限制用户访问 Azure AD PowerShell 和 MS Graph Explorer

我们都知道，Microsoft Entra ID 中的任何用户都可以使用 Entra ID 门户、PowerShell 和 Graph API Explorer 读取用户的详细信息和目录信息。尽管限制进行更改，非管理员仍然可以探索用户信息、组详细信息、设备详细信息等。这会带来很大的安全问题，因为黑客总是利用权限最小的用户来访问 Microsoft 365 环境中的大量信息。因此，让我们深入了解如何限制用户对 Azure AD PowerShell 和 Microsoft Graph Explorer 的访问。

非管理员可以在哪里访问目录内信息？

用户可以通过多种方式访问其他用户的信息，即使他们不是管理员。

• 管理中心和 Entra ID 门户：用户可以导航到 Microsoft 365 管理中心以及 Entra ID 门户来访问用户信息。
• PowerShell：通过PowerShell命令，用户可以从Microsoft Entra ID检索目录信息。即使他们不是管理员，他们也可以执行“Get-MgUser”、“Get-MgGroup”等 cmdlet 来检索用户和组信息。
• Graph Explorer：Microsoft Graph Explorer 允许用户与 Microsoft Graph API 交互以访问各种数据，包括用户信息。用户可以进行身份验证并发出 API 请求以检索用户详细信息。

由于用户信息分散在各处，因此限制非管理员访问 Entra ID 门户、Azure AD PowerShell、Graph PowerShell 和 Graph Explorer 变得至关重要。让我们开始吧。

1. 限制用户访问 Azure AD PowerShell
2. 限制用户访问 Microsoft Graph PowerShell 和 Graph Explorer

• • 在 Entra ID 中阻止用户访问 Microsoft Graph PowerShell
• 使用条件访问策略阻止用户访问 Graph Explorer

限制用户访问 Azure AD PowerShell

尽管 Microsoft Graph 已成为 Entra ID 管理的首选工具，但 MSOnline 仍然是访问用户信息的强大选项。为了减轻这种安全风险，管理员可以限制用户访问 Azure AD PowerShell。

1. 要使用 MS Graph 阻止用户帐户访问 Azure AD PowerShell，请按照以下步骤操作。

首先，连接到 Microsoft Graph PowerShell。

要阻止用户使用 MSOnline 访问其他用户的数据，请执行以下 cmdlet。该命令需要一个AuthorizationPolicyId参数来指定您要更新的策略。您可以运行Get-MgPolicyAuthorizationPolicy来检索所有授权策略的列表。

Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId <AuthorizationPolicyId> -BlockMsolPowerShell $true

“-BlockMsolPowerShell”cmdlet 可防止用户使用旧工具 (MSOL PowerShell) 来管理 Microsoft 365 租户。这不会影响 Microsoft Entra Connect 或 Microsoft Graph。

2.要使用MSOnline阻止用户帐户读取其他用户的信息，请按照以下步骤操作。

首先，连接到 Azure AD PowerShell 并执行以下 cmdlet。

Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled $false

此处， Set-MsolCompanySettings 用于修改 Microsoft 365 中的公司范围设置。-UsersPermissionToReadOtherUsersEnabled 参数控制用户是否有权读取有关其他用户的信息。

运行此 cmdlet 后，用户仍然可以通过 PowerShell 访问 Azure AD，但无法读取其他用户的信息。如果用户尝试读取 Azure AD 数据，他们将遇到“访问被拒绝”消息。

3. 为了将 PowerShell 访问权限限制为除管理员列表之外的所有人，Microsoft 开发了 PowerShell 脚本。运行此脚本将阻止除 CSV 文件中指定的管理员列表之外的所有人使用 PowerShell。

请记住 - 上面提到的 Azure AD cmdlet 和 Microsoft 脚本依赖于 cmdlet，而 Microsoft 已于 2024 年 3 月 30 日停用这些 cmdlet。不过，Microsoft 确保 MSOnline 将继续运行到 2025 年 3 月 30 日。 1.1.166.0（2017 年发布）之前的 MS Online 版本将不再获得更新，并且在 2024 年 6 月 30 日之后可能会出现问题。

