PowerShell für EDU-Mandanten blockieren
Übersicht
Standardmäßig kann in Microsoft 365 jeder Mitgliedsbenutzer in Microsoft Entra ID gängige Tools verwenden, um eine Verbindung mit dem Mandanten herzustellen und Benutzerdetails und Verzeichnisinformationen anzuzeigen/herunterzuladen. In diesem Artikel wird erläutert, wie Sie mehrere gängige Tools blockieren, die zu diesem Zweck verwendet werden können.
Blockieren von PowerShell
Befolgen Sie die folgenden Anweisungen, um die PowerShell-App-ID zu blockieren.
Blockieren von PowerShell für alle außer mir
Dieses Skript blockiert PowerShell für alle Personen im Mandanten, mit Ausnahme der Person, die das Skript ausführt. Verwenden Sie mit Vorsicht, um sicherzustellen, dass Benutzer (z. B. IT-Administratoren), die Zugriff benötigen, nicht blockiert werden.
Laden Sie das hier gespeicherte PowerShell-Skript herunter, und speichern Sie es in c:\temp.
Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:
Set-Location c:\temp
Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.
.\Block-PowerShell_for_everyone_except_me.ps1
Wenn jemand versucht, sich mit dem Azure AD v2 PowerShell-Modul zu authentifizieren, erhält er einen Fehler ähnlich der unten gezeigten:
Blockieren von PowerShell für alle außer einer Liste von Administratoren
Dieses Skript blockiert PowerShell für alle Benutzer im Mandanten, mit Ausnahme einer Liste von Benutzern, die in der CSV-Datei angegeben sind. Überprüfen Sie, ob Ihre Liste richtig ist.
Laden Sie das hier gespeicherte PowerShell-Skript und die csv-Beispieldatei hier herunter, und speichern Sie beide in c:\temp.
Öffnen Sie die CSV-Datei, und aktualisieren Sie die Liste UserPrincipalName mit jedem Administrator, der PowerShell-Zugriff benötigt. Speichern und schließen Sie die CSV-Datei nach der Aktualisierung.
Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:
Set-Location c:\temp
Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.
.\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1
Blockieren von MS Graph PowerShell für alle außer mir
Dieses Skript blockiert das MS Graph PowerShell-Modul für alle Personen im Mandanten mit Ausnahme der Person, die das Skript ausführt. Verwenden Sie mit Vorsicht.
Laden Sie das hier gespeicherte PowerShell-Skript herunter, und speichern Sie es in c:\temp.
Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:
Set-Location c:\temp
Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.
.\Block-PowerShell_for_everyone_except_me.ps1
Wenn jemand versucht, sich mit dem MS Graph PowerShell-Modul zu authentifizieren, erhält er einen Fehler ähnlich der unten gezeigten:
Blockieren von MS Graph PowerShell for Everyone mit Ausnahme einer Liste von Benutzern
Dieses Skript blockiert das MS Graph PowerShell-Modul für alle Benutzer im Mandanten, mit Ausnahme einer Liste von Benutzern, die in der CSV-Datei angegeben sind. Verwenden Sie mit Vorsicht.
Laden Sie das hier gespeicherte PowerShell-Skript und die csv-Beispieldatei hier herunter, und speichern Sie beide in c:\temp.
Öffnen Sie die CSV-Datei, und aktualisieren Sie die Liste UserPrincipalName mit jedem Administrator, der PowerShell-Zugriff benötigt. Speichern und schließen Sie die CSV-Datei nach der Aktualisierung.
Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:
Set-Location c:\temp
Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.
.\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1
Blockieren von MS Graph-Explorer
Um MS Graph-Explorer für Zielbenutzer zu blockieren, befolgen Sie die folgenden Anweisungen zum Einrichten einer Richtlinie für bedingten Zugriff.
Bedingter Zugriff in Microsoft Entra ID erfordert Microsoft Entra ID P1.
