报告外部域能力

使用允许列表和阻止列表来保护外部访问

从一开始，Microsoft 365 就旨在让最终用户轻松进行内部和外部协作。这是否是一件好事取决于组织对数据共享和外部协作的态度。一件显而易见的事情是了解外部协作能力的重要性，特别是在评估打击过度共享或潜在漏洞的选项时。

控制允许的外部域是控制用户可以与哪些外部域通信以及允许的协作级别的关键。 Microsoft 提供了一组工具（例如 Teams 外部访问允许列表）来帮助管理员在域级别实施治理。但是，没有单一窗格可以查看外部域的整体状态，并且验证每个工作负载的配置可能非常耗时。

为了更轻松地报告租户中外部域的配置，我创建了一个 PowerShell 脚本来提取有关 Microsoft 365 租户的工作负载配置的详细信息。该脚本（可在 GitHub 上获取）输出一份报告，详细说明以下区域中每个域的配置设置：

• TenantID - 如果域具有关联的 Entra ID 租户，则此字段包含该租户的 TenantID
• 域名 - 域名。
• GuestInvitaions - 是否根据 Entra ID 外部身份配置的配置允许或阻止 B2B 访客邀请。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• TeamsFederation - 是否根据 Teams 外部访问设置的配置允许或阻止 Teams 外部聊天。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• SharePointSharing - 是否根据 SharePoint 外部共享策略的配置允许或阻止 SharePoint 外部共享。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• B2BCrossTenantAccessInbound - 如果域存在入站跨租户访问配置，则此值详细说明用户和组的配置。该值概述了是否允许或阻止用户和组的访问，以及是否指定了所有用户/所有组，或者是否指定了选定的用户/选定的组。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• B2BCrossTenantAccessOutbound - 如果域存在出站跨租户访问配置，则此值详细说明用户和组的配置。该值概述了是否允许或阻止用户和组的访问，以及是否指定了所有用户/所有组，或者是否指定了选定的用户/选定的组。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• B2BDirectConnectInbound - 如果域有入站 Direct Connect 配置，则此值详细说明用户和组的配置。该值概述了是否允许或阻止用户和组的访问，以及是否指定了所有用户/所有组，或者是否指定了选定的用户/选定的组。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• B2BDirectConnectOutbound - 如果域有出站 Direct Connect 配置，则此值详细说明用户和组的配置。该值概述了是否允许或阻止用户和组的访问，以及是否指定了所有用户/所有组，或者是否指定了选定的用户/选定的组。如果设置中未配置域，则该值将显示为“组织默认值”。组织默认设置列在输出中的“默认”域条目下。
• CrossTenantSyncEnabled - 如果为域启用或禁用跨租户同步，并且该域没有策略，则此值将显示N/A。此设置没有组织默认配置。
• TrustSettings - 如果为域配置了信任设置，则此值列出配置的受信任设置（合规设备、MFA 和 Intune 托管设备）。如果该域没有策略，则该值将显示N/A。此设置没有组织默认配置。
• 自动兑换 - 是否为域启用或禁用自动邀请兑换。如果该域没有策略，则该值将显示N/A。此设置没有组织默认配置。

该脚本捕获域的配置设置，并捕获在 CSV 导出文件中，以提供易于访问的外部域概述（图 1）。

准备运行

在脚本中，我使用两个不同的 PowerShell 模块。大部分繁重工作是由 Microsoft Graph PowerShell SDK 完成的。第二个模块是 MicrosoftTeams PowerShell 模块。由于 Microsoft Graph API 的限制，当前无法检索 Teams 外部访问允许和阻止列表配置，因此需要执行此操作。

当脚本以交互方式运行时，将使用委派的 Microsoft Graph 权限。该代码可以调整为非交互式工作（使用应用程序权限），例如通过 Azure 自动化，如此处所述。委派权限要求您用于登录的帐户有权访问配置设置。为了确保帐户具有正确的权限，我建议至少为运行脚本的帐户分配“全局读者”角色。

TEC 演讲：2023 年基于 AD 的攻击 - 到目前为止我们学到了什么 - 7 月 25 日 @ 上午 11 点（美国东部时间）

听听 Paul Robichaux 和 Bryan Patton 关于 AD 错误配置、漏洞和加强组织的 AD 防御的看法。

使用 PowerShell 检索租户设置

正如我所提到的，有很多地方可以获取信息来编写这份报告。该脚本包含大量编译报告的逻辑，但遵循的基本步骤是：

• 连接到 Microsoft Graph 和 Teams
• 获取 B2B 管理策略的设置
• 获取 SharePoint Online 外部共享策略的设置
• 获取 Teams 外部访问联合配置的设置
• 获取发现的每个域的租户 ID（如果存在）
• 获取跨租户访问策略

连接到 Microsoft Graph 和 Teams PowerShell

该脚本执行的第一步是使用 Microsoft Graph SDK（版本 2）和 Teams PowerShell 模块连接到租户。该脚本还使用了多个仅在“beta”端点下可用的查询。由于 Microsoft Graph PowerShell SDK 现在为 V1.0 和 Beta 端点提供了两个不同的模块，因此请确保安装了最新的模块，尤其是“Beta”模块。这是获取 v1.0 端点下尚不可用的跨租户访问策略设置所必需的。以下代码启动与 Teams 的连接并检索 Microsoft Graph 的访问令牌：

##Connect to MG Graph and Teams
Connect-MgGraph -Scopes "IdentityProvider.Read.All policy.read.all CrossTenantInformation.ReadBasic.All SharePointTenantSettings.Read.All"
Connect-MicrosoftTeams

