PowerShell für EDU-Mandanten blockierenBlocking PowerShell for EDU Tenants

ÜbersichtOverview

In M365 können alle Mitgliedsbenutzer in Azure AD standardmäßig allgemeine Tools verwenden, um eine Verbindung mit dem Mandanten herzustellen und Benutzer Details und Verzeichnisinformationen anzuzeigen/herunterzuladen.By default in M365, any member user in Azure AD can use common tools to connect to the tenant and view/download user details and directory information. In diesem Artikel wird erläutert, wie Sie mehrere gängige Tools blockieren können, die für diesen Zweck verwendet werden könnten.This article explains how to block several common tools that might be used for this purpose.

Blockieren von PowerShellBlocking PowerShell

Wenn Sie die PowerShell-APP-ID blockieren möchten, befolgen Sie die Anweisungen unten.To block the PowerShell App ID, follow the instructions below.

Blockieren von PowerShell für alle außer mirBlock PowerShell for everyone except me

Dieses Skript blockiert PowerShell für alle Benutzer im Mandanten, mit Ausnahme der Person, die das Skript ausführt.This script will block PowerShell for everyone in the tenant, except the person running the script. Verwenden Sie mit Vorsicht, um sicherzustellen, dass Sie keine Benutzer (beispielsweise IT-Administratoren) blockieren, die Zugriff benötigen.Use with caution to ensure you dont block users (e.g. IT admins) who will need access.

  1. Laden Sie das hier gelegene PowerShell-Skript herunter, und speichern Sie in c:\tempDownload the PowerShell script located here and save in c:\temp

  2. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:Launch PowerShell and run the cmd below:

    Set-Location c:\tempSet-Location c:\temp

  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE.Type the cmd below and press enter

    .\Block-PowerShell_for_everyone_except_me.ps1.\Block-PowerShell_for_everyone_except_me.ps1

  4. Wenn jemand versucht, sich mit dem PowerShell-Modul Azure AD v2 zu authentifizieren, erhalten Sie eine Fehlermeldung, die dem unten aufgeführten ähnelt:If anyone attempting to authenticate using the Azure AD v2 PowerShell module, they will receive an error similar to what’s shown below:

PowerShell-Fehler für Azure AD v2-Authentifizierung

Blockieren von PowerShell für alle Benutzer außer einer Liste von AdministratorenBlock PowerShell for everyone except a list of admins

Dieses Skript blockiert PowerShell für alle Benutzer im Mandanten, mit Ausnahme einer Liste von Benutzern, die in der CSV-Datei angegeben sind.This script will block PowerShell for everyone in the tenant, except for a list of users specified in the CSV file. Überprüfen Sie, ob Ihre Liste richtig ist.Double check your list is correct.

  1. Laden Sie das hier gelegene PowerShell-Skript und die hiergelegene CSV-Beispieldatei herunter, und speichern Sie beides in c:\tempDownload the PowerShell script located here and the sample CSV file located here, and save both in c:\temp

  2. Öffnen Sie die CSV-Datei, und aktualisieren Sie die userPrincipalName-Liste mit jedem Administrator, für den PowerShell-Zugriff erforderlich ist.Open the CSV and update the UserPrincipalName list with every admin that requires PowerShell access. Wenn die CSV-Datei aktualisiert wurde, speichern und schließen Sie Sie.Once updated, save and close the CSV file.

    CSV-Datei zum Aktualisieren des UserPrincipal-namens

  3. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:Launch PowerShell and run the cmd below:

    Set-Location c:\tempSet-Location c:\temp

  4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE.Type the cmd below and press enter.

    .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1.\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

Block MS Graph PowerShell für jeden außer mirBlock MS Graph PowerShell for everyone except me

Mit diesem Skript wird das MS Graph PowerShell-Modul für alle Benutzer im Mandanten blockiert, mit Ausnahme der Person, die das Skript ausführt.This script will block the MS Graph PowerShell module for everyone in the tenant, except the person running the script. Mit Vorsicht verwenden.Use with caution.

