Freigeben über


Microsoft Entra ID Protection und microsoft Graph PowerShell

Microsoft Graph ist der Microsoft Unified API-Endpunkt und die Startseite von Microsoft Entra ID Protection-APIs . In diesem Artikel erfahren Sie, wie Sie das Microsoft Graph PowerShell SDK verwenden, um riskante Benutzer mit PowerShell zu verwalten. Organisationen, die die Microsoft Graph-APIs direkt abfragen möchten, können den Artikel " Lernprogramm: Identifizieren und Beheben von Risiken mithilfe von Microsoft Graph-APIs verwenden, um mit dieser Reise zu beginnen.

Voraussetzungen

Um die PowerShell-Befehle in diesem Artikel zu verwenden, benötigen Sie die folgenden Voraussetzungen:

  • Microsoft Graph PowerShell SDK ist installiert.

  • Rolle "Sicherheitsadministrator ".

  • IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All oder IdentityRiskyUser.ReadWrite.All delegierte Berechtigungen sind erforderlich.

    • Um die Berechtigungen auf IdentityRiskEvent.Read.All und IdentityRiskyUser.ReadWrite.All festzulegen, führen Sie Folgendes aus:
    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
    
  • Wenn Sie die nur-App-Authentifizierung verwenden, lesen Sie die Verwendung der nur-App-Authentifizierung mit dem Microsoft Graph PowerShell SDK.

    • Um eine Anwendung mit den erforderlichen Anwendungsberechtigungen zu registrieren, bereiten Sie ein Zertifikat vor und führen Folgendes aus:
    Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
    

Auflisten riskanter Erkennungen mithilfe von PowerShell

Sie können die Risikoerkennungen anhand der Eigenschaften einer Risikoerkennung im ID-Schutz abrufen.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

Auflisten riskanter Benutzer mit PowerShell

Sie können die riskanten Benutzer und ihre riskanten Historien im ID-Schutz abrufen.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

Bestätigen, dass Benutzer mit PowerShell kompromittiert wurden

Sie können bestätigen, dass Benutzer kompromittiert sind, und sie als hoch riskante Benutzer im ID-Schutz kennzeichnen.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

Entfernen riskante Benutzer mithilfe von PowerShell

Sie können riskante Benutzer im ID-Schutz massenweise schließen.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

Nächste Schritte