Bloquear os Locatários do PowerShell para EDU
Visão Geral
Por padrão no Microsoft 365, qualquer usuário membro no Microsoft Entra ID pode usar ferramentas comuns para se conectar ao locatário e exibir/baixar informações de diretório e detalhes do usuário. Este artigo explica como bloquear várias ferramentas comuns que podem ser usadas para essa finalidade.
Bloquear o PowerShell
Para bloquear a ID do Aplicativo do PowerShell, siga as instruções abaixo.
Bloquear o PowerShell para todos, exceto eu
Esse script bloqueará o PowerShell para todos no locatário, exceto a pessoa que executa o script. Use com cuidado para garantir que você não bloqueie usuários (por exemplo, administradores de TI) que precisarão de acesso.
Baixe o script do PowerShell localizado aqui e salve em c:\temp
Inicie o PowerShell e execute o cmd abaixo:
Set-Location c:\temp
Digite o cmd abaixo e pressione enter
.\Block-PowerShell_for_everyone_except_me.ps1
Se alguém tentar se autenticar usando o módulo do PowerShell Azure AD v2, receberá um erro semelhante ao mostrado abaixo:
Bloquear o PowerShell para todos, exceto uma lista de administradores
Esse script bloqueará o PowerShell para todos no locatário, exceto para uma lista de usuários especificada no arquivo CSV. Marcar sua lista está correta.
Baixe o script do PowerShell localizado aqui e o arquivo CSV de exemplo localizado aqui e salve ambos em c:\temp
Abra o CSV e atualize a lista UserPrincipalName com cada administrador que requer acesso ao PowerShell. Depois de atualizado, salve e feche o arquivo CSV.
Inicie o PowerShell e execute o cmd abaixo:
Set-Location c:\temp
Digite o cmd abaixo e pressione enter.
.\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1
Bloquear o PowerShell do MS Graph para todos, exceto eu
Esse script bloqueará o módulo do MS Graph PowerShell para todos no locatário, exceto a pessoa que executa o script. Use com cuidado.
Baixe o script do PowerShell localizado aqui e salve em c:\temp
Inicie o PowerShell e execute o cmd abaixo:
Set-Location c:\temp
Digite o cmd abaixo e pressione enter
.\Block-PowerShell_for_everyone_except_me.ps1
Se alguém tentar se autenticar usando o módulo do MS Graph PowerShell, receberá um erro semelhante ao mostrado abaixo:
Bloquear o PowerShell do MS Graph para Todos, exceto uma lista de usuários
Esse script bloqueará o módulo do MS Graph PowerShell para todos no locatário, exceto para uma lista de usuários especificada no arquivo CSV. Use com cuidado.
Baixe o script do PowerShell localizado aqui e o arquivo CSV de exemplo localizado aqui e salve ambos em c:\temp
Abra o CSV e atualize a lista UserPrincipalName com cada administrador que requer acesso ao PowerShell. Depois de atualizado, salve e feche o arquivo CSV.
Inicie o PowerShell e execute o cmd abaixo:
Set-Location c:\temp
Digite o cmd abaixo e pressione enter
.\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1
Bloquear o Explorer do MS Graph
Para bloquear o MS Graph Explorer para usuários direcionados, siga as instruções abaixo para configurar a Política de Acesso Condicional.
O Acesso Condicional em Microsoft Entra ID requer Microsoft Entra ID P1.
Acesse Acesso Condicional no centro de administração do Microsoft Entra.
Selecione Nova Política.
Forneça um nome para a política como Bloquear Explorer do Graph.
Selecione os usuários para aplicar a política e os administradores a serem excluídos da política.
]
Selecione o Graph Explorer aplicativos.
Selecione a opção Bloquear Acesso e Alterne a política para Ativar.
Selecione Criar.
Bloquear o Módulo MSOL
Para bloquear o Módulo do MSOL PowerShell para usuários finais, siga as instruções abaixo.
Observação
Se ainda não terminar, você precisará consentir com Directory.AccessAsUser.All delegado antes de fazer essa chamada PATCH.
Faça logon no ms graph Explorer.
Selecione o botão de entrada no painel de navegação à esquerda.
No construtor de consultas, selecione PATCH no primeiro menu suspenso e selecione menu suspenso beta segundo.
Na barra com a URL, insira a cadeia de caracteres listada abaixo
https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
No bloco de texto Corpo da Solicitação, insira o código abaixo e selecione Executar consulta.
{"blockMsolPowerShell": true}
Depois que "blockMsolPowerShell" for definido como true, os usuários receberão esse erro se tentarem chamar quaisquer cmdlets MSOL:
Bloquear Exchange Online PowerShell
Para bloquear o acesso ao PowerShell no Exchange Online, siga as instruções no link abaixo.
Habilitar ou desabilitar o acesso ao Exchange Online PowerShell
Controlar o acesso ao Intune PowerShell
Por padrão, depois que um Administrador Global consentir com o Microsoft Intune Aplicativo Microsoft Entra do PowerShell para acesso a um locatário, todos os usuários receberão acesso. Os usuários que recebem acesso ao aplicativo Microsoft Intune PowerShell ainda são limitados por suas permissões de funções de Microsoft Entra ou Intune controle de acesso baseado em função, mas com acesso ao PowerShell poderiam executar exportações em massa de dados. Você pode alterar facilmente o Registro de Aplicativo para que apenas usuários específicos possam usar Microsoft Intune PowerShell.
Limitar o acesso
Para limitar o acesso do usuário, você pode alterar o aplicativo para exigir a atribuição do usuário. Para fazer isso:
Selecione em Aplicativos Empresariais.
Localize e selecione no Microsoft Intune PowerShell na lista.
Selecione Propriedades.
Alterar a atribuição de usuário necessária paraSim.
- Selecione Salvar.
Adicionar ou remover usuários
Para adicionar ou remover usuários do aplicativo Microsoft Intune PowerShell:
Selecione em Aplicativos Empresariais.
Localize e selecione no Microsoft Intune PowerShell na lista.
Selecione Usuários e grupos.
Modifique o acesso conforme necessário.
