Microsoft 365 排錯：小議Company Administrator

博客園博客地址：https://www.cnblogs.com/Shelleyliu0415/

近期給客戶實施Permission Replacement時，發現客戶不少業務部門員工具有Site Collection Administrator的權限，然而不管在Site Administrator 仍是check permission頁面都沒有檢測到部門普通員工具有管理員權限的任何記錄。

那麼是什麼狀況下使部門普通員工具有這麼高的權限呢？咱們都知道，數據安全對於一個企業來講是首要任務，因此IT Admin必定要作好把控，杜絕普通員工看到本不該該看到的機密數據，避免數據竊取事件發生。

問題分析：爲了幫助客戶解答該問題的產生緣由，我和21v工程師聯手作了線上問題分析，咱們發如今Site collection Administrator中雖然沒有用戶的名字，可是有一個特殊的Azure AD Group：Company Administrator，爲何說該組是特殊的呢？

由於不管在Office 365 Groups仍是Azure AD Groups都沒法查詢到該組，它是一個hidden Group，但具有此role的用戶有權限訪問Azure Active Directory以及使用Azure AD identities service，好比Microsoft 365 Security Admin，Exchange Online和SharePoint Online等等中的全部管理功能。

那麼在什麼狀況下業務部門員工才存在Company Administrator 組中呢？只有在用戶被Microsoft 365 管理員授予Global Administrator Role時，用戶纔會自動被添加到Company Administrator這個組中，分析出具體緣由以後，按照這個思路咱們覈實了相關用戶，排錯證明了普通用戶分配了Global Administrator Role，因此網站管理員把Company Administrator添加到Site Collection Administrator中，那麼這些部門員工能夠看到全部網站內的資料這個場景就成立了。

通過討論咱們推薦客戶：

• 數據安全的重要性，切勿給普通用戶受權Global Administrator Role，請從新分配role，好比User
• Site Collection的Security 管理，建議從新梳理權限，儘量的使用AD Group受權，而非對每一個級別針對不一樣用戶單獨受權，不易於後續管理。

相關資料：

• Administrator Role Permissions in Azure Active Directory