ScubaGear工具交互模式权限配置指南

ScubaGear工具交互模式权限配置指南

工具概述

ScubaGear是一款用于评估Microsoft 365安全配置状态的自动化工具。它通过调用M365各产品的API接口，收集并分析安全配置数据，帮助管理员全面了解企业M365环境的安全状况。

用户权限要求

ScubaGear需要特定用户权限才能正常运行，具体权限要求根据所评估的M365产品而有所不同。

最小权限角色配置

以下是各M365产品所需的最小用户角色：

| 产品名称 | 所需角色 | |------------------------|--------------------------------------------------------------------------| | Entra ID | 全局读取者 | | Defender for Office 365| 全局读取者 或 Exchange管理员 | | Exchange Online | 全局读取者 或 Exchange管理员 | | Power Platform | Power Platform管理员(需具备"Power Apps for Office 365"许可证) | | Sharepoint Online | 全局读取者 或 SharePoint管理员 | | Microsoft Teams | 全局读取者 或 Teams管理员 |

重要说明：拥有全局管理员角色的用户始终具备运行该工具所需的所有权限。

权限分配最佳实践

1. 遵循最小权限原则，仅分配必要的角色
2. 建议创建专用服务账户用于运行ScubaGear
3. 定期审查和更新账户权限

应用程序权限配置

当评估Entra ID和SharePoint配置时，ScubaGear需要使用Microsoft Graph PowerShell SDK，这需要配置特定的API权限。

应用授权流程

1. 授权机制：Microsoft Graph PowerShell需要获得访问租户数据的显式授权
2. 授权类型：管理员需要代表组织同意应用程序权限请求
3. 授权过程：根据租户设置和用户角色，授权流程可能略有不同

必需的API权限

ScubaGear需要以下Microsoft Graph API权限：

• Directory.Read.All
• Policy.Read.All
• PrivilegedAccess.Read.AzureADGroup
• PrivilegedEligibilitySchedule.Read.AzureADGroup
• RoleManagement.Read.Directory
• RoleManagementPolicy.Read.AzureADGroup
• User.Read.All

技术说明：Microsoft Graph PowerShell SDK现在在AAD应用授权界面显示为"已验证"状态，提高了安全性。

权限配置常见问题

1. 权限不足错误：检查是否分配了正确的角色，并确认API权限已正确配置
2. 授权失败：确保执行授权的账户具有足够的权限
3. 许可证问题：特别是Power Platform评估需要特定许可证

安全建议

1. 评估完成后，考虑降低服务账户权限
2. 定期轮换用于运行ScubaGear的账户凭据
3. 监控工具执行期间产生的活动日志

后续步骤

完成权限配置后，即可准备执行ScubaGear工具进行M365安全配置评估。建议在非生产环境首次运行以验证权限配置是否正确。