如何阻止用户访问 Microsoft Entra 门户

Microsoft Entra 门户包含有关目录中的用户、设备、组和特权角色的大量信息。攻击者可以使用此信息来详细了解您的环境并利用它来获得进一步的访问权限。

对 Microsoft Entra 门户的访问必须仅限于那些需要它的人，并且至少确保您实施更强大的身份验证机制来访问它。在本教程中，我将向您展示如何限制对 Microsoft Entra 门户的访问以及这样做的注意事项。

阻止用户访问 Microsoft Entra 门户

要执行这些步骤，您必须分配全局管理员角色。

1. 登录 Microsoft Entra 管理中心。

2. 展开身份并选择用户 > 用户设置。

3. 将限制访问 Microsoft Entra ID 管理中心设置为是。

使用 Microsoft Graph PowerShell 阻止用户访问 Microsoft Entra 门户

目前，Microsoft Graph 不支持使用 API 修改此设置。当支持时，本文将更新相关步骤。您可以在此处关注 Microsoft Graph 更改日志。

为什么要阻止访问 Microsoft Entra 管理门户？

不建议您阻止对 Entra 门户的访问以提高安全性，因为从根本上来说它不会。用户仍然可以使用与其关联的 API 或仅使用 PowerShell 来访问这些资源。

但是，阻止访问将确保用户拥有的资源不会意外配置错误，从而迫使用户遵循企业已实施的其他工作流程。

在某些用户可能需要访问门户的场景中，可以解决这些问题。例如，要查看访问评论，用户可以访问 myaccess.microsoft.com，对于任何其他任务，可以创建自定义角色以允许他们再次访问。

哪些 Microsoft Entra 角色将允许我访问 Microsoft Entra 门户？

任何 Microsoft Entra 角色， 包括自定义角色都将使您能够访问 Microsoft Entra 门户，即使它已对普通用户禁用。

限制 Microsoft Entra 门户后我仍然可以访问 PIM 吗？

是。要访问特权身份管理门户 (PIM)，您需要导航到以下门户：https://entra.microsoft.com/#view/Microsoft_Azure_PIMCommon/CommonMenuBlade/~/quickStart

激活 PIM 角色后，您将能够访问整个 Microsoft Entra 门户。如果您的 PIM 角色过期或在激活之前，您将无法访问 Microsoft Entra 门户。