ограничение просмотра членства в группах ролей администратора Azure AD только администраторами

Question

По умолчанию все пользователи Azure AD могут заходить на портал Azure и просматривать членство в ролях администратора, включая роль глобального администратора.это даст возможность хакерам просматривать учетные записи с высокими привилегиями, если они получат доступ к учетной записи обычного пользователя и попытаются взломать учетную запись с высокими привилегиями.

Есть ли способ ограничить просмотр и чтение членства администратора AzureРоли только для администраторов без нарушения каких-либо функций.

Я внедрил PIM, но я все еще думаю, что нет необходимости, чтобы все пользователи Azure AD могли просматривать членство в группе ролей Администратор.

спасибо, Маджид

читать предыдущие посты

Answer 1

Спасибо, что нашли время для публикации.Сегодня нет способа сделать то, что вы описали выше (хотя мы слышим ваши отзывы, а также слышим от других клиентов).

В разделе «Пользователи» -> «Настройки пользователя» есть переключатель «Ограничить доступ»на портал администрирования Azure AD ", который позволит вам отключить возможность просмотра информации на портале Azure AD для не администраторов.Однако это отключает доступ ко всей информации на портале, а не только к членству в роли.Кроме того, он не ограничивает возможности пользователей просматривать информацию с помощью PowerShell.

С уважением, Винс

Answer 2

Я нашел ответ на этот вопрос, это можно сделать с помощью условного доступа Azure