  1. Laden Sie das hier gelegene PowerShell-Skript herunter, und speichern Sie in c:\tempDownload the PowerShell script located here and save in c:\temp

  2. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:Launch PowerShell and run the cmd below:

    Set-Location c:\tempSet-Location c:\temp

  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE.Type the cmd below and press enter

    .\Block-PowerShell_for_everyone_except_me.ps1.\Block-PowerShell_for_everyone_except_me.ps1

  4. Wenn alle Benutzer versuchen, sich mit dem MS Graph PowerShell-Modul zu authentifizieren, erhalten Sie eine Fehlermeldung, die dem unten aufgeführten ähnelt:If anyone attempting to authenticate using the MS Graph PowerShell module, they will receive an error similar to what’s shown below:

    PowerShell-Fehler beim Versuch, sich mit MS Graph zu authentifizieren

Blockieren von MS Graph PowerShell für alle Benutzer außer einer Liste von BenutzernBlock MS Graph PowerShell for Everyone except a list of users

Mit diesem Skript wird das MS Graph PowerShell-Modul für alle Benutzer im Mandanten blockiert, mit Ausnahme der in der CSV-Datei angegebenen Liste von Benutzern.This script will block MS Graph PowerShell module for everyone in the tenant, except for a list of users specified in the CSV file. Mit Vorsicht verwenden.Use with caution.

  1. Laden Sie das hier gelegene PowerShell-Skript und die hiergelegene CSV-Beispieldatei herunter, und speichern Sie beides in c:\tempDownload the PowerShell script located here and the sample CSV file located here, and save both in c:\temp

  2. Öffnen Sie die CSV-Datei, und aktualisieren Sie die userPrincipalName-Liste mit jedem Administrator, für den PowerShell-Zugriff erforderlich ist.Open the CSV and update the UserPrincipalName list with every admin that requires PowerShell access. Wenn die CSV-Datei aktualisiert wurde, speichern und schließen Sie Sie.Once updated, save and close the CSV file.

    CSV-Datei und Update userPrincipalName

  3. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:Launch PowerShell and run the cmd below:

    Set-Location c:\tempSet-Location c:\temp

  4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE.Type the cmd below and press enter

    .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1.\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

Blockieren des MS Graph-ExplorersBlocking MS Graph Explorer

Um MS Graph Explorer für Zielbenutzer zu blockieren, führen Sie die folgenden Schritte aus, um die Richtlinie für bedingten Zugriff einzurichten.To block MS Graph Explorer for targeted users, follow the instructions below to setup Conditional Access Policy.

Für bedingten Zugriff in Azure AD ist Azure AD P1erforderlich.Conditional Access in Azure AD requires Azure AD P1.

  1. Wechseln Sie zu bedingter Zugriff im Azure AD Portal.Go to Conditional Access in the Azure AD Portal.

  2. Klicken Sie auf neue Richtlinie.Click New Policy.

  3. Geben Sie einen Namen für die Richtlinie wie Block Graph Explorer an.Provide a name for the policy like Block Graph Explorer.

  4. Wählen Sie die Benutzer aus, für die die Richtlinie angewendet werden soll, und Administratoren aus, die von der Richtlinie ausgeschlossen werden sollen.Select the users to apply the policy against, and admins to exclude from the policy.

    Auswählen von Benutzern zum Anwenden einer Richtlinie]]

    Aus Richtlinie auszuschließende Administratoren auswählen

  5. Wählen Sie die Graph-Explorer-Apps aus.Select the Graph Explorer apps.

    Auswählen der Apps für Graph-Explorer

  6. Wählen Sie die Option Zugriff blockieren aus, und schalten Sie die Richtlinie auf ein.Select the Block Access Option and Switch the policy to On.

    Wählen Sie Zugriffsoption blockieren aus, und wechseln Sie zur Richtlinie auf ein

  7. Klicken Sie auf Erstellen.Click Create.

Blockieren des MSOL-ModulsBlocking the MSOL Module

Wenn Sie das MSOL-PowerShell-Modul für Endbenutzer blockieren möchten, befolgen Sie die Anweisungen unten.To block the MSOL PowerShell Module for end users, follow the instructions below.

Hinweis

Wenn dies noch nicht geschehen ist, müssen Sie dem Delegierten Verzeichnis. AccessAsUser. all zustimmen, bevor Sie diesen Patch-Aufruf durchführen.If not done already, you will need to consent to delegated Directory.AccessAsUser.All before making this PATCH call.

  1. Melden Sie sich bei MS Graph Exploreran.Log into MS Graph Explorer.

  2. Klicken Sie im linken Navigationsbereich auf die Schaltfläche anmelden.Click the sign-in button on the left-hand navigation pane.

    Klicken Sie auf Anmeldeschaltfläche

  3. Wählen Sie im Abfrage-Generator im ersten Dropdownmenü die Option Patch aus, und wählen Sie Beta zweites Dropdownmenü aus.In the Query builder, select PATCH from the first dropdown menu, and select beta second dropdown menu.

