实用 Graph：对 Microsoft Graph PowerShell SDK 的安全交互访问

确保合适的人可以使用 Graph SDK

2021 年 9 月，我第一次开始撰写有关使用 Microsoft Graph PowerShell SDK 的文章。在第一篇文章中，我指出了由于服务主体创建来保存分配给 SDK 的权限随着时间的推移而累积的方式所导致的潜在问题。最终，任何使用 Connect-MgGraph cmdlet 以交互方式登录 SDK 的人都可以获得广泛的权限。 SDK 版本 2 中仍然存在相同的行为。鉴于使用最少权限模型进行管理操作的重要性，权限的累积并不是一件好事。

Microsoft Graph PowerShell SDK 与其他 Microsoft 365 PowerShell 模块（例如 Exchange Online 或 SharePoint Online 管理模块）不同。这些模块假设由管理员使用，并且他们的 cmdlet 在此基础上工作。当然，如果没有管理员角色的人登录使用这些模块，权限会限制他们访问自己的数据。

关于租户如何使用Graph SDK，我认为我们可以将使用方式细分如下：

• 交互式使用：测试 SDK cmdlet 和脚本开发。这包括在编写脚本时使用 PowerShell ISE 或 Visual Studio 代码。交互式使用仅限于委派权限。
• 生产脚本：带有 SDK cmdlet 的生产脚本，使用带有 X.509 证书的注册应用程序进行身份验证。这些脚本可以使用应用程序权限，因此它们可以访问整个租户的数据。
• 计划脚本：Azure 自动化计划 Runbook，具有用于身份验证的托管标识。

有些人认为您应该限制对 Microsoft Graph PowerShell SDK 的交互式访问。我不确定这样的立场是否合理。开发人员需要交互式访问测试脚本、将 V1.0 cmdlet 与 beta cmdlet 进行比较等。无法成功交互运行的脚本不太可能自动修复其在 Azure 自动化下运行的问题。我还认为交互式访问对于按需运行一次性命令脚本很有用。

综上所述，交互式访问SDK是必要之恶。这就提出了如何最好地保护交互式访问的问题，以便只有合适的人才能交互式地运行 SDK cmdlet。以下是一些需要考虑的方法。

限制对SDK应用程序的访问

在租户中安装 Microsoft Graph PowerShell SDK 会在租户的 Entra ID (Azure Active Directory) 实例中创建企业应用程序。应用程序的服务主体持有分配给 SDK 的权限。 SDK 应用程序的应用程序标识符始终为 14d82eec-204b-4c2f-b7e8-296a70dab67e（图 1）。

要将 SDK 的访问权限限制为选定的用户，请编辑应用程序的属性并：

• 访问“用户和组”选项卡，为您希望能够交互式登录 SDK 应用的人员添加访问权限分配。如果您拥有 Entra ID P1 许可证，则可以创建安全组来管理分配并将全局管理员和其他选定用户包含在组成员身份中。为新安全组添加分配。
• 将需要分配滑块从“否”（默认）移至“是”。此操作告诉 Entra ID，只有直接分配该应用程序的帐户才能使用它。
• 保存您的更改。

已分配的帐户可以继续正常登录。 Entra ID 会阻止没有分配的帐户并显示错误（图 2）。

使用直接分配来控制对 Microsoft Graph PowerShell SDK 应用的访问是限制对选定帐户的访问的最简单、最快捷的方法。所有租户都应考虑实施此控制措施。

Microsoft 平台迁移规划和整合

简化迁移规划，克服迁移挑战，更快地完成项目，同时最大限度地降低成本、风险和对用户的干扰。

检查登录情况

要验证是否只有经过批准的帐户列表正在以交互方式使用 SDK，您可以查询 Entra ID 登录日志以查找与 SDK 关联的事件。以下是如何使用 Get-MgBetaAuditLogSignIn cmdlet 和过滤器来检查登录事件，以提取 SDK 应用程序标识符的交互式用户登录：

[array]$SDKRecords = Get-MgBetaAuditLogSignIn -Filter "(signInEventTypes/any(t:t eq 'interactiveuser')) and AppId eq '14d82eec-204b-4c2f-b7e8-296a70dab67e'" -Top 2000 -Sort "createdDateTime DESC"