Wechseln Sie im Microsoft Entra Admin Center zu Bedingter Zugriff.
Wählen Sie Neue Richtlinie aus.
Geben Sie einen Namen für die Richtlinie an, z. B. Block Graph Explorer.
Wählen Sie die Benutzer aus, auf die die Richtlinie angewendet werden soll, und administratoren, die von der Richtlinie ausgeschlossen werden sollen.
]
Wählen Sie die Graph-Explorer-Apps aus.
Wählen Sie die Option Zugriff blockieren aus, und legen Sie die Richtlinie auf Ein um.
Wählen Sie Erstellen aus.
Blockieren des MSOL-Moduls
Um das MSOL PowerShell-Modul für Endbenutzer zu blockieren, befolgen Sie die folgenden Anweisungen.
Hinweis
Falls noch nicht geschehen, müssen Sie delegiertem Directory.AccessAsUser.All zustimmen, bevor Sie diesen PATCH-Aufruf ausführen.
Melden Sie sich bei MS Graph Explorer an.
Wählen Sie im linken Navigationsbereich die Anmeldeschaltfläche aus.
Wählen Sie im Abfrage-Generator im ersten Dropdownmenü PATCH aus, und wählen Sie beta das zweite Dropdownmenü aus.
Geben Sie in der Leiste mit der URL die unten aufgeführte Zeichenfolge ein.
https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
Geben Sie im Textblock Anforderungstext den folgenden Code ein, und wählen Sie Abfrage ausführen aus.
{"blockMsolPowerShell": true}
Sobald "blockMsolPowerShell" auf true festgelegt ist, erhalten Benutzer diesen Fehler, wenn sie versuchen, MSOL-Cmdlets aufzurufen:
Blockieren von Exchange Online PowerShell
Um den Zugriff auf PowerShell in Exchange Online zu blockieren, befolgen Sie die Anweisungen unter dem folgenden Link.
Aktivieren oder Deaktivieren des Zugriffs auf Exchange Online PowerShell
Steuern des Zugriffs auf Intune PowerShell
Sobald ein globaler Administrator der Microsoft Intune PowerShell Microsoft Entra Application für den Zugriff auf einen Mandanten zustimmt, wird allen Benutzern standardmäßig Zugriff gewährt. Benutzer, denen Zugriff auf die Microsoft Intune PowerShell-Anwendung gewährt wird, sind weiterhin durch ihre Berechtigungen von Microsoft Entra Rollen oder Intune rollenbasierte Zugriffssteuerung eingeschränkt, aber mit Zugriff auf PowerShell können Massenexporte von Daten ausgeführt werden. Sie können die App-Registrierung ganz einfach ändern, sodass nur bestimmte Benutzer Microsoft Intune PowerShell verwenden können.
Beschränken des Zugriffs
Um den Benutzerzugriff einzuschränken, können Sie die Anwendung so ändern, dass eine Benutzerzuweisung erforderlich ist. Gehen Sie dazu wie folgt vor:
Öffnen Sie die Microsoft Entra Admin-Konsole.
Wählen Sie Unternehmensanwendungen aus.
Suchen Sie Microsoft Intune PowerShell in der Liste, und wählen Sie sie aus.
Wählen Sie Eigenschaften aus.
Ändern Sie Benutzerzuweisung erforderlich? in Ja.
- Klicken Sie auf Speichern.
Hinzufügen oder Entfernen von Benutzern
So fügen Sie Benutzer der Microsoft Intune PowerShell-Anwendung hinzu oder entfernen sie:
Öffnen Sie die Microsoft Entra Admin-Konsole.
Wählen Sie Unternehmensanwendungen aus.
Suchen Sie Microsoft Intune PowerShell in der Liste, und wählen Sie sie aus.
Wählen Sie Benutzer und Gruppen aus.
Ändern Sie den Zugriff nach Bedarf.