    Patch auswählen

  4. Geben Sie in der Leiste mit der URL die unten aufgeführte Zeichenfolge ein.In the bar with the URL, enter the string listed below

    https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

    Geben Sie die unten aufgeführte Zeichenfolge ein.

  5. Geben Sie im TextBlock Anforderungstext den folgenden Code ein, und klicken Sie auf Abfrage ausführen.In the Request Body text block, enter the code below and click Run query.

    {"blockMsolPowerShell": true}{"blockMsolPowerShell": true}

    Geben Sie den folgenden Code ein, und klicken Sie auf Abfrage ausführen

  6. Wenn "blockMsolPowerShell" auf "true" festgelegt ist, erhalten die Benutzer diesen Fehler, wenn Sie versuchen, alle MSOL-Cmdlets aufzurufen:Once “blockMsolPowerShell” is set to true, users will get this error if they try to call any MSOL cmdlets:

    Fehler beim Versuch des Benutzers, MSOL-Cmdlets aufzurufen

Blockieren Exchange Online PowerShellBlocking Exchange Online PowerShell

Wenn Sie den Zugriff auf PowerShell in Exchange Online blockieren möchten, befolgen Sie die Anweisungen unter dem unten stehenden Link.To block the access to PowerShell in Exchange Online, follow the instructions at the link below.

https://docs.microsoft.com/powershell/exchange/disable-access-to-exchange-online-powershell?view=exchange-ps

Steuern des Zugriffs auf InTune PowerShellControl access to Intune PowerShell

Wenn ein globaler Administrator dem Microsoft InTune PowerShell -Azure AD Anwendung für den Zugriff auf einen Mandanten zustimmt, wird standardmäßig allen Benutzern der Zugriff gewährt.By default, once a Global Administrator consents for the Microsoft Intune PowerShell Azure AD Application for access to a tenant, all users are granted access. Benutzer, denen Zugriff auf die Microsoft InTune PowerShell-Anwendung gewährt wird, sind weiterhin durch ihre Berechtigungen von Azure AD Rollen oder von InTune RBACbetroffen, mit dem Zugriff auf PowerShell können jedoch Massenexporte von Daten ausgeführt werden.Users who are granted access to the Microsoft Intune PowerShell application are still limited by their permissions from Azure AD Roles or Intune RBAC, but with access to PowerShell could perform bulk exports of data. Sie können die APP-Registrierung ganz einfach ändern, sodass nur bestimmte Benutzer Microsoft InTune PowerShell verwenden können.You can easily change the App Registration so that only specific users can use Microsoft Intune PowerShell.

Einschränken des ZugriffsLimit access

Um den Benutzer Zugriff einzuschränken, können Sie die Anwendung so ändern, dass eine Benutzerzuweisung erforderlich ist.To limit user access, you can change the application to require user assignment. Gehen Sie hierfür folgendermaßen vor:To do this:

  1. Öffnen Sie die Azure Active Directory-Verwaltungskonsole.Open the Azure Active Directory Admin Console.

  2. Klicken Sie auf Enterprise-Anwendungen.Click on Enterprise Applications.

  3. Suchen und klicken Sie in der Liste auf Microsoft InTune PowerShell .Find and click on Microsoft Intune PowerShell in the list.

  4. Wählen Sie Eigenschaften aus.Select Properties.

  5. Benutzerzuordnung erforderlich ändern? auf Ja.Change User assignment required? to Yes.

Ändern der Benutzerzuweisung für "Ja" erforderlich

  1. Klicken Sie auf Speichern.Click Save.

Hinzufügen oder Entfernen von BenutzernAdd or remove users

So können Sie Benutzer der Microsoft InTune PowerShell-Anwendung hinzufügen oder entfernen:To add or remove users of the Microsoft Intune PowerShell application:

  1. Öffnen Sie die Azure Active Directory-Verwaltungskonsole.Open the Azure Active Directory Admin Console.

  2. Klicken Sie auf Enterprise-Anwendungen.Click on Enterprise Applications.

  3. Suchen und klicken Sie in der Liste auf Microsoft InTune PowerShell .Find and click on Microsoft Intune PowerShell in the list.

  4. Wählen Sie Benutzer und Gruppen aus.Select Users and groups.

  5. Ändern Sie den Zugriff nach Bedarf.Modify access as required.

Hinzufügen eines Benutzers