除了 Azure AD PowerShell 之外，用户仍然可以导航到“portal.azure.com”和“entra.microsoft.com”来访问用户信息。因此，建议还考虑限制用户对 Azure 门户的访问。但执行这些方法将阻止组织中的整个用户帐户，这并不酷。

限制用户访问 Microsoft Graph PowerShell 和 Graph Explorer

要阻止对 Microsoft Graph PowerShell 和 Graph Explorer 的非管理员访问，我们可以使用 Microsoft Entra 管理中心或条件访问策略。

在 Entra ID 中阻止用户访问 Microsoft Graph PowerShell

案例 1：限制用户在 Entra ID 中访问 Microsoft Graph PowerShell

要阻止未经授权的用户使用 Entra ID 门户访问 Microsoft Graph PowerShell，请继续执行以下步骤。

1. 打开 Microsoft Entra 管理中心。
2. 导航至身份-> 应用程序 —> 企业应用程序-> 所有应用程序。
3. 选择Microsoft Graph PowerShell。
4. 单击“管理”选项卡下的属性。
5. 将“需要分配？”开关切换为是以进行访问限制。
6. 选择保存。

如果“需要分配选项”设置为“是”，则用户必须先分配到此应用程序，然后才能访问它。

注意 - 如果要完全阻止用户登录 Microsoft Graph PowerShell，请将同一页面上的“已启用用户登录？”切换为否。

案例 2：在 Entra ID 中添加或删除访问 Microsoft Graph PowerShell 的用户

现在，管理员可以添加可以访问 Microsoft Graph PowerShell 的特定用户或组。

1. 在同一“Microsoft Graph PowerShell”页面中，单击“管理”选项卡下的用户和组。
2. 选择添加用户/组。
3. 在“用户和组”下，选择所需的用户和组，然后单击保存。

注意 - 同样，您可以通过从应用程序列表中选择“Graph Explorer”来限制用户访问 Microsoft Entra 中的Graph Explorer应用程序。 Graph Explorer 不会出现在“所有应用程序”列表中，除非至少有一个用户使用过它们。

现在，让我们继续下一个方法！

使用条件访问策略阻止用户访问 Graph Explorer

除了 Entra ID 门户之外，您还可以使用条件访问策略将 Graph Explorer 限制为选定的用户组。但是，请记住，创建条件访问策略需要为您的租户至少提供一份 Microsoft Entra ID P1 许可证。

要使用条件访问策略限制特定用户的 Graph Explorer，请按照以下步骤操作：

1. 打开 Microsoft Entra 管理中心中的条件访问页面。
2. 单击创建新策略。
3. 命名您的条件访问策略。
4. 在“分配”下，选择“用户”。 现在指定此策略将应用到的用户和组。您可以根据需要将管理员排除在此策略之外。如果您想限制所有用户，请选择“所有用户”。
5. 然后，选择“目标资源”，并从“云应用”部分中选择选择应用。 现在，单击“搜索”并添加名为Graph Explorer的应用程序。单击“选择”按钮。
6. 在“访问控制”下，选择“授予”，然后选择“阻止访问”选项。然后，单击选择按钮。
7. 确认您的设置并启用该策略。
8. 单击“创建”以创建您的 CA 策略。

注意 - 以同样的方式，您可以通过选择“云应用”下的“Microsoft Graph PowerShell”，使用条件访问策略阻止用户访问“Microsoft Graph PowerShell”。

通过执行以下步骤，您可以有效限制指定用户对 MS Graph Explorer 的访问，阻止攻击者访问用户详细信息。此外，管理员可以使用 PowerShell 导出 CA 策略，从而允许他们离线查看和验证策略配置。

此后，尝试访问 Graph Explorer 的用户可能会遇到类似于以下内容的错误消息：

尽管 MS Graph PowerShell 和 Graph Explorer 等强大的工具有助于用户管理，但即使轻微的误用也可能导致潜在的数据威胁。通过这种方式，您可以防止黑客利用最低权限帐户，确保安全。

我希望本博客可以帮助您了解如何限制用户对 Azure AD PowerShell、MS Graph PowerShell 和 Graph Explorer 的访问。如果您还有其他疑问，请通过评论部分与我们联系。