In der Standardkonfiguration können interne Benutzeraccounts lesend auf bestimmte Daten in Azure AD zugreifen. Sie benötigen dafür keine Admin Rolle. Die Konfiguration könnte angepasst werden.
Kennt ein interner Benutzer die Url zum Azure oder Azure AD Portal ist der Zugriff auf Daten wie Einstellungen des Azure ADs, Benutzeraccounts, registriere Geräte, Admin Rollen, Lizenzen und andere möglich. Nicht möglich ist unter anderem der Abruf von Logdaten oder eine Übersicht zur Einstellung von Passwortvorgaben. Im Azure AD ist die Konfiguration unter User Settings > Administration Portal gelistet. Standardmässig ist die Konfiguration nicht eingeschränkt.
Microsoft beschreibt die Konfiguration in Kurzform.
Setting this option to No lets non-administrators use the Azure AD administration portal to read and manage Azure AD resources. Yes restricts all non-administrators from accessing any Azure AD data in the administration portal.
Note: this setting does not restrict access to Azure AD data using PowerShell or other clients such as Visual Studio.When set to Yes, to grant a specific non-admin user the ability to use the Azure AD administration portal assign any administrative role such as the Directory Readers role.
This role allows reading basic directory information, which member users have by default (guests and service principals do not).
Wird es auf Yes geändert erhalten Accounts ohne Admin Rolle bei einer zukünftigen Verwendung die Meldung über fehlende Berechtigung.
Über PowerShell und dem Azure AD Modul oder Microsoft Graph lässt sich die Konfiguration aktuell nicht anpassen.