$SDKRecords | format-Table UserDisplayName, CreatedDateTime, IpAddress

UserDisplayName             CreatedDateTime     IPAddress
---------------             ---------------     ---------
Tony Redmond                27/07/2023 15:20:55 78.19.137.37
Hans Flick                  27/07/2023 15:20:13 45.11.131.38
Hans Flick                  27/07/2023 15:19:28 45.11.131.38
James Ryan                  27/07/2023 15:18:38 13.22.127.27

使用注册应用程序而不是 Microsoft 的企业应用程序

没有理由必须通过 Microsoft 的默认企业应用程序访问 Graph SDK。您可以创建特定于租户的注册应用程序并使用该应用程序。企业应用程序是由 Microsoft 等发布者控制的应用程序，并且可以存在于多个租户中。企业应用程序的服务主体是其在租户内的实例化。已注册的应用程序由租户控制。

这里的想法是组织可以：

• 创建一组已注册的应用程序，供不同的帐户组使用。例如，创建一个应用程序供服务台成员使用。
• 仅将目标用户组所需的权限分配给他们的应用程序。例如，帮助台应用可能被分配了Directory.Read.All权限，以允许这些用户读取目录对象的完整详细信息。如果帮助台负责管理设备，租户管理员可以同意Devices.ReadWrite.All权限，等等。

从本质上讲，创建用于交互式 Graph SDK 访问的注册应用程序允许组织在更精细的级别上管理权限。

要创建与 SDK 一起使用的已注册应用程序：

• 打开 Entra ID 管理中心并打开应用程序选项卡。创建一个新应用程序并为其指定合适的名称并保存（注册）该应用程序。
• 访问应用程序并打开“身份验证”选项卡。选择添加平台并选择移动和桌面应用程序。从建议列表中添加 https://login.microsoftonline.com/common/oauth2/nativeclient 重定向 URI。
• 选择添加 URI 并输入 http://localhost。我最初省略了此 URI，但随后在尝试使用 Connect-MgGraph cmdlet 登录时遇到了 URI 不匹配的问题。错误消息指示我添加 localhost 的 URI，问题就消失了。
• 保存更改。

图 3 显示了添加到注册应用程序以与 Microsoft Graph PowerShell SDK 结合使用的重定向 URI。

应用程序安装到位后，指定帐户可以使用该应用程序登录 Graph SDK。要指示 SDK 不使用默认企业应用程序，请在连接中包含租户标识符和应用程序标识符。例如：

Connect-MgGraph -TenantId a662313f-14fc-43a2-9a7a-d2e27f4f3478 -AppId a69635f3-3ac8-4949-a82b-f31b396de57b

被阻止使用默认企业应用程序的用户可以使用注册的应用程序登录。当他们这样做时，他们会发现应用程序具有一组基本的权限（范围），如 Get-MgContext cmdlet 所示：

Get-MgContext

ClientId               : a69635f3-3ac8-4949-a82b-f31b396de57b
TenantId               : a662313f-14fc-43a2-9a7a-d2e27f4f3478
Scopes                 : {openid, profile, User.Read, email}
AuthType               : Delegated
TokenCredentialType    : InteractiveBrowser
CertificateThumbprint  :
CertificateSubjectName :
Account                : [email protected]
AppName                : Microsoft Graph SDK Tenant Access
ContextScope           : CurrentUser
Certificate            :
PSHostVersion          : 5.1.22621.1778
ManagedIdentityId      :
ClientSecret           :

Get-MgUser -all
Get-MgUser : Insufficient privileges to complete the operation.
Status: 403 (Forbidden)

为了允许指定用户使用 SDK 进行实际工作，租户管理员必须更新应用程序以添加并授予必要的 Graph 权限的同意。明智的做法是密切关注应用程序获得的权限。就像默认的企业应用程序一样，权限往往会累积而不会被删除。

使用 Get-MgBetaAuditLogSignIn cmdlet 以与上述类似的方式记录已注册应用程序的登录记录。

安全访问 Microsoft Graph PowerShell SDK

我不知道有多少租户从未想过接入Graph SDK。在只有几个管理员的小型租户中，如果您花时间限制对应用程序的访问，那么坚持使用默认企业应用程序并没有什么坏处。在较大的租户中，请考虑有多少不同类型的人运行 SDK cmdlet 以及他们执行的任务，然后确定某些具有定制权限集的注册应用程序是否是更好的答案。