Condividi tramite

Blocco di PowerShell per i tenant EDU

  • Articolo

Panoramica

Per impostazione predefinita in Microsoft 365, qualsiasi utente membro in Microsoft Entra ID può usare strumenti comuni per connettersi al tenant e visualizzare/scaricare i dettagli utente e le informazioni sulla directory. Questo articolo illustra come bloccare diversi strumenti comuni che potrebbero essere usati a questo scopo.

Blocco di PowerShell

Per bloccare l'ID app di PowerShell, seguire le istruzioni:

Blocca PowerShell per tutti tranne me

Questo script blocca PowerShell per tutti gli utenti del tenant, ad eccezione della persona che esegue lo script. Usare con cautela per assicurarsi di non bloccare gli utenti (ad esempio, gli amministratori IT) a cui sarà necessario accedere.

  1. Scaricare lo script di PowerShell disponibile qui e salvarlo in c:\temp

  2. Avviare PowerShell ed eseguire il cmd:

    Set-Location c:\temp

  3. Digitare il cmd e premere INVIO

    .\Block-PowerShell_for_everyone_except_me.ps1

  4. Se si tenta di eseguire l'autenticazione usando il modulo PowerShell di Azure AD v2, viene visualizzato un errore simile a quello visualizzato:

    Errore di PowerShell per l'autenticazione di Azure AD v2.

Bloccare PowerShell per tutti tranne un elenco di amministratori

Questo script blocca PowerShell per tutti gli utenti del tenant, ad eccezione di un elenco di utenti specificato nel file CSV. Controllare che l'elenco sia corretto.

  1. Scaricare lo script di PowerShell che si trova qui e il file CSV di esempio che si trova qui e salvare entrambi in c:\temp

  2. Aprire il file CSV e aggiornare l'elenco UserPrincipalName con ogni amministratore che richiede l'accesso a PowerShell. Dopo l'aggiornamento, salvare e chiudere il file CSV.

    File CSV per aggiornare il nome UserPrincipal.

  3. Avviare PowerShell ed eseguire il cmd:

    Set-Location c:\temp

  4. Digitare il cmd e premere INVIO.

    .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

Bloccare Microsoft Graph PowerShell per tutti tranne me

Questo script blocca il modulo PowerShell di Microsoft Graph per tutti gli utenti del tenant, ad eccezione della persona che esegue lo script. Usare con cautela.

  1. Scaricare lo script di PowerShell disponibile qui e salvarlo in c:\temp

  2. Avviare PowerShell ed eseguire il cmd:

    Set-Location c:\temp

  3. Digitare il cmd e premere INVIO

    .\Block-PowerShell_for_everyone_except_me.ps1

  4. Se si tenta di eseguire l'autenticazione usando il modulo PowerShell di MS Graph, viene visualizzato un errore simile al seguente:

    Errore di PowerShell durante il tentativo di autenticazione con MS Graph.

Bloccare Microsoft Graph PowerShell per tutti tranne un elenco di utenti

Questo script blocca il modulo PowerShell di Microsoft Graph per tutti gli utenti del tenant, ad eccezione di un elenco di utenti specificato nel file CSV. Usare con cautela.

  1. Scaricare lo script di PowerShell che si trova qui e il file CSV di esempio che si trova qui e salvare entrambi in c:\temp

  2. Aprire il file CSV e aggiornare l'elenco UserPrincipalName con ogni amministratore che richiede l'accesso a PowerShell. Dopo l'aggiornamento, salvare e chiudere il file CSV.

    file CSV e aggiornare UserPrincipalName.

  3. Avviare PowerShell ed eseguire il cmd:

    Set-Location c:\temp

  4. Digitare cmd e premere INVIO

    .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

Blocco di MS Graph Explorer

Per bloccare MS Graph Explorer per gli utenti di destinazione, seguire le istruzioni per configurare i criteri di accesso condizionale.

