博客园博客地址:https://www.cnblogs.com/Shelleyliu0415/
近期给客户实施Permission Replacement时,发现客户很多业务部门员工具备Site Collection Administrator的权限,然而无论在Site Administrator 还是check permission页面都没有检测到部门普通员工具备管理员权限的任何记录。
那么是什么情况下使部门普通员工具备这么高的权限呢?我们都知道,数据安全对于一个企业来说是首要任务,所以IT Admin一定要做好把控,杜绝普通员工看到本不应该看到的机密数据,避免数据窃取事件发生。
问题分析:为了帮助客户解答该问题的产生原因,我和21v工程师联手做了线上问题分析,我们发现在Site collection Administrator中虽然没有用户的名字,但是有一个特殊的Azure AD Group:Company Administrator,为什么说该组是特殊的呢?
因为无论在Office 365 Groups还是Azure AD Groups都无法查询到该组,它是一个hidden Group,但具备此role的用户有权限访问Azure Active Directory以及使用Azure AD identities service,比如Microsoft 365 Security Admin,Exchange Online和SharePoint Online等等中的所有管理功能。
那么在什么情况下业务部门员工才存在Company Administrator 组中呢?只有在用户被Microsoft 365 管理员授予Global Administrator Role时,用户才会自动被添加到Company Administrator这个组中,分析出具体原因之后,按照这个思路我们核实了相关用户,排错证实了普通用户分配了Global Administrator Role,所以网站管理员把Company Administrator添加到Site Collection Administrator中,那么这些部门员工可以看到所有网站内的资料这个场景就成立了。
经过讨论我们推荐客户:
- 数据安全的重要性,切勿给普通用户授权Global Administrator Role,请重新分配role,比如User
- Site Collection的Security 管理,建议重新梳理权限,尽可能的使用AD Group授权,而非对每个级别针对不同用户单独授权,不易于后续管理。
相关资料: