Microsoft Entra ID Protection en Microsoft Graph PowerShell
Microsoft Graph is het geïntegreerde API-eindpunt van Microsoft en de startpagina van Microsoft Entra ID Protection-API's . In dit artikel leest u hoe u de Microsoft Graph PowerShell SDK gebruikt om riskante gebruikers te beheren met Behulp van PowerShell. Organisaties die rechtstreeks een query willen uitvoeren op de Microsoft Graph-API's, kunnen het artikel zelfstudie : Risico's identificeren en herstellen met behulp van Microsoft Graph API's om dat traject te starten.
Als u deze zelfstudie wilt voltooien, moet u ervoor zorgen dat u over de vereiste vereisten beschikt:
Microsoft Graph PowerShell SDK is geïnstalleerd. Zie het artikel De Microsoft Graph PowerShell SDK installeren voor meer informatie.
Microsoft Graph PowerShell met behulp van een beveiligingsrol Beheer istrator. IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All of IdentityRiskyUser.ReadWrite.All gedelegeerde machtigingen zijn vereist. Als u de machtigingen wilt instellen voor IdentityRiskEvent.Read.All en IdentityRiskyUser.ReadWrite.All, voert u het volgende uit:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Als u alleen-app-verificatie gebruikt, raadpleegt u het artikel Alleen-app-verificatie gebruiken met de Microsoft Graph PowerShell SDK. Als u een toepassing wilt registreren met de vereiste toepassingsmachtigingen, bereidt u een certificaat voor en voert u het volgende uit:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Riskante detecties weergeven met Behulp van PowerShell
U kunt de risicodetecties ophalen door de eigenschappen van een risicodetectie in ID Protection.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Riskante gebruikers vermelden met Behulp van PowerShell
U kunt de riskante gebruikers en hun riskante geschiedenis in ID Protection ophalen.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Bevestig dat gebruikers zijn gecompromitteerd met Behulp van PowerShell
U kunt bevestigen dat gebruikers gecompromitteerd zijn en deze markeren als riskante gebruikers in ID Protection.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
Riskante gebruikers negeren met Behulp van PowerShell
U kunt riskante gebruikers bulksgewijs negeren in ID Protection.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id