#azure-active-directory
#azure-active-directory
Вопрос:
По умолчанию все пользователи Azure AD могут перейти на портал Azure и просмотреть членство в ролях администратора, включая роль глобального администратора. это даст хакеру возможность просматривать учетные записи с высокими привилегиями, если они получат доступ к учетной записи обычного пользователя и попытаются взломать учетную запись с высокими привилегиями.
Есть ли способ ограничить просмотр и чтение членства в ролях администратора Azure только администраторами без нарушения каких-либо функций.
Я внедрил PIM, но я по-прежнему считаю излишним, чтобы все пользователи Azure AD могли просматривать членство в группах ролей администратора.
спасибо, Маджид
прочитайте предыдущие сообщения
Комментарии:
1. Я не думаю, что есть. Участники (не гости) всегда могут просматривать списки пользователей и групп.
Ответ №1:
Спасибо, что нашли время для публикации. Сегодня нет способа сделать то, что вы описали выше (хотя мы слышим ваши отзывы, а также их от других клиентов).
В разделе Пользователи -> Настройки пользователя есть переключатель «Ограничить доступ к порталу администрирования Azure AD», который позволит вам отключить возможность просмотра информации на портале Azure AD лицами, не являющимися администраторами. Однако это отключает доступ ко всей информации на портале, а не только к членству в роли. Кроме того, это не ограничивает возможности пользователей просматривать информацию с помощью PowerShell.
С уважением, Винс
Комментарии:
1. Спасибо, Винс! у меня следующий вопрос: как я могу ограничить учетные записи администратора Azure для входа только из подсети (подсетей). Я играл с политикой условного доступа Azure, но не смог разобраться.
Ответ №2:
Я нашел ответ на этот вопрос, это можно сделать с помощью Azure Conditional Access