Microsoft Entra ID-védelem és a Microsoft Graph PowerShell
A Microsoft Graph a Microsoft egyesített API-végpontja, és a Microsoft Entra ID-védelem API-k otthona. Ez a cikk bemutatja, hogyan kezelheti a kockázatos felhasználókat a PowerShell használatával a Microsoft Graph PowerShell SDK használatával. Azok a szervezetek, amelyek közvetlenül szeretnék lekérdezni a Microsoft Graph API-kat, használhatják az oktatóanyagot: Kockázatok azonosítása és elhárítása a Microsoft Graph API-kkal az út megkezdéséhez.
Az oktatóanyag sikeres elvégzéséhez győződjön meg arról, hogy rendelkezik a szükséges előfeltételekkel:
A Microsoft Graph PowerShell SDK telepítve van. További információ: A Microsoft Graph PowerShell SDK telepítése.
Microsoft Graph PowerShell biztonsági Rendszergazda istrator szerepkörrel. Az IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All vagy IdentityRiskyUser.ReadWrite.All delegált engedélyekre van szükség. Az IdentityRiskEvent.Read.All és az IdentityRiskyUser.ReadWrite.All engedélyeinek beállításához futtassa a következőt:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Ha csak alkalmazásalapú hitelesítést használ, olvassa el a Csak alkalmazásalapú hitelesítés használata a Microsoft Graph PowerShell SDK-val című cikket. Ha regisztrálni szeretne egy alkalmazást a szükséges alkalmazásengedélyekkel, készítsen elő egy tanúsítványt, és futtassa a következőt:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Kockázatos észlelések listázása a PowerShell használatával
A kockázatészleléseket egy kockázatészlelés tulajdonságai alapján kérdezheti le az ID Protectionben.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Kockázatos felhasználók listázása a PowerShell használatával
Az ID Protectionben lekérheti a kockázatos felhasználókat és azok kockázatos előzményeit.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
A PowerShell használatával feltört felhasználók megerősítése
Megerősítheti, hogy a felhasználók sérültek, és megjelölheti őket magas kockázatú felhasználóként az ID Protectionben.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
Kockázatos felhasználók elvetése a PowerShell használatával
Az ID Protectionben tömegesen elvetheti a kockázatos felhasználókat.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id