Microsoft 365 排错：小议Company Administrator

博客园博客地址：https://www.cnblogs.com/Shelleyliu0415/

近期给客户实施Permission Replacement时，发现客户不少业务部门员工具有Site Collection Administrator的权限，然而不管在Site Administrator 仍是check permission页面都没有检测到部门普通员工具有管理员权限的任何记录。

那么是什么状况下使部门普通员工具有这么高的权限呢？咱们都知道，数据安全对于一个企业来讲是首要任务，因此IT Admin必定要作好把控，杜绝普通员工看到本不该该看到的机密数据，避免数据窃取事件发生。

问题分析：为了帮助客户解答该问题的产生缘由，我和21v工程师联手作了线上问题分析，咱们发如今Site collection Administrator中虽然没有用户的名字，可是有一个特殊的Azure AD Group：Company Administrator，为何说该组是特殊的呢？

由于不管在Office 365 Groups仍是Azure AD Groups都没法查询到该组，它是一个hidden Group，但具有此role的用户有权限访问Azure Active Directory以及使用Azure AD identities service，好比Microsoft 365 Security Admin，Exchange Online和SharePoint Online等等中的全部管理功能。

那么在什么状况下业务部门员工才存在Company Administrator 组中呢？只有在用户被Microsoft 365 管理员授予Global Administrator Role时，用户才会自动被添加到Company Administrator这个组中，分析出具体缘由以后，按照这个思路咱们核实了相关用户，排错证明了普通用户分配了Global Administrator Role，因此网站管理员把Company Administrator添加到Site Collection Administrator中，那么这些部门员工能够看到全部网站内的资料这个场景就成立了。

通过讨论咱们推荐客户：

• 数据安全的重要性，切勿给普通用户受权Global Administrator Role，请从新分配role，好比User
• Site Collection的Security 管理，建议从新梳理权限，尽量的使用AD Group受权，而非对每一个级别针对不一样用户单独受权，不易于后续管理。

相关资料：

• Administrator Role Permissions in Azure Active Directory