Microsoft Entra ID 보호 및 Microsoft Graph PowