Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Graph ist der Microsoft Unified API-Endpunkt und die Startseite von Microsoft Entra ID Protection-APIs . In diesem Artikel erfahren Sie, wie Sie das Microsoft Graph PowerShell SDK verwenden, um riskante Benutzer mit PowerShell zu verwalten. Organisationen, die die Microsoft Graph-APIs direkt abfragen möchten, können den Artikel " Lernprogramm: Identifizieren und Beheben von Risiken mithilfe von Microsoft Graph-APIs verwenden, um mit dieser Reise zu beginnen.
Voraussetzungen
Um die PowerShell-Befehle in diesem Artikel zu verwenden, benötigen Sie die folgenden Voraussetzungen:
Microsoft Graph PowerShell SDK ist installiert.
- Weitere Informationen finden Sie im Artikel "Installieren des Microsoft Graph PowerShell SDK".
IdentityRiskEvent.Read.All
,IdentityRiskyUser.ReadWrite.All
oderIdentityRiskyUser.ReadWrite.All
delegierte Berechtigungen sind erforderlich.- Um die Berechtigungen auf
IdentityRiskEvent.Read.All
undIdentityRiskyUser.ReadWrite.All
festzulegen, führen Sie Folgendes aus:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
- Um die Berechtigungen auf
Wenn Sie die nur-App-Authentifizierung verwenden, lesen Sie die Verwendung der nur-App-Authentifizierung mit dem Microsoft Graph PowerShell SDK.
- Um eine Anwendung mit den erforderlichen Anwendungsberechtigungen zu registrieren, bereiten Sie ein Zertifikat vor und führen Folgendes aus:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Auflisten riskanter Erkennungen mithilfe von PowerShell
Sie können die Risikoerkennungen anhand der Eigenschaften einer Risikoerkennung im ID-Schutz abrufen.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Auflisten riskanter Benutzer mit PowerShell
Sie können die riskanten Benutzer und ihre riskanten Historien im ID-Schutz abrufen.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Bestätigen, dass Benutzer mit PowerShell kompromittiert wurden
Sie können bestätigen, dass Benutzer kompromittiert sind, und sie als hoch riskante Benutzer im ID-Schutz kennzeichnen.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
Entfernen riskante Benutzer mithilfe von PowerShell
Sie können riskante Benutzer im ID-Schutz massenweise schließen.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id