封鎖教育界租用戶的 PowerShell
概觀
根據預設,在 Microsoft 365 中,Microsoft Entra ID 中的任何成員使用者都可以使用通用工具來連線到租使用者,並檢視/下載使用者詳細數據和目錄資訊。 本文說明如何封鎖數個可能用於此用途的常見工具。
封鎖PowerShell
若要封鎖PowerShell應用程式識別碼,請遵循下列指示。
為除了我以外的所有人封鎖PowerShell
此腳本會封鎖租使用者中所有人的PowerShell,但執行腳本的人員除外。 請小心使用 ,以確保您不會封鎖使用者 (例如IT系統管理員) 需要存取權的使用者。
下載 位於此 處的PowerShell腳本,並儲存在 c:\temp 中
啟動 PowerShell 並執行下列 Cmd:
Set-Location c:\temp
鍵入下方的 Cmd,然後按 Enter 鍵
.\Block-PowerShell_for_everyone_except_me.ps1
如果任何人嘗試使用 Azure AD v2 PowerShell 模組進行驗證,他們會收到類似以下所示的錯誤:
封鎖所有人員的PowerShell,但系統管理員清單除外
此腳本會封鎖租使用者中所有人的PowerShell,但 CSV 檔案中指定的使用者清單除外。 再次檢查您的清單是否正確。
開啟 CSV,並以每個需要 PowerShell 存取權的系統管理員更新 UserPrincipalName 清單。 更新之後,儲存並關閉 CSV 檔案。
啟動 PowerShell 並執行下列 Cmd:
Set-Location c:\temp
輸入下方的 Cmd,然後按 Enter 鍵。
.\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1
為除了我以外的所有人封鎖 MS Graph PowerShell
此腳本會針對租使用者中的所有人封鎖 MS Graph PowerShell 模組,但執行腳本的人員除外。 請小心使用。
下載 位於此 處的PowerShell腳本,並儲存在 c:\temp 中
啟動 PowerShell 並執行下列 Cmd:
Set-Location c:\temp
鍵入下方的 Cmd,然後按 Enter 鍵
.\Block-PowerShell_for_everyone_except_me.ps1
如果任何人嘗試使用 MS Graph PowerShell 模組進行驗證,他們將會收到類似以下所示的錯誤:
封鎖 MS Graph PowerShell for Everyone,但使用者清單除外
此腳本會封鎖租使用者中所有人的 MS Graph PowerShell 模組,但 CSV 檔案中指定的使用者清單除外。 請小心使用。
開啟 CSV,並以每個需要 PowerShell 存取權的系統管理員更新 UserPrincipalName 清單。 更新之後,儲存並關閉 CSV 檔案。
啟動 PowerShell 並執行下列 Cmd:
Set-Location c:\temp
鍵入下方的 Cmd,然後按 Enter 鍵
.\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1
封鎖 MS Graph 總管
若要封鎖目標使用者的 MS Graph 總管,請遵循下列指示來設定條件式存取原則。
Microsoft Entra ID 中的條件式存取需要 P1 Microsoft Entra ID。
選取 [新增原則]。
提供原則的名稱,例如 [區塊圖形總管]。
選取要套用原則的使用者,以及要從原則中排除的系統管理員。
]
選取 [圖形總管] 應用程式。
選取 [封鎖存取] 選項,並將原則切換為 [開啟]。
選取 [建立]。
封鎖 MSOL 模組
若要封鎖使用者適用的 MSOL PowerShell 模組,請遵循下列指示。
注意事項
如果尚未完成,您必須先同意委派 Directory.AccessAsUser.All,才能進行此 PATCH 呼叫。
登入 MS Graph 總管。
選取左側瀏覽窗格上的 [登入] 按鈕。
在 [查詢產生器] 中,從第一個下拉功能表中選取 [PATCH],然後選取 [beta second] 下拉功能表。
在具有 URL 的欄中,輸入下列字串
https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
在 [要求本文] 文本塊中,輸入下列程式代碼,然後選取 [執行查詢]。
{“blockMsolPowerShell”: true}
一旦 「blockMsolPowerShell」 設定為 true,如果用戶嘗試呼叫任何 MSOL Cmdlet,就會收到此錯誤:
封鎖 Exchange Online PowerShell
若要在 Exchange Online 中封鎖PowerShell的存取,請遵循下列連結中的指示。
啟用或停用 Exchange Online Windows PowerShell 的存取
控制對 Intune PowerShell 的存取
根據預設,一旦全域管理員同意 Microsoft Intune PowerShell Microsoft Entra 應用程式存取租使用者,所有用戶都會獲得存取權。 獲授與 Microsoft Intune PowerShell 應用程式存取權的使用者仍受限於其 Microsoft Entra 角色或 Intune 角色型訪問控制的許可權,但具有 PowerShell 存取權的使用者仍可執行大量導出數據。 您可以輕鬆地變更應用程式註冊,讓只有特定使用者可以使用 Microsoft Intune PowerShell。
限制存取
若要限制使用者存取權,您可以將應用程式變更為需要使用者指派。 若要執行這項作業:
選取 [企業應用程式]。
在清單中尋找並選 Microsoft Intune PowerShell。
選取 [內容]。
將 [需要使用者指派? ] 變更為 [是]。
- 選取 [儲存]。
新增或移除使用者
若要新增或移除 Microsoft Intune PowerShell 應用程式的使用者:
選取 [企業應用程式]。
在清單中尋找並選 Microsoft Intune PowerShell。
選取 使用者及群組。
視需要修改存取權。