封鎖教育界租用戶的 PowerShell

概觀

根據預設，在 Microsoft 365 中，Microsoft Entra ID 中的任何成員使用者都可以使用通用工具來連線到租使用者，以及檢視/下載使用者詳細數據和目錄資訊。 本文說明如何封鎖數個可能用於此用途的常見工具。

封鎖PowerShell

若要封鎖PowerShell應用程式識別碼，請遵循下列指示：

為除了我以外的所有人封鎖PowerShell

此腳本會封鎖租使用者中所有人的PowerShell，但執行腳本的人員除外。 請小心使用 ，以確保您不會封鎖使用者 (例如IT系統管理員) 需要存取權的使用者。

1. 下載 位於此 處的PowerShell腳本，並儲存在 c：\temp 中

2. 啟動 PowerShell 並執行 Cmd：

   Set-Location c：\temp

3. 輸入 cmd，然後按 Enter 鍵

   .\Block-PowerShell_for_everyone_except_me.ps1

4. 如果嘗試使用 Azure AD v2 PowerShell 模組進行驗證，他們會收到類似所示的錯誤：

   

封鎖所有人員的PowerShell，但系統管理員清單除外

此腳本會封鎖租使用者中所有人的PowerShell，但 CSV 檔案中指定的使用者清單除外。 再次檢查您的清單是否正確。

1. 下載 位於此處 的PowerShell腳本和 位於此處的範例 CSV 檔案，並將兩者儲存在 c：\temp 中

2. 開啟 CSV，並以每個需要 PowerShell 存取權的系統管理員更新 UserPrincipalName 清單。 更新之後，儲存並關閉 CSV 檔案。

   

3. 啟動 PowerShell 並執行 Cmd：

   Set-Location c：\temp

4. 輸入 cmd，然後按 Enter 鍵。

   .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

封鎖 Graph PowerShell Microsoft 除了我以外的所有人

此腳本會針對租使用者中的每個人封鎖 Microsoft Graph PowerShell 模組，但執行腳本的人員除外。 請小心使用。

1. 下載 位於此 處的PowerShell腳本，並儲存在 c：\temp 中

2. 啟動 PowerShell 並執行 Cmd：

   Set-Location c：\temp

3. 輸入 cmd，然後按 Enter 鍵

   .\Block-PowerShell_for_everyone_except_me.ps1

4. 如果任何人嘗試使用 MS Graph PowerShell 模組進行驗證，就會收到類似下列的錯誤：

   

封鎖 Microsoft Graph PowerShell for Everyone，但使用者清單除外

此腳本會針對租使用者中的每個人封鎖 Microsoft Graph PowerShell 模組，但 CSV 檔案中指定的使用者清單除外。 請小心使用。

1. 下載 位於此處 的PowerShell腳本和 位於此處的範例 CSV 檔案，並將兩者儲存在 c：\temp 中

2. 開啟 CSV，並以每個需要 PowerShell 存取權的系統管理員更新 UserPrincipalName 清單。 更新之後，儲存並關閉 CSV 檔案。

   

3. 啟動 PowerShell 並執行 Cmd：

   Set-Location c：\temp

4. 輸入 cmd 並按 Enter 鍵

   .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

封鎖 MS Graph 總管

若要封鎖目標使用者的 MS Graph 總管，請遵循指示來設定條件式存取原則。

Microsoft Entra ID 中的條件式存取需要 P1 Microsoft Entra ID。

1. 移至 Microsoft Entra 系統管理中心 中的條件式存取。

2. 選取 [新增原則]。

3. 提供原則的名稱，例如 [區塊圖形總管]。

4. 選取要套用原則的使用者，以及要從原則中排除的系統管理員。

   

   

5. 選取 [圖形總管] 應用程式。

   

6. 選取 [封鎖存取] 選項，並將原則切換為 [開啟]。

   

7. 選取 [建立]。

封鎖 MSOL 模組

若要封鎖使用者適用的 MSOL PowerShell 模組，請遵循下列指示：

注意事項

如果尚未完成，您必須先同意委派 Directory.AccessAsUser.All，才能進行此 PATCH 呼叫。

1. 登入 MS Graph 總管。

2. 選取左側瀏覽窗格上的 [登入] 按鈕。

   

3. 在 [查詢產生器] 中，從第一個下拉功能表中選取 [PATCH]，然後選取 [beta second] 下拉功能表。

   

4. 在具有 URL 的欄中，輸入列出的字串：

   https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

   

5. 在 [要求本文] 文本塊中，輸入程式代碼，然後選取 [執行查詢]。

   {“blockMsolPowerShell”： true}

   

6. 一旦 「blockMsolPowerShell」 設定為 true，如果用戶嘗試呼叫任何 MSOL Cmdlet，就會收到此錯誤：

   

封鎖 Exchange Online PowerShell

若要封鎖存取 Exchange Online 中的 PowerShell，請遵循連結中的指示：

啟用或停用 Exchange Online Windows PowerShell 的存取

控制對 Intune PowerShell 的存取

根據預設，一旦全域管理員同意 Microsoft Intune PowerShell Microsoft Entra 應用程式存取租使用者，所有用戶都會獲得存取權。 獲授與 Microsoft Intune PowerShell 應用程式存取權的使用者仍受限於 Microsoft Entra 角色的許可權，或 Intune 角色型訪問控制，但具有 PowerShell 存取權的使用者仍可執行大量導出數據。 您可以輕鬆地變更應用程式註冊，讓只有特定使用者可以使用 Microsoft Intune PowerShell。

限制存取

若要限制使用者存取權，您可以將應用程式變更為需要使用者指派。 若要執行這項作業：

1. 開啟 Microsoft Entra 管理員 主控台。

2. 選取 [企業應用程式]。

3. 在清單中尋找並選 Microsoft Intune PowerShell。

4. 選取 [內容]。

5. 將 [需要使用者指派？ ] 變更為 [是]。

   

6. 選取 [儲存]。

新增或移除使用者

若要新增或移除 Microsoft Intune PowerShell 應用程式的使用者：

1. 開啟 Microsoft Entra 管理員 主控台。

2. 選取 [企業應用程式]。

3. 在清單中尋找並選 Microsoft Intune PowerShell。

4. 選取 使用者及群組。

5. 視需要修改存取權。