EDU テナント用の PowerShell のブロック

概要

Microsoft 365 の既定では、Microsoft Entra ID のメンバー ユーザーは、共通ツールを使用してテナントに接続し、ユーザーの詳細とディレクトリ情報を表示/ダウンロードできます。 この記事では、この目的で使用される可能性のあるいくつかの一般的なツールをブロックする方法について説明します。

PowerShell のブロック

PowerShell アプリ ID をブロックするには、次の手順に従います。

自分以外のすべてのユーザーに対して PowerShell をブロックする

このスクリプトは、スクリプトを実行しているユーザーを除き、テナント内のすべてのユーザーの PowerShell をブロックします。 アクセスが必要なユーザー (IT 管理者など) をブロックしないように注意してください。

1. ここにある PowerShell スクリプトをダウンロードし、c:\temp で保存します

2. PowerShell を起動し、cmd を実行します。

   Set-Location c:\temp

3. cmd を入力し、Enter キーを押します

   .\Block-PowerShell_for_everyone_except_me.ps1

4. Azure AD v2 PowerShell モジュールを使用して認証しようとすると、次のようなエラーが表示されます。

   

管理者の一覧を除くすべてのユーザーに対して PowerShell をブロックする

このスクリプトは、CSV ファイルで指定されたユーザーの一覧を除き、テナント内のすべてのユーザーの PowerShell をブロックします。 リストが正しいチェックダブル。

1. ここに配置されている PowerShell スクリプトと、ここに配置されているサンプル CSV ファイルをダウンロードし、両方を c:\temp で保存します

2. CSV を開き、PowerShell アクセスを必要とするすべての管理者で UserPrincipalName の一覧を更新します。 更新したら、CSV ファイルを保存して閉じます。

   

3. PowerShell を起動し、cmd を実行します。

   Set-Location c:\temp

4. cmd を入力し、Enter キーを押します。

   .\Block-PowerShell_for_everyone_except_a_list_of_admins.ps1

自分以外のすべてのユーザーに対して Microsoft Graph PowerShell をブロックする

このスクリプトは、テナント内のすべてのユーザー (スクリプトを実行しているユーザーを除く) の Microsoft Graph PowerShell モジュールをブロックします。 注意して使用してください。

1. ここにある PowerShell スクリプトをダウンロードし、c:\temp で保存します

2. PowerShell を起動し、cmd を実行します。

   Set-Location c:\temp

3. cmd を入力し、Enter キーを押します

   .\Block-PowerShell_for_everyone_except_me.ps1

4. MS Graph PowerShell モジュールを使用して認証を試みると、次のようなエラーが表示されます。

   

ユーザーの一覧を除くすべてのユーザーの Microsoft Graph PowerShell をブロックする

このスクリプトは、CSV ファイルで指定されたユーザーの一覧を除き、テナント内のすべてのユーザーに対して Microsoft Graph PowerShell モジュールをブロックします。 注意して使用してください。

1. ここに配置されている PowerShell スクリプトと、ここに配置されているサンプル CSV ファイルをダウンロードし、両方を c:\temp で保存します

2. CSV を開き、PowerShell アクセスを必要とするすべての管理者で UserPrincipalName の一覧を更新します。 更新したら、CSV ファイルを保存して閉じます。

   

3. PowerShell を起動し、cmd を実行します。

   Set-Location c:\temp

4. 「cmd」と入力し、Enter キーを押します

   .\Block-MS_Graph_module_for_everyone_except_a_list_of_admins.ps1

MS Graph エクスプローラーのブロック

対象ユーザーの MS Graph エクスプローラーをブロックするには、指示に従って条件付きアクセス ポリシーを設定します。

Microsoft Entra ID の条件付きアクセスには、Microsoft Entra ID P1 が必要です。

1. Microsoft Entra管理センターの [条件付きアクセス] に移動します。

2. [新しいポリシー] を選択します。

3. [Graph のブロック] エクスプローラーなどのポリシーの名前を指定します。

4. ポリシーを適用するユーザーと、ポリシーから除外する管理者を選択します。

   

   

5. Graph エクスプローラー アプリを選択します。

   

6. [アクセスのブロック] オプションを選択し、ポリシーを [オン] に切り替えます。

   

7. [作成] を選択します。

MSOL モジュールのブロック

エンド ユーザーの MSOL PowerShell モジュールをブロックするには、次の手順に従います。

1. MS Graph エクスプローラーにログインします。

2. 左側のナビゲーション ウィンドウで [サインイン] ボタンを選択します。

   

3. クエリ ビルダーで、最初のドロップダウン メニューから [PATCH] を選択し、ベータ版の 2 番目のドロップダウン メニューを選択します。

   

4. URL が表示されたバーに、次の文字列を入力します。

   https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy

   

5. [要求本文] テキスト ブロックで、コードを入力し、[クエリの実行] を選択します。

   {"blockMsolPowerShell": true}

   

6. "blockMsolPowerShell" が true に設定されると、MSOL コマンドレットを呼び出そうとすると、ユーザーはこのエラーを受け取ります。

   

PowerShell Exchange Onlineブロックする

Exchange Onlineで PowerShell へのアクセスをブロックするには、リンクの指示に従います。

Exchange Online PowerShell へのアクセスを有効または無効にする

Intune PowerShell へのアクセスを制御する

既定では、IT 管理者がテナントへのアクセスについて Microsoft Intune PowerShell Microsoft Entra アプリケーションに同意すると、すべてのユーザーにアクセス権が付与されます。 Microsoft Intune PowerShell アプリケーションへのアクセスを許可されているユーザーは、Microsoft Entraロールまたは Intune ロールベースのアクセス制御からのアクセス許可によって制限されますが、PowerShell へのアクセス権を使用すると、データの一括エクスポートを実行できます。 特定のユーザーのみが Microsoft Intune PowerShell を使用できるように、アプリの登録を簡単に変更できます。

アクセスを制限する

ユーザー アクセスを制限するために、アプリケーションをユーザー割り当てを要求するように変更できます。 これを行うには、次の手順を実行します。

1. Microsoft Entra 管理 コンソールを開きます。

2. [ エンタープライズ アプリケーション] を選択します。

3. 一覧で Microsoft Intune PowerShell を見つけて選択します。

4. [プロパティ] をクリックします。

5. [ユーザー割り当てが必要ですか?] を [はい] に変更します。

   

6. [保存] を選択します。

ユーザーを追加または削除する

Microsoft Intune PowerShell アプリケーションのユーザーを追加または削除するには:

1. Microsoft Entra 管理 コンソールを開きます。

2. [ エンタープライズ アプリケーション] を選択します。

3. 一覧で Microsoft Intune PowerShell を見つけて選択します。

4. ユーザーおよびグループの選択

5. 必要に応じてアクセスを変更します。