我创建了一个没有任何特殊权限的新AAD用户(没有管理员,只有用户)。现在,当我使用Connect-MSOLService cmdlet登录并使用Get-MSOLUser检索所有用户时,我可以看到该目录中的每个用户。
为什么我可以改变它?
背景:我想为多个SAAS应用程序使用单个AAD实例,并希望阻止用户浏览所有用户。
答案 0 :(得分:3)
实际上,有一种方法可以使用MSOnline模块中的Set-MsolCompanySettings禁用AAD中的用户浏览:
Set-MsolCompanySettings -UsersPermissionToReadOtherUsersEnabled $false
答案 1 :(得分:2)
在Azure AD中,用户和组是在没有OU和GPO的平面结构中创建的。您不能将用户的权限限制在特定范围内。用户可以在Azure AD中查看所有用户信息。
要隔离不同作用域的用户,可以为Azure AD创建多个目录,并将SaaS应用程序配置为AAD的多租户应用程序。
有关Azure AD目录角色的详细信息,请参阅以下文章。
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-assign-admin-roles
答案 2 :(得分:1)
如果连接到Active Directory,通常需要读取一些数据。因此,如果您有权这样做,您可以轻松访问可用的信息,特别是“敏感”信息(例如,您无法轻松读取用户对象的私钥)。如果您查看Active Directory的历史记录及其在公司内的典型用法,可能只有单个租户(公司)在给定时间使用它。因此,限制访问的理由更少。
如果您想让多个租户使用相同的AD,您必须找出适合您的方案并自行设置适当的权限。
有用的文章可能是: