UserPrincipalName の一覧を更新します。 更新したら、CSV ファイルを保存して閉じます。

   

3. PowerShell を起動し、次の cmd を実行します。

   Set-Location c:\temp

4. 下に cmd を入力し、Enter キーを押します

   .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

MS Graph エクスプローラーのブロック

対象ユーザーの MS Graph エクスプローラーをブロックするには、次の手順に従って条件付きアクセス ポリシーを設定します。

Microsoft Entra IDの条件付きアクセスには、P1 Microsoft Entra IDが必要です。

1. Microsoft Entra 管理センターの [条件付きアクセス] に移動します。

2. [新しいポリシー] を選択します。

3. [Graph のブロック] エクスプローラーなどのポリシーの名前を指定します。

4. ポリシーを適用するユーザーと、ポリシーから除外する管理者を選択します。

   

   

5. Graph エクスプローラー アプリを選択します。

   

6. [アクセスのブロック] オプションを選択し、ポリシーを [オン] に切り替えます。

   

7. [作成] を選択します。

MSOL モジュールのブロック

エンド ユーザーの MSOL PowerShell モジュールをブロックするには、次の手順に従います。

注:

まだ完了していない場合は、この PATCH 呼び出しを行う前に、委任された Directory.AccessAsUser.All に同意する必要があります。

1. MS Graph エクスプローラーにログインします。

2. 左側のナビゲーション ウィンドウで [サインイン] ボタンを選択します。

   

3. クエリ ビルダーで、最初のドロップダウン メニューから [PATCH] を選択し、ベータ版の 2 番目のドロップダウン メニューを選択します。

   

4. URL が表示されたバーに、次に示す文字列を入力します

   https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

   

5. [要求本文] テキスト ブロックで、次のコードを入力し、[クエリの実行] を選択します。

   {"blockMsolPowerShell": true}

   

6. "blockMsolPowerShell" が true に設定されると、MSOL コマンドレットを呼び出そうとすると、ユーザーはこのエラーを受け取ります。

   

PowerShell Exchange Onlineブロックする

Exchange Onlineで PowerShell へのアクセスをブロックするには、次のリンクの手順に従います。

Exchange Online PowerShell へのアクセスを有効または無効にする

Intune PowerShell へのアクセスを制御する

既定では、グローバル管理者がテナントへのアクセスに関して PowerShell Microsoft Entra アプリケーションMicrosoft Intuneに同意すると、すべてのユーザーにアクセス権が付与されます。 Microsoft Intune PowerShell アプリケーションへのアクセス権を付与されたユーザーは、引き続き、Microsoft Entra ロールからのアクセス許可またはロールベースのアクセス制御Intune制限されますが、PowerShell へのアクセス権を持つユーザーは、データの一括エクスポートを実行できます。 特定のユーザーのみが PowerShell を使用できるように、アプリの登録Microsoft Intune簡単に変更できます。

アクセスを制限する

ユーザー アクセスを制限するために、アプリケーションをユーザー割り当てを要求するように変更できます。 これを行うには、次の手順を実行します。

1. Microsoft Entra 管理 コンソールを開きます。

2. [ エンタープライズ アプリケーション] を選択します。

3. 一覧で [Microsoft Intune PowerShell] を見つけて選択します。

4. [プロパティ] をクリックします。

5. [ユーザー割り当てが必要ですか?] を [はい] に変更します。

6. [保存] を選択します。

ユーザーを追加または削除する

Microsoft Intune PowerShell アプリケーションのユーザーを追加または削除するには:

1. Microsoft Entra 管理 コンソールを開きます。

2. [ エンタープライズ アプリケーション] を選択します。

3. 一覧で [Microsoft Intune PowerShell] を見つけて選択します。

4. ユーザーおよびグループの選択

5. 必要に応じてアクセスを変更します。