Bloquear os Locatários do PowerShell para EDU
Visão Geral
Por predefinição, no Microsoft 365, qualquer utilizador membro no Microsoft Entra ID pode utilizar ferramentas comuns para ligar ao inquilino e ver/transferir detalhes do utilizador e informações de diretório. Este artigo explica como bloquear várias ferramentas comuns que podem ser utilizadas para esta finalidade.
A bloquear o PowerShell
Para bloquear o ID da Aplicação do PowerShell, siga as instruções:
Bloquear o PowerShell para todos, exceto eu
Este script bloqueia o PowerShell para todas as pessoas no inquilino, exceto a pessoa que está a executar o script. Utilize com cuidado para garantir que não bloqueia utilizadores (por exemplo, administradores de TI) que irão precisar de acesso.
Transfira o script do PowerShell localizado aqui e guarde em c:\temp
Inicie o PowerShell e execute o cmd:
Set-Location c:\temp
Escreva o cmd e prima Enter
.\Block-PowerShell_for_everyone_except_me.ps1
Se tentar autenticar com o módulo do PowerShell Azure AD v2, receberá um erro semelhante ao mostrado:
Bloquear o PowerShell para todos, exceto uma lista de administradores
Este script bloqueia o PowerShell para todas as pessoas no inquilino, exceto para uma lista de utilizadores especificados no ficheiro CSV. Faça duplo marcar a sua lista estiver correta.
Transfira o script do PowerShell localizado aqui e o ficheiro CSV de exemplo localizado aqui e guarde ambos em c:\temp
Abra o CSV e atualize a lista UserPrincipalName com todos os administradores que necessitem de acesso ao PowerShell. Depois de atualizado, guarde e feche o ficheiro CSV.
Inicie o PowerShell e execute o cmd:
Set-Location c:\temp
Escreva o cmd e prima Enter.
.\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1
Bloquear o PowerShell do Microsoft Graph para todos, exceto eu
Este script bloqueia o módulo do PowerShell do Microsoft Graph para todas as pessoas no inquilino, exceto a pessoa que está a executar o script. Utilize com cuidado.
Transfira o script do PowerShell localizado aqui e guarde em c:\temp
Inicie o PowerShell e execute o cmd:
Set-Location c:\temp
Escreva o cmd e prima Enter
.\Block-PowerShell_for_everyone_except_me.ps1
Se alguém tentar autenticar com o módulo do PowerShell do MS Graph, receberá um erro semelhante a:
Bloquear o PowerShell do Microsoft Graph para Todos, exceto uma lista de utilizadores
Este script bloqueia o módulo do PowerShell do Microsoft Graph para todas as pessoas no inquilino, exceto para uma lista de utilizadores especificados no ficheiro CSV. Utilize com cuidado.
Transfira o script do PowerShell localizado aqui e o ficheiro CSV de exemplo localizado aqui e guarde ambos em c:\temp
Abra o CSV e atualize a lista UserPrincipalName com todos os administradores que necessitem de acesso ao PowerShell. Depois de atualizado, guarde e feche o ficheiro CSV.
Inicie o PowerShell e execute o cmd:
Set-Location c:\temp
Escreva cmd e prima Enter
.\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1
A bloquear Explorer do MS Graph
Para bloquear o MS Graph Explorer para utilizadores visados, siga as instruções para configurar a Política de Acesso Condicional.
O Acesso Condicional no Microsoft Entra ID requer Microsoft Entra ID P1.
Aceda a Acesso Condicional no centro de administração do Microsoft Entra.
Selecione Nova Política.
Indique um nome para a política, como Bloquear Gráfico Explorer.
Selecione os utilizadores aos quais pretende aplicar a política e os administradores a excluir da política.
Selecione as aplicações do Graph Explorer.
Selecione a Opção Bloquear Acesso e Mude a política para Ativado.
Selecione Criar.
Bloquear o Módulo MSOL
Para bloquear o Módulo MSOL do PowerShell para utilizadores finais, siga as instruções:
Observação
Se ainda não o tiver feito, terá de dar consentimento a Directory.AccessAsUser delegado. Tudo antes de efetuar esta chamada PATCH.
Inicie sessão no MS Graph Explorer.
Selecione o botão de início de sessão no painel de navegação esquerdo.
No Construtor de consultas, selecione PATCH no primeiro menu pendente e selecione o segundo menu pendente beta.
Na barra com o URL, introduza a cadeia listada:
https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy
No bloco de texto Corpo do Pedido, introduza o código e selecione Executar consulta.
{"blockMsolPowerShell": true}
Assim que "blockMsolPowerShell" estiver definido como verdadeiro, os utilizadores receberão este erro se tentarem chamar cmdlets MSOL:
Bloquear Exchange Online PowerShell
Para bloquear o acesso ao PowerShell no Exchange Online, siga as instruções na ligação:
Habilitar ou desabilitar o acesso ao Exchange Online PowerShell
Controlar o acesso ao Intune PowerShell
Por predefinição, assim que um Administrador Global consentir a Microsoft Intune a Aplicação Microsoft Entra do PowerShell para acesso a um inquilino, é concedido acesso a todos os utilizadores. Os utilizadores a quem é concedido acesso à aplicação Microsoft Intune PowerShell ainda estão limitados pelas suas permissões de funções Microsoft Entra ou Intune controlo de acesso baseado em funções, mas com acesso ao PowerShell podem realizar exportações em massa de dados. Pode alterar facilmente o Registo de Aplicações para que apenas utilizadores específicos possam utilizar Microsoft Intune PowerShell.
Limitar o acesso
Para limitar o acesso do utilizador, pode alterar a aplicação para exigir a atribuição de utilizadores. Para fazer isso:
Selecione Aplicações Empresariais.
Localize e selecione no Microsoft Intune PowerShell na lista.
Selecione Propriedades.
Altere a Atribuição de utilizadores necessária? para Sim.
Selecione Salvar.
Adicionar ou remover utilizadores
Para adicionar ou remover utilizadores da aplicação Microsoft Intune PowerShell:
Selecione Aplicações Empresariais.
Localize e selecione no Microsoft Intune PowerShell na lista.
Selecione Usuários e grupos.
Modifique o acesso conforme necessário.
