Microsoft Entra ID Protection und Microsoft Graph PowerShell
Microsoft Graph ist der einheitliche API-Endpunkt von Microsoft und stellt die Microsoft Entra ID Protection-APIs zur Verfügung. Dieser Artikel beschreibt, wie Sie mit dem Microsoft Graph PowerShell SDK Risikobenutzer mithilfe von PowerShell verwalten. Organisationen, die die Microsoft Graph-APIs direkt abfragen möchten, können den Artikel Tutorial: Identifizieren und Beheben von Risiken mithilfe von Microsoft Graph-APIs lesen, um mit dieser Journey zu beginnen.
Stellen Sie für eine erfolgreiche Bearbeitung dieses Tutorials sicher, dass die folgenden Voraussetzungen erfüllt sind:
Das Microsoft Graph PowerShell SDK ist installiert. Weitere Informationen finden Sie im Artikel Installieren des Microsoft Graph PowerShell SDK.
Microsoft Graph PowerShell mit der Rolle Sicherheitsadministrator. Erforderlich sind die Berechtigungen „IdentityRiskEvent.Read.All“, „IdentityRiskyUser.ReadWrite.All“ oder die delegierte Berechtigung „IdentityRiskyUser.ReadWrite.All“. Um die Berechtigungen auf „IdentityRiskEvent.Read.All“ und „IdentityRiskyUser.ReadWrite.All“ festzulegen, führen Sie diesen Befehl aus:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Wenn Sie die reine App-Authentifizierung verwenden, lesen Sie den Artikel Verwenden der reinen App-Authentifizierung mit dem Microsoft Graph PowerShell SDK. Um eine Anwendung mit den benötigten Anwendungsberechtigungen zu registrieren, bereiten Sie ein Zertifikat vor und führen diesen Befehl aus:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Auflisten von Risikoerkennungen mithilfe von PowerShell
Sie können die Risikoerkennungen über die Eigenschaften einer Risikoerkennung in ID Protection abrufen.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Auflisten von Risikobenutzern mithilfe von PowerShell
Sie können die Risikobenutzer und den zugehörigen Risikoverlauf in ID Protection abrufen.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Bestätigen kompromittierter Benutzer mit PowerShell
Sie können kompromittierte Benutzer bestätigen und sie in ID Protection als Benutzer mit hohem Risiko kennzeichnen.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
Verwerfen von Risikobenutzern mithilfe von PowerShell
Sie können in ID Protection den Status von Risikobenutzern per Massenvorgang verwerfen.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id