Microsoft Entra ID Protection und Microsoft Graph PowerShell

  • Artikel

Microsoft Graph ist der einheitliche API-Endpunkt von Microsoft und stellt die Microsoft Entra ID Protection-APIs zur Verfügung. In diesem Artikel wird beschrieben, wie Sie mit dem Microsoft Graph PowerShell SDK Risikobenutzer mithilfe von PowerShell verwalten. Organisationen, die die Microsoft Graph-APIs direkt abfragen möchten, können den Artikel Tutorial: Identifizieren und Beheben von Risiken mithilfe von Microsoft Graph-APIs lesen, um mit dieser Journey zu beginnen.

Stellen Sie für eine erfolgreiche Bearbeitung dieses Tutorials sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Das Microsoft Graph PowerShell SDK ist installiert. Weitere Informationen finden Sie im Artikel Installieren des Microsoft Graph PowerShell SDK.

  • Microsoft Graph PowerShell mit der Rolle Sicherheitsadministrator. Erforderlich sind die Berechtigungen „IdentityRiskEvent.Read.All“, „IdentityRiskyUser.ReadWrite.All“ oder die delegierte Berechtigung „IdentityRiskyUser.ReadWrite.All“. Um die Berechtigungen auf „IdentityRiskEvent.Read.All“ und „IdentityRiskyUser.ReadWrite.All“ festzulegen, führen Sie diesen Befehl aus:

    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"

Wenn Sie die reine App-Authentifizierung verwenden, lesen Sie den Artikel Verwenden der reinen App-Authentifizierung mit dem Microsoft Graph PowerShell SDK. Um eine Anwendung mit den benötigten Anwendungsberechtigungen zu registrieren, bereiten Sie ein Zertifikat vor und führen diesen Befehl aus:

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

Auflisten von Risikoerkennungen mithilfe von PowerShell

Sie können die Risikoerkennungen über die Eigenschaften einer Risikoerkennung in Identity Protection abrufen.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

Auflisten von Risikobenutzern mithilfe von PowerShell

Sie können die Risikobenutzer und den zugehörigen Risikoverlauf in Identity Protection abrufen.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

Bestätigen kompromittierter Benutzer mit PowerShell

Sie können kompromittierte Benutzer bestätigen und sie in Identity Protection als Benutzer mit hohem Risiko kennzeichnen.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"

Verwerfen von Risikobenutzern mithilfe von PowerShell

Sie können in Identity Protection den Status von Risikobenutzern per Massenvorgang verwerfen.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

Nächste Schritte