博客园博客地址:https://www.cnblogs.com/Shelleyliu0415
51CTO博客地址:https://blog.51cto.com/13637423

近期给客户实施Permission Replacement时,发现客户很多部门员工具备Site Collection Administrator的权限,然而无论在Site Administrator还是Check Permission 页面都没有检测到用户具备管理员权限的记录。

那么是什么情况下使用户具备这么高的权限呢?我们都知道,数据安全是企业的首要任务,所以IT Admin一定要做好把控,杜绝用户权限过高,看到本不应该共享的,机密的数据,杜绝数据窃取的事情发生。

为了帮助客户解答该问题,我和21v工程师联手做了线上问题分析,我们发现在Site Collection Administrator中虽然没有用户的名字,但是有一个特殊的Azure AD Group:Company Administrator,为什么说该组是特殊的呢?

因为无论在Office 365 Groups还是Azure AD Groups 都无法查看到该组,它是一个hidden的group,但具备此role的用户有权访问Azure Active Directory以及使用Azure Active Directory identities service,比如Microsoft 365 Security Center,Microsoft 365 Complaince Center,Exchange Online,SharePoint Online中的所有管理功能。

那么在什么情况下业务用户才存在Company Administrator组中呢?只有在用户在Office 365中管理用户界面,被管理员分配了Global Administrator Role的时候,用户就会自动被添加到Company Administrator这个组中,分析出具体原因之后,按照这个思路我们核实相关用户,排错证实了普通用户分配了Global Administrator Role,所以SharePoint Admin 把Company Administrator又添加到SiteCollection的管理员中,那么很多部门的普通员工能看到所有资料这个场景就成立了。

我们跟客户做了最终的问题解答:

  • 数据安全的重要性,切勿给普通的用户分配Global Administrator Role的身份
  • Site Collection的Security管理,建议重新梳理权限,尽可能的使用AD Group授权,而非对每个级别针对不同用户进行单独授权,不易于后续管理。

相关资料:

  • Administrator Role Permissions in Azure Active Directory