Microsoft Entra 中的全局阅读器允许访问 Teams 设备


2024 年 2 月,Microsoft 将更新 Microsoft Entra 中现有内置全局读取者角色的范围,以便那些需要从 Teams 管理中心对 Teams 设备进行只读访问的人员可以更轻松地访问该角色。

Microsoft 365 管理门户中的消息中心消息 MC711015 说明:

管理员现在可以使用现有的全局读者角色对 Teams 管理中心的 Teams 设备部分进行只读访问!

全局读者角色是 Microsoft Entra ID 中的内置角色,允许管理员查看所有管理功能和设置,但无法编辑或修改它们。此角色对于审核、报告和故障排除目的非常有用。

此更改将于 2 月中旬开始推出,并于 2 月底完成。

以前,授予某人访问 Teams 设备菜单的唯一选项是授予他们 Teams 管理员角色。正如您可以想象的那样,这可能导致 Teams 内出现一些特权过高的访问,无论是否通过 PIM 进行管理。

尽管这是一个影响相对较小的变更,但您仍然应该计划确保主动改进组织中的任何现有角色分配。

在 Microsoft Entra 中查看团队管理员角色的分配

1.登录https://entra.microsoft.com/

2. 展开身份 > 角色和管理员,然后选择角色和管理员

3. 选择团队管理员角色并记下所有活动分配。

4. 花一些时间联系分配给该角色的每个用户。如果他们的分配是由于无法访问 Teams 设备菜单而导致的,则通知他们更改并删除对该角色的分配。

使用 Microsoft Graph PowerShell 查看团队管理员

作为管理员,您还可以使用以下小型 Microsoft Graph PowerShell 脚本快速生成团队管理员报告:

(此脚本使用 Microsoft.Graph.Beta 模块,有关安装说明,请参阅:如何安装 Microsoft Graph PowerShell 模块

Connect-MgGraph -Scope RoleManagement.Read.Directory, user.read.all
$TeamsAdmins = Get-MgBetaDirectoryRoleMember -DirectoryRoleId 68680e1a-8ab1-4e7a-9a37-3259350c3fdd
$report = Foreach ($admin in $TeamsAdmins){
    Get-MgBetaUser -userid $admin.id | Select DisplayName, UserPrincipalName
} 
$Report | Export-CSV C:\Temp\TeamsAdminsReport.CSV -NoTypeInformation

将在 C:\temp\ 中生成一个小型 CSV 文件,其中包含活动团队管理员的列表。

如果您想要从 Microsoft Entra 导出所有有效且符合条件的 PIM 分配的结果,请查看我在以下位置编写的脚本:如何使用 Microsoft Graph PowerShell 导出所有 Entra PIM 角色