我有一个SharePoint在线租户的租户管理员帐户。我的任务是查看租户上的所有站点以及每个站点上的所有SharePoint组。使用PNP库(Get-PnPTenantSite)可以轻松获取站点列表。我的下一步是循环遍历每个站点并获取与每个站点关联的所有安全组-使用Get-PnPGroup commandlet也很容易。
我遇到的问题是我的租户管理员没有被添加到一些站点-不是站点管理员,不是站点所有者,甚至不是站点阅读者-所以当我的脚本在这些站点中的一个上执行时,我在请求站点上的组时得到403 Forbidden。是的,我可以通过在租户中的每个站点上添加我的租户管理员作为所有者来避免这种情况。并且甚至可以使用一个相当简单的powershell脚本来实现这一点。
但是,我的问题是,为什么有必要这样做呢?难道我不应该运行一个带有某种“租户管理员超级读取权限”的脚本,或者一些可以临时给予我所有访问权限的脚本,而不必通过中间的步骤将我自己添加到所有位置吗?
1条答案
按热度按时间wfsdck301#
根据您对SharePoint的业务需求,它可能看起来像是不必要的或额外的安全层。毕竟,为什么不允许管理员访问所有内容呢?
答案在于SharePoint安全性设计为允许角色分离。这些角色可能不一定与公司中定义的职责完全匹配。
来自微软:
全局管理员和SharePoint管理员不能自动访问所有站点和每个用户的OneDrive,但他们可以为自己授予访问任何站点或OneDrive的权限。
请参阅https://learn.microsoft.com/en-us/sharepoint/sharepoint-admin-role
租户管理员有以下几项职责:
要履行这些职责,只需访问很少的实际站点及其内容。
网站集管理员和网站所有者负责管理对网站集及其内容的访问。
在您的公司中,您可能身兼两职。您可能要建立和删除网站,也可能要参与网站集合层级的存取控制或稽核。在这些情况下,您必须使用承租人管理员的权限(例如,新增和移除网站管理员)来授与自己存取所需信息所需的网站集合权限。
我建议您不要永远授予自己这些权限。考虑到对所有站点拥有持续的管理访问权限是不可取的,这会有所帮助,原因如下:
所有这些都解决了你的问题中的"为什么"部分。至于技术问题,目前还没有"租户管理超级读取权限"角色可以用来收集你想要的数据。