EDU 테넌트용 PowerShell 차단

개요

기본적으로 Microsoft 365에서 Microsoft Entra ID 멤버 사용자는 공통 도구를 사용하여 테넌트에 연결하고 사용자 세부 정보 및 디렉터리 정보를 보거나 다운로드할 수 있습니다. 이 문서에서는 이 용도로 사용할 수 있는 몇 가지 일반적인 도구를 차단하는 방법을 설명합니다.

PowerShell 차단

PowerShell 앱 ID를 차단하려면 다음 지침을 따릅니다.

나를 제외한 모든 사용자에 대한 PowerShell 차단

이 스크립트는 스크립트를 실행하는 사람을 제외하고 테넌트 내 모든 사용자에 대한 PowerShell을 차단합니다. 액세스가 필요한 사용자(예: IT 관리자)를 차단하지 않도록 주의해서 사용합니다.

1. 여기에 있는 PowerShell 스크립트를 다운로드하고 c:\temp에 저장합니다.

2. PowerShell을 시작하고 cmd를 실행합니다.

   Set-Location c:\temp

3. cmd를 입력하고 Enter 키를 누릅니다.

   .\Block-PowerShell_for_everyone_except_me.ps1

4. Azure AD v2 PowerShell 모듈을 사용하여 인증을 시도하는 경우 다음과 유사한 오류가 발생합니다.

   

관리자 목록을 제외한 모든 사용자에 대한 PowerShell 차단

이 스크립트는 CSV 파일에 지정된 사용자 목록을 제외하고 테넌트 내 모든 사용자에 대한 PowerShell을 차단합니다. 목록이 올바른지 두 번 검사.

1. 여기에 있는 PowerShell 스크립트와 여기에 있는 샘플 CSV 파일을 다운로드하고 c:\temp에 둘 다 저장합니다.

2. CSV를 열고 PowerShell 액세스가 필요한 모든 관리자로 UserPrincipalName 목록을 업데이트합니다. 업데이트되면 CSV 파일을 저장하고 닫습니다.

   

3. PowerShell을 시작하고 cmd를 실행합니다.

   Set-Location c:\temp

4. cmd를 입력하고 Enter 키를 누릅니다.

   .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

나를 제외한 모든 사용자에 대해 Microsoft Graph PowerShell 차단

이 스크립트는 스크립트를 실행하는 사람을 제외하고 테넌트 내 모든 사용자에 대한 Microsoft Graph PowerShell 모듈을 차단합니다. 사용 시 주의하십시오.

1. 여기에 있는 PowerShell 스크립트를 다운로드하고 c:\temp에 저장합니다.

2. PowerShell을 시작하고 cmd를 실행합니다.

   Set-Location c:\temp

3. cmd를 입력하고 Enter 키를 누릅니다.

   .\Block-PowerShell_for_everyone_except_me.ps1

4. MS Graph PowerShell 모듈을 사용하여 인증을 시도하는 사람은 다음과 유사한 오류가 발생합니다.

   

사용자 목록을 제외한 모든 사용자에 대한 Microsoft Graph PowerShell 차단

이 스크립트는 CSV 파일에 지정된 사용자 목록을 제외하고 테넌트 내 모든 사용자에 대한 Microsoft Graph PowerShell 모듈을 차단합니다. 사용 시 주의하십시오.

1. 여기에 있는 PowerShell 스크립트와 여기에 있는 샘플 CSV 파일을 다운로드하고 c:\temp에 둘 다 저장합니다.

2. CSV를 열고 PowerShell 액세스가 필요한 모든 관리자로 UserPrincipalName 목록을 업데이트합니다. 업데이트되면 CSV 파일을 저장하고 닫습니다.

   

3. PowerShell을 시작하고 cmd를 실행합니다.

   Set-Location c:\temp

4. cmd를 입력하고 Enter 키를 누릅니다.

   .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

MS Graph Explorer 차단

대상 사용자에 대한 MS Graph Explorer 차단하려면 지침에 따라 조건부 액세스 정책을 설정합니다.

Microsoft Entra ID 조건부 액세스에는 Microsoft Entra ID P1이 필요합니다.

1. Microsoft Entra 관리 센터 조건부 액세스로 이동합니다.

2. 새 정책을 선택합니다.

3. 블록 그래프 Explorer 같은 정책의 이름을 제공합니다.

4. 정책을 적용할 사용자와 정책에서 제외할 관리자를 선택합니다.

   

   

5. Graph Explorer 앱을 선택합니다.

   

6. 액세스 차단 옵션을 선택하고 정책을 켜기로 전환합니다.

   

7. 만들기를 선택합니다.

MSOL 모듈 차단

최종 사용자에 대한 MSOL PowerShell 모듈을 차단하려면 다음 지침을 따릅니다.

참고

아직 수행하지 않은 경우 이 PATCH 호출을 수행하기 전에 위임된 Directory.AccessAsUser.All에 동의해야 합니다.

1. MS Graph Explorer 로그인합니다.

2. 왼쪽 탐색 창에서 로그인 단추를 선택합니다.

   

3. 쿼리 작성기의 첫 번째 드롭다운 메뉴에서 PATCH를 선택하고 베타 두 번째 드롭다운 메뉴를 선택합니다.

   

4. URL이 있는 막대에 나열된 문자열을 입력합니다.

   https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

   

5. 요청 본문 텍스트 블록에서 코드를 입력하고 쿼리 실행을 선택합니다.

   {"blockMsolPowerShell": true}

   

6. "blockMsolPowerShell"이 true로 설정되면 MSOL cmdlet을 호출하려고 하면 이 오류가 발생합니다.

   

차단 Exchange Online PowerShell

Exchange Online PowerShell에 대한 액세스를 차단하려면 링크의 지침을 따릅니다.

Exchange Online PowerShell에 대한 액세스 설정 또는 해제

Intune PowerShell에 대한 액세스 제어

기본적으로 전역 관리자가 테넌트 액세스에 대한 Microsoft Intune PowerShell Microsoft Entra 애플리케이션에 동의하면 모든 사용자에게 액세스 권한이 부여됩니다. Microsoft Intune PowerShell 애플리케이션에 대한 액세스 권한이 부여된 사용자는 여전히 Microsoft Entra 역할 또는 Intune 역할 기반 액세스 제어의 권한으로 제한되지만 PowerShell에 대한 액세스 권한이 있으면 대량 데이터 내보내기를 수행할 수 있습니다. 특정 사용자만 Microsoft Intune PowerShell을 사용할 수 있도록 앱 등록을 쉽게 변경할 수 있습니다.

액세스 제한

사용자 액세스를 제한하려면 사용자 할당을 요구하도록 애플리케이션을 변경할 수 있습니다. 이렇게 하려면 다음을 수행합니다.

1. Microsoft Entra 관리 콘솔을 엽니다.

2. 엔터프라이즈 애플리케이션에서 를 선택합니다.

3. 목록에서 powerShell을 Microsoft Intune 찾아 선택합니다.

4. 속성을 선택합니다.

5. 사용자 할당 필요를 예로 변경합니다.

   

6. 저장을 선택합니다.

사용자 추가 또는 제거

Microsoft Intune PowerShell 애플리케이션의 사용자를 추가하거나 제거하려면 다음을 수행합니다.

1. Microsoft Entra 관리 콘솔을 엽니다.

2. 엔터프라이즈 애플리케이션에서 를 선택합니다.

3. 목록에서 powerShell을 Microsoft Intune 찾아 선택합니다.

4. 사용자 및 그룹을 선택합니다.

5. 필요에 따라 액세스를 수정합니다.