L'accesso condizionale in Microsoft Entra ID richiede Microsoft Entra ID P1.

  1. Passare all'accesso condizionale nel Interfaccia di amministrazione di Microsoft Entra.

  2. Selezionare Nuovo criterio.

  3. Specificare un nome per i criteri, ad esempio Block Graph Explorer.

  4. Selezionare gli utenti a cui applicare i criteri e gli amministratori da escludere dai criteri.

    Selezionare gli utenti a cui applicare i criteri.

    Selezionare amministratori da escludere dai criteri.

  5. Selezionare le app Graph Explorer.

    Selezionare le app Graph Explorer.

  6. Selezionare l'opzione Blocca accesso e impostare il criterio su Attivato.

    Selezionare l'opzione Blocca accesso e attivare i criteri.

  7. Selezionare Crea.

Blocco del modulo MSOL

Per bloccare il modulo PowerShell MSOL per gli utenti finali, seguire le istruzioni:

Nota

Se non è già stato fatto, sarà necessario fornire il consenso a Directory.AccessAsUser.All delegato prima di effettuare questa chiamata PATCH.

  1. Accedere a MS Graph Explorer.

  2. Selezionare il pulsante di accesso nel riquadro di spostamento a sinistra.

    Fare clic sul pulsante di accesso.

  3. Nel generatore di query selezionare PATCH dal primo menu a discesa e selezionare beta secondo menu a discesa.

    selezionare PATCH.

  4. Nella barra con l'URL immettere la stringa elencata:

    https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

    immettere la stringa elencata.

  5. Nel blocco di testo Corpo richiesta immettere il codice e selezionare Esegui query.

    {"blockMsolPowerShell": true}

    immettere il codice e fare clic su Esegui query.

  6. Quando "blockMsolPowerShell" è impostato su true, gli utenti riceveranno questo errore se tentano di chiamare i cmdlet MSOL:

    Errore quando l'utente tenta di chiamare i cmdlet MSOL.

Blocco Exchange Online PowerShell

Per bloccare l'accesso a PowerShell in Exchange Online, seguire le istruzioni disponibili nel collegamento:

Abilitare o disabilitare l'accesso a PowerShell per Exchange Online

Controllare l'accesso a Intune PowerShell

Per impostazione predefinita, una volta che un amministratore globale acconsente all'applicazione Microsoft Intune PowerShell Microsoft Entra per l'accesso a un tenant, a tutti gli utenti viene concesso l'accesso. Gli utenti a cui viene concesso l'accesso all'applicazione PowerShell Microsoft Intune sono ancora limitati dalle autorizzazioni dei ruoli Microsoft Entra o Intune controllo degli accessi in base al ruolo, ma con l'accesso a PowerShell potrebbero eseguire esportazioni bulk di dati. È possibile modificare facilmente la registrazione dell'app in modo che solo utenti specifici possano usare Microsoft Intune PowerShell.

Limitare l'accesso

Per limitare l'accesso utente, è possibile modificare l'applicazione in modo da richiedere l'assegnazione dell'utente. Procedura:

  1. Aprire la console di Microsoft Entra Amministrazione.

  2. Selezionare applicazioni aziendali.

  3. Trovare e selezionare Microsoft Intune PowerShell nell'elenco.

  4. Selezionare Proprietà.

  5. Modificare l'assegnazione utente richiesta? in .

    Modificare l'assegnazione utente richiesta in Sì.

  6. Selezionare Salva.

Aggiungere o rimuovere utenti

Per aggiungere o rimuovere utenti dell'applicazione PowerShell Microsoft Intune:

  1. Aprire la console di Microsoft Entra Amministrazione.

  2. Selezionare applicazioni aziendali.

  3. Trovare e selezionare Microsoft Intune PowerShell nell'elenco.

  4. Selezionare Utenti e gruppi.

  5. Modificare l'accesso in base alle esigenze.

    Aggiungere un utente.