默认情况下,所有Azure AD用户都可以访问Azure门户并查看管理员角色(包括全局管理员角色)的成员身份。如果他们可以访问临时用户帐户,并尝试破解高特权帐户,那么这将给黑客提供机会查看高特权帐户。
是否有一种方法可以将Azure管理员角色的成员身份限制为仅管理员,而又不破坏任何功能。
我已经实现了PIM,但是我仍然认为所有Azure AD用户都不必查看管理员角色组成员身份。
谢谢, 马吉德
阅读以前的帖子
答案 0 :(得分:2)
感谢您抽出宝贵的时间。如今,还没有一种方法可以做您上面描述的事情(尽管我们听到了您的反馈,并且也听到了其他客户的反馈)。
在“用户”->“用户设置”下,有一个“限制对Azure AD管理门户的访问”开关,它将允许您禁用非管理员查看Azure AD门户中信息的功能。但是,这将禁用对门户网站中所有信息的访问,而不仅仅是角色成员身份。而且,它不限制用户使用PowerShell查看信息的能力。
关于, 文斯
答案 1 :(得分:0)
我找到了此问题的答案,可以通过Azure条件访问来完成