Microsoft Entra ID Protection dan Microsoft Graph PowerShell
Microsoft Graph adalah titik akhir API terpadu Microsoft dan rumah MICROSOFT Entra ID Protection API. Artikel ini memperlihatkan kepada Anda cara menggunakan Microsoft Graph PowerShell SDK untuk mengelola pengguna berisiko menggunakan PowerShell. Organisasi yang ingin mengkueri API Microsoft Graph secara langsung dapat menggunakan artikel, Tutorial: Mengidentifikasi dan memulihkan risiko menggunakan API Microsoft Graph untuk memulai.
Untuk menyelesaikan tutorial ini, pastikan Anda telah memenuhi prasyarat berikut:
Microsoft Graph PowerShell SDK telah diinstal. Untuk mengetahui informasi selengkapnya, lihat artikel Menginstal SDK Microsoft Graph PowerShell.
Microsoft Graph PowerShell menggunakan peran Administrator Keamanan. Diperlukan izin IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All Atau IdentityRiskyUser.ReadWrite.All yang didelegasikan. Untuk mengatur izin ke IdentityRiskEvent.Read.All dan IdentityRiskyUser.ReadWrite.All, jalankan:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Jika Anda menggunakan autentikasi khusus aplikasi, lihat artikel Menggunakan autentikasi khusus aplikasi dengan SDK Microsoft Graph PowerShell. Untuk mendaftarkan aplikasi dengan izin aplikasi yang diperlukan, siapkan sertifikat dan jalankan:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Membuat daftar pengguna berisiko menggunakan PowerShell
Anda dapat mengambil deteksi risiko oleh properti deteksi risiko dalam Perlindungan ID.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Buat daftar pengguna berisiko menggunakan PowerShell
Anda dapat mengambil pengguna berisiko dan riwayat berisiko mereka dalam Perlindungan ID.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Mengonfirmasi pengguna yang disusupi menggunakan PowerShell
Anda dapat mengonfirmasi pengguna disusupi dan menandai mereka sebagai pengguna berisiko tinggi dalam Perlindungan ID.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
Menghilangkan pengguna berisiko menggunakan PowerShell
Anda dapat menutup pengguna berisiko secara massal di Perlindungan ID.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id