运行脚本所需的权限范围是：

• IdentityProvider.Read.All - 返回 B2B 管理策略详细信息。
• Policy.Read.All - 返回 Entra ID 策略详细信息。
• CrossTenantInformation.ReadBasic.All - 返回跨租户访问策略详细信息。
• SharePointTenantSettings.Read.All - 返回 SharePoint 租户设置。

连接期间，有两种身份验证提示（一种用于 Graph，一种用于 Teams）。

获取 B2B 管理政策

B2B 管理策略包含 Entra ID 外部身份的配置。这里的一个重要注意事项是，为了获取此信息，脚本使用 Invoke-MgGraphRequest cmdlet 来查询旧/策略端点。这是目前通过 Graph API 检索此信息的唯一方法。虽然使用旧端点并不理想，但替代方案是使用旧 AzureAD PowerShell 模块，微软将于 2024 年 3 月停用该模块。

##Get external domains from B2BManagementPolicy
$B2BManagementPolicy = ((Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/legacy/policies").value.definition | convertfrom-json).b2bmanagementpolicy
$allowedGuestDomains = $B2BManagementPolicy.InvitationsAllowedAndBlockedDomainsPolicy.alloweddomains
$blockedGuestDomains = $B2BManagementPolicy.InvitationsAllowedAndBlockedDomainsPolicy.blockeddomains

获取 SharePoint Online 外部共享策略

下一步是从 SharePoint Online 租户设置获取外部共享配置。最近通过 Microsoft Graph API 提供了 SharePoint Online 租户设置。 Graph PowerShell SDK 中仍然没有用于此目的的 cmdlet，因此 URI 将传递到 Invoke-MgGraphRequest cmdlet，如下所示。

##Get SharePoint Online Tenant Settings
$Uri = "https://graph.microsoft.com/beta/admin/sharepoint/settings"
$SPOSettings = Invoke-MgGraphRequest -Uri $Uri -Method Get

获取 Teams 外部域配置

当前无法使用 Microsoft Graph API 检索 Teams 外部域配置。对于此步骤，我们使用 Microsoft Teams PowerShell 模块来获取配置的详细信息。

##Get external domains from TeamsFederationConfiguration
$TeamsFederationSettings = Get-CsTenantFederationConfiguration

希望有一天可以通过 Graph API 获得这些数据，并且可以从此脚本中删除 Teams 模块，但是在构建这样的报告时，您有时需要使用可用的内容。

使用租户 ID 更新每个域

这就是事情变得有趣的地方。到目前为止，每个端点都会返回一个可以轻松添加到输出中的域名列表。但是，对于跨租户策略，它们会返回租户 ID。为了确保输出相对干净并避免重复条目，脚本会提取迄今为止发现的每个域的租户 ID，并将其添加到输出中。这意味着租户 ID 可用于检查先前设置之一中是否存在域并相应地更新输出。

为此，脚本循环遍历导出对象数组中的每个域，并查询 findTenantInformationByDomain 端点以获取该域的关联租户 ID。

##Update Tenant IDs for all existing domains

foreach ($domain in $domainSettingsObjectArray) {
 Try {
 $tenantID = (Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/tenantRelationships/findTenantInformationByDomainName(domainName='$($domain.Domain)')").tenantID
 $domain.tenantID = $tenantID
 }
 Catch {
 $tenantID = "N/A"
 }
 $domain.tenantID = $tenantID
}

获取跨租户策略详细信息

最后，该脚本查询默认和非默认跨租户策略。 Get-MgBetaPolicyCrossTenantAccessPolicyDefault 和 Get-MgBetaPolicyCrossTenantAccessPolicyPartner cmdlet 返回记录租户中跨租户策略配置所需的信息。

##Get Cross Tenant Policy Defaults
$DefaultCrossTenantPolicy = Get-MgBetaPolicyCrossTenantAccessPolicyDefault
##Get Cross Tenant Policies for Partner Domains
[array]$CrossTenantPartnerPolicies = Get-MgBetaPolicyCrossTenantAccessPolicyPartner

关于跨租户策略的一个重要注意事项是，每个策略均按租户 ID 列出。该脚本使用 findTenantInformationByTenantId 端点来查找与跨租户策略关联的域。 findTenantInformationByTenantId 端点仅返回默认租户域。如果租户 ID 与从任何其他步骤获取的任何域匹配，它们也将被更新。如果存在与租户 ID 关联且尚未通过其他步骤识别的其他域，则它们不会显示在报告中。

检查输出

脚本中的输出有两种处理方式，第一种是将结果以列表格式简单输出到屏幕，第二种是将输出文件导出到C:\temp文件夹。屏幕输出非常适合快速概览，如图 2 所示。

输出文件对于比较配置随时间的变化或查看较大的输出非常有用。输出中列出的项目基于每个域的设置值。

了解您的配置

无论您的组织将外部协作视为风险还是收益，准确了解您的配置都非常重要。由于有大量设置可用于控制外部共享和协作的不同方面，因此很容易忘记每个域的功能。例如，管理员允许 Teams 与外部合作伙伴聊天，却发现用户无法在聊天中共享文件的情况并不罕见。这种情况通常需要有人追踪问题所在，并找出需要将域添加到哪个列表。

围绕日常管理建立强大的流程是确保数据不会无意中从租户泄露的关键。该脚本不会取代日常管理，但它会记录工作负载外部协作设置，并有望节省时间。与往常一样，可以进行改进，并且可以添加附加功能。随着 Microsoft 365 内事物的发展，毫无疑问将会有更多内容添加到此类报告中。