Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Graph est le point de terminaison de l’API unifiée Microsoft et la maison des API Microsoft Entra ID Protection . Cet article vous montre comment utiliser le Kit de développement logiciel (SDK) Microsoft Graph PowerShell pour gérer les utilisateurs à risque avec PowerShell. Les organisations qui souhaitent interroger directement les API Microsoft Graph peuvent utiliser l’article Tutoriel : Identifier et corriger les risques à l’aide des API Microsoft Graph pour commencer ce parcours.
Conditions préalables
Pour utiliser les commandes PowerShell de cet article, vous avez besoin des prérequis suivants :
Le Kit de développement logiciel (SDK) Microsoft Graph PowerShell est installé.
- Pour plus d’informations, consultez l’article Installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
IdentityRiskEvent.Read.All,IdentityRiskyUser.ReadWrite.AllouIdentityRiskyUser.ReadWrite.Allles autorisations déléguées sont requises.- Pour définir les autorisations sur
IdentityRiskEvent.Read.AlletIdentityRiskyUser.ReadWrite.Allexécuter :
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"- Pour définir les autorisations sur
Si vous utilisez l’authentification par application uniquement, consultez Utiliser l’authentification par application uniquement avec le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.
- Pour inscrire une application avec les autorisations d’application requises, préparez un certificat et exécutez :
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Répertorier les détections à risque à l’aide de PowerShell
Vous pouvez récupérer les détections de risques par les propriétés d’une détection de risque dans la Protection d'identité.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Répertorier les utilisateurs à risque à l’aide de PowerShell
Vous pouvez récupérer les utilisateurs à risque et leurs historiques à risque dans la protection des ID.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Confirmer que les utilisateurs ont été piratés en utilisant PowerShell
Vous pouvez confirmer que les utilisateurs sont compromis et les marquer comme des utilisateurs à haut risque dans la protection des ID.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
Ignorer les utilisateurs à risque à l’aide de PowerShell
Vous pouvez ignorer en bloc les utilisateurs à risque dans la protection des ID.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id