PowerShell für EDU-Mandanten blockieren

  • Artikel

Übersicht

Standardmäßig kann in Microsoft 365 jeder Mitgliedsbenutzer in Microsoft Entra ID gängige Tools verwenden, um eine Verbindung mit dem Mandanten herzustellen und Benutzerdetails und Verzeichnisinformationen anzuzeigen/herunterzuladen. In diesem Artikel wird erläutert, wie Sie mehrere gängige Tools blockieren, die zu diesem Zweck verwendet werden können.

Blockieren von PowerShell

Befolgen Sie die folgenden Anweisungen, um die PowerShell-App-ID zu blockieren.

Blockieren von PowerShell für alle außer mir

Dieses Skript blockiert PowerShell für alle Personen im Mandanten, mit Ausnahme der Person, die das Skript ausführt. Verwenden Sie mit Vorsicht, um sicherzustellen, dass Benutzer (z. B. IT-Administratoren), die Zugriff benötigen, nicht blockiert werden.

  1. Laden Sie das hier gespeicherte PowerShell-Skript herunter, und speichern Sie es in c:\temp.

  2. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:

    Set-Location c:\temp

  3. Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.

    .\Block-PowerShell_for_everyone_except_me.ps1

  4. Wenn jemand versucht, sich mit dem Azure AD v2 PowerShell-Modul zu authentifizieren, erhält er einen Fehler ähnlich der unten gezeigten:

PowerShell-Fehler für die Azure AD v2-Authentifizierung.

Blockieren von PowerShell für alle außer einer Liste von Administratoren

Dieses Skript blockiert PowerShell für alle Benutzer im Mandanten, mit Ausnahme einer Liste von Benutzern, die in der CSV-Datei angegeben sind. Überprüfen Sie, ob Ihre Liste richtig ist.

  1. Laden Sie das hier gespeicherte PowerShell-Skript und die csv-Beispieldatei hier herunter, und speichern Sie beide in c:\temp.

  2. Öffnen Sie die CSV-Datei, und aktualisieren Sie die Liste UserPrincipalName mit jedem Administrator, der PowerShell-Zugriff benötigt. Speichern und schließen Sie die CSV-Datei nach der Aktualisierung.

    CSV-Datei zum Aktualisieren des UserPrincipal-Namens.

  3. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:

    Set-Location c:\temp

  4. Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.

    .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

Blockieren von MS Graph PowerShell für alle außer mir

Dieses Skript blockiert das MS Graph PowerShell-Modul für alle Personen im Mandanten mit Ausnahme der Person, die das Skript ausführt. Verwenden Sie mit Vorsicht.

  1. Laden Sie das hier gespeicherte PowerShell-Skript herunter, und speichern Sie es in c:\temp.

  2. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:

    Set-Location c:\temp

  3. Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.

    .\Block-PowerShell_for_everyone_except_me.ps1

  4. Wenn jemand versucht, sich mit dem MS Graph PowerShell-Modul zu authentifizieren, erhält er einen Fehler ähnlich der unten gezeigten:

    PowerShell-Fehler beim Versuch, sich mit MS Graph zu authentifizieren.

Blockieren von MS Graph PowerShell for Everyone mit Ausnahme einer Liste von Benutzern

Dieses Skript blockiert das MS Graph PowerShell-Modul für alle Benutzer im Mandanten, mit Ausnahme einer Liste von Benutzern, die in der CSV-Datei angegeben sind. Verwenden Sie mit Vorsicht.

  1. Laden Sie das hier gespeicherte PowerShell-Skript und die csv-Beispieldatei hier herunter, und speichern Sie beide in c:\temp.

  2. Öffnen Sie die CSV-Datei, und aktualisieren Sie die Liste UserPrincipalName mit jedem Administrator, der PowerShell-Zugriff benötigt. Speichern und schließen Sie die CSV-Datei nach der Aktualisierung.

    CSV-Datei und aktualisieren UserPrincipalName.

  3. Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:

    Set-Location c:\temp

  4. Geben Sie unten den Cmd ein, und drücken Sie die EINGABETASTE.

    .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

Blockieren von MS Graph-Explorer

Um MS Graph-Explorer für Zielbenutzer zu blockieren, befolgen Sie die folgenden Anweisungen zum Einrichten einer Richtlinie für bedingten Zugriff.

Bedingter Zugriff in Microsoft Entra ID erfordert Microsoft Entra ID P1.

