Delen via


Microsoft Entra ID Protection en Microsoft Graph PowerShell

Microsoft Graph is het geïntegreerde API-eindpunt van Microsoft en de startpagina van Microsoft Entra ID Protection API's. In dit artikel leest u hoe u de Microsoft Graph PowerShell SDK kunt gebruiken om riskante gebruikers te beheren met Behulp van PowerShell. Organisaties die rechtstreeks een query willen uitvoeren op de Microsoft Graph API's, kunnen het artikel Zelfstudie: Risico's identificeren en herstellen met behulp van Microsoft Graph API's gebruiken om die reis te starten.

Als u deze zelfstudie wilt voltooien, moet u ervoor zorgen dat u over de vereiste vereisten beschikt:

  • Microsoft Graph PowerShell SDK is geïnstalleerd. Zie het artikel De Microsoft Graph PowerShell SDK installerenvoor meer informatie.

  • Microsoft Graph PowerShell met behulp van een beveiligingsbeheerder rol. IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All of IdentityRiskyUser.ReadWrite.All machtigingen met gedelegeerde rechten zijn vereist. Als u de machtigingen wilt instellen voor IdentityRiskEvent.Read.All en IdentityRiskyUser.ReadWrite.All, voert u het volgende uit:

    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
    

Als u alleen-app-verificatie gebruikt, raadpleegt u het artikel Alleen-app-verificatie gebruiken met de Microsoft Graph PowerShell SDK. Als u een toepassing wilt registreren met de vereiste toepassingsmachtigingen, bereidt u een certificaat voor en voert u het volgende uit:

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

Riskante detecties weergeven met Behulp van PowerShell

U kunt de risicodetecties ophalen via de eigenschappen van een risicodetectie in ID-bescherming.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

Riskante gebruikers vermelden met Behulp van PowerShell

U kunt de riskante gebruikers en hun riskante geschiedenis in ID Protection ophalen.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

Bevestig dat gebruikers in gevaar zijn gebracht met behulp van PowerShell

U kunt bevestigen dat gebruikers gecompromitteerd zijn en deze markeren als riskante gebruikers in ID Protection.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

Riskante gebruikers negeren met Behulp van PowerShell

U kunt riskante gebruikers bulksgewijs negeren in ID Protection.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

Volgende stappen