Compartir a través de

Bloqueo de PowerShell para cuentas empresariales de EDU

  • Artículo

Información general

De forma predeterminada en Microsoft 365, cualquier usuario miembro de Microsoft Entra ID puede usar herramientas comunes para conectarse al inquilino y ver o descargar los detalles del usuario y la información del directorio. En este artículo se explica cómo bloquear varias herramientas comunes que se pueden usar para este propósito.

Bloqueo de PowerShell

Para bloquear el identificador de aplicación de PowerShell, siga las instrucciones:

Bloquear PowerShell para todos excepto para mí

Este script bloquea PowerShell para todos los usuarios del inquilino, excepto la persona que ejecuta el script. Úselo con precaución para asegurarse de que no bloquea a los usuarios (por ejemplo, administradores de TI) que necesitarán acceso.

  1. Descargue el script de PowerShell que se encuentra aquí y guárdelo en c:\temp.

  2. Inicie PowerShell y ejecute el comando cmd:

    Set-Location c:\temp

  3. Escriba el cmd y presione Entrar.

    .\Block-PowerShell_for_everyone_except_me.ps1

  4. Si intenta autenticarse mediante el módulo de PowerShell de Azure AD v2, reciben un error similar al que se muestra:

    Error de PowerShell para la autenticación de Azure AD v2.

Bloquear PowerShell para todos excepto una lista de administradores

Este script bloquea PowerShell para todos los usuarios del inquilino, excepto para una lista de usuarios especificados en el archivo CSV. Compruebe que la lista es correcta.

  1. Descargue el script de PowerShell que se encuentra aquí y el archivo CSV de ejemplo que se encuentra aquí, y guarde ambos en c:\temp.

  2. Abra el archivo CSV y actualice la lista UserPrincipalName con todos los administradores que requieran acceso a PowerShell. Una vez actualizado, guarde y cierre el archivo CSV.

    Archivo CSV para actualizar el nombre de UserPrincipal.

  3. Inicie PowerShell y ejecute el comando cmd:

    Set-Location c:\temp

  4. Escriba el cmd y presione Entrar.

    .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

Bloquear PowerShell de Microsoft Graph para todos excepto para mí

Este script bloquea el módulo de PowerShell de Microsoft Graph para todos los usuarios del inquilino, excepto la persona que ejecuta el script. Use con precaución.

  1. Descargue el script de PowerShell que se encuentra aquí y guárdelo en c:\temp.

  2. Inicie PowerShell y ejecute el comando cmd:

    Set-Location c:\temp

  3. Escriba el cmd y presione Entrar.

    .\Block-PowerShell_for_everyone_except_me.ps1

  4. Si alguien intenta autenticarse mediante el módulo de PowerShell de MS Graph, recibe un error similar al siguiente:

    Error de PowerShell al intentar autenticarse mediante MS Graph.

Bloquear PowerShell de Microsoft Graph para todos excepto una lista de usuarios

Este script bloquea el módulo de PowerShell de Microsoft Graph para todos los usuarios del inquilino, excepto para una lista de usuarios especificados en el archivo CSV. Use con precaución.

  1. Descargue el script de PowerShell que se encuentra aquí y el archivo CSV de ejemplo que se encuentra aquí, y guarde ambos en c:\temp.

  2. Abra el archivo CSV y actualice la lista UserPrincipalName con todos los administradores que requieran acceso a PowerShell. Una vez actualizado, guarde y cierre el archivo CSV.

    Archivo CSV y actualice UserPrincipalName.

  3. Inicie PowerShell y ejecute el comando cmd:

    Set-Location c:\temp

  4. Escriba cmd y presione ENTRAR.

    .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

Bloqueo del Explorador de MS Graph

Para bloquear el Explorador de MS Graph para usuarios de destino, siga las instrucciones para configurar la directiva de acceso condicional.

El acceso condicional en Microsoft Entra ID requiere Microsoft Entra ID P1.

  1. Vaya a Acceso condicional en el Centro de administración Microsoft Entra.

  2. Seleccione Nueva directiva.

  3. Proporcione un nombre para la directiva, como El Explorador de Block Graph.

  4. Seleccione los usuarios a los que aplicar la directiva y los administradores a los que se va a excluir de la directiva.

    Seleccione los usuarios a los que aplicar la directiva.

    Seleccione administradores para excluir de la directiva.

  5. Seleccione las aplicaciones del Explorador de Graph.

    Seleccione las aplicaciones del Explorador de Graph.

  6. Seleccione la opción Bloquear acceso y cambie la directiva a Activado.

    Seleccione la opción Bloquear acceso y cambie la directiva a Activado.

  7. Seleccione Crear.

Bloqueo del módulo MSOL

Para bloquear el módulo de PowerShell de MSOL para los usuarios finales, siga las instrucciones:

Nota:

Si aún no lo ha hecho, tendrá que dar su consentimiento a Directory.AccessAsUser.All delegado antes de realizar esta llamada PATCH.

  1. Inicie sesión en el Explorador de MS Graph.

  2. Seleccione el botón de inicio de sesión en el panel de navegación izquierdo.

    Haga clic en el botón de inicio de sesión.

  3. En el Generador de consultas, seleccione PATCH en el primer menú desplegable y seleccione el menú desplegable beta segundo.

    seleccione PATCH.

  4. En la barra con la dirección URL, escriba la cadena que aparece:

    https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

    escriba la cadena que aparece.

  5. En el bloque de texto Cuerpo de la solicitud, escriba el código y seleccione Ejecutar consulta.

    {"blockMsolPowerShell": true}

    escriba el código y haga clic en Ejecutar consulta.

  6. Una vez que "blockMsolPowerShell" se establece en true, los usuarios obtendrán este error si intentan llamar a cualquier cmdlet de MSOL:

    Error cuando el usuario intenta llamar a cmdlets de MSOL.

Bloqueo Exchange Online PowerShell

Para bloquear el acceso a PowerShell en Exchange Online, siga las instrucciones del vínculo:

Habilitar o deshabilitar el acceso al PowerShell de Exchange Online

Control del acceso a Intune PowerShell

De forma predeterminada, una vez que un administrador global da su consentimiento a la aplicación Microsoft Entra de PowerShell Microsoft Intune para acceder a un inquilino, se concede acceso a todos los usuarios. Los usuarios a los que se les concede acceso a la aplicación de PowerShell Microsoft Intune siguen estando limitados por sus permisos de Microsoft Entra roles o Intune control de acceso basado en roles, pero con acceso a PowerShell podrían realizar exportaciones masivas de datos. Puede cambiar fácilmente el registro de aplicaciones para que solo usuarios específicos puedan usar Microsoft Intune PowerShell.

Limitar el acceso

Para limitar el acceso del usuario, puede cambiar la aplicación para que requiera la asignación de usuarios. Para hacerlo:

  1. Abra la consola de Microsoft Entra Administración.

  2. Seleccione Aplicaciones empresariales.

  3. Busque y seleccione Microsoft Intune PowerShell en la lista.

  4. Seleccione Propiedades.

  5. Cambie Asignación de usuario requerida a.

    Cambie Asignación de usuario requerida a Sí.

  6. Haga clic en Guardar.

Agregar o quitar usuarios

Para agregar o quitar usuarios de la aplicación de PowerShell Microsoft Intune:

  1. Abra la consola de Microsoft Entra Administración.

  2. Seleccione Aplicaciones empresariales.

  3. Busque y seleccione Microsoft Intune PowerShell en la lista.

  4. Selecciona Usuarios y grupos

  5. Modifique el acceso según sea necesario.

    Agregar un usuario.