  1. Wechseln Sie im Microsoft Entra Admin Center zu Bedingter Zugriff.

  2. Wählen Sie Neue Richtlinie aus.

  3. Geben Sie einen Namen für die Richtlinie an, z. B. Block Graph Explorer.

  4. Wählen Sie die Benutzer aus, auf die die Richtlinie angewendet werden soll, und administratoren, die von der Richtlinie ausgeschlossen werden sollen.

    Wählen Sie Benutzer aus, für die eine Richtlinie angewendet werden soll.]

    Wählen Sie Administratoren aus, die von der Richtlinie ausgeschlossen werden sollen.

  5. Wählen Sie die Graph-Explorer-Apps aus.

    Wählen Sie die Graph-Explorer-Apps aus.

  6. Wählen Sie die Option Zugriff blockieren aus, und legen Sie die Richtlinie auf Ein um.

    Wählen Sie die Option Zugriff blockieren aus, und legen Sie die Richtlinie auf Ein fest.

  7. Wählen Sie Erstellen aus.

Blockieren des MSOL-Moduls

Um das MSOL PowerShell-Modul für Endbenutzer zu blockieren, befolgen Sie die folgenden Anweisungen.

Hinweis

Falls noch nicht geschehen, müssen Sie delegiertem Directory.AccessAsUser.All zustimmen, bevor Sie diesen PATCH-Aufruf ausführen.

  1. Melden Sie sich bei MS Graph Explorer an.

  2. Wählen Sie im linken Navigationsbereich die Anmeldeschaltfläche aus.

    Klicken Sie auf die Schaltfläche

  3. Wählen Sie im Abfrage-Generator im ersten Dropdownmenü PATCH aus, und wählen Sie beta das zweite Dropdownmenü aus.

    Wählen Sie PATCH aus.

  4. Geben Sie in der Leiste mit der URL die unten aufgeführte Zeichenfolge ein.

    https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

    geben Sie die unten aufgeführte Zeichenfolge ein.

  5. Geben Sie im Textblock Anforderungstext den folgenden Code ein, und wählen Sie Abfrage ausführen aus.

    {"blockMsolPowerShell": true}

    Geben Sie den folgenden Code ein, und klicken Sie auf Abfrage ausführen.

  6. Sobald "blockMsolPowerShell" auf true festgelegt ist, erhalten Benutzer diesen Fehler, wenn sie versuchen, MSOL-Cmdlets aufzurufen:

    Fehler, wenn der Benutzer versucht, MSOL-Cmdlets aufzurufen.

Blockieren von Exchange Online PowerShell

Um den Zugriff auf PowerShell in Exchange Online zu blockieren, befolgen Sie die Anweisungen unter dem folgenden Link.

Aktivieren oder Deaktivieren des Zugriffs auf Exchange Online PowerShell

Steuern des Zugriffs auf Intune PowerShell

Sobald ein globaler Administrator der Microsoft Intune PowerShell Microsoft Entra Application für den Zugriff auf einen Mandanten zustimmt, wird allen Benutzern standardmäßig Zugriff gewährt. Benutzer, denen Zugriff auf die Microsoft Intune PowerShell-Anwendung gewährt wird, sind weiterhin durch ihre Berechtigungen von Microsoft Entra Rollen oder Intune rollenbasierte Zugriffssteuerung eingeschränkt, aber mit Zugriff auf PowerShell können Massenexporte von Daten ausgeführt werden. Sie können die App-Registrierung ganz einfach ändern, sodass nur bestimmte Benutzer Microsoft Intune PowerShell verwenden können.

Beschränken des Zugriffs

Um den Benutzerzugriff einzuschränken, können Sie die Anwendung so ändern, dass eine Benutzerzuweisung erforderlich ist. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie die Microsoft Entra Admin-Konsole.

  2. Wählen Sie Unternehmensanwendungen aus.

  3. Suchen Sie Microsoft Intune PowerShell in der Liste, und wählen Sie sie aus.

  4. Wählen Sie Eigenschaften aus.

  5. Ändern Sie Benutzerzuweisung erforderlich? in Ja.

Ändern Sie benutzerzuweisung erforderlich in Ja.

  1. Klicken Sie auf Speichern.

Hinzufügen oder Entfernen von Benutzern

So fügen Sie Benutzer der Microsoft Intune PowerShell-Anwendung hinzu oder entfernen sie:

  1. Öffnen Sie die Microsoft Entra Admin-Konsole.

  2. Wählen Sie Unternehmensanwendungen aus.

  3. Suchen Sie Microsoft Intune PowerShell in der Liste, und wählen Sie sie aus.

  4. Wählen Sie Benutzer und Gruppen aus.

  5. Ändern Sie den Zugriff nach Bedarf.

Fügen Sie einen Benutzer hinzu.