Microsoft Graph は、Microsoft 統合 API エンドポイントであり、 Microsoft Entra ID Protection API のホームです。 この記事では、 Microsoft Graph PowerShell SDK を使用して、危険なユーザーを PowerShell で管理する方法について説明します。 Microsoft Graph API に直接クエリを実行する組織は、「 チュートリアル: Microsoft Graph API を使用してリスクを特定して修復 する」という記事を使用して、その体験を開始できます。
[前提条件]
この記事の PowerShell コマンドを使用するには、次の前提条件が必要です。
Microsoft Graph PowerShell SDK がインストールされています。
- 詳細については、 Microsoft Graph PowerShell SDK のインストールに関する記事を参照してください。
セキュリティ管理者 ロール。
IdentityRiskEvent.Read.All、IdentityRiskyUser.ReadWrite.Allまたは委任されたアクセス許可IdentityRiskyUser.ReadWrite.All必要です。- アクセス許可を
IdentityRiskEvent.Read.AllおよびIdentityRiskyUser.ReadWrite.Allに設定するには、次のコマンドを実行します。
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"- アクセス許可を
アプリ専用認証を使用する場合は、「 Microsoft Graph PowerShell SDK でアプリ専用認証を使用する」を参照してください。
- 必要なアプリケーションのアクセス許可でアプリケーションを登録するには、証明書を準備して次を実行します。
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
PowerShell を使用して危険な検出を一覧表示する
ID Protection のリスク検出のプロパティによって、リスク検出を取得できます。
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
PowerShell を使用して危険なユーザーを一覧表示する
ID Protection では、危険なユーザーとその危険な履歴を取得できます。
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
PowerShell を使用してユーザーが侵害されたことを確認する
ユーザーが侵害されたことを確認し、ID Protection でリスクの高いユーザーとしてフラグを設定できます。
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
PowerShell を使用して危険なユーザーを無視する
ID Protection では、危険なユーザーを一括で無視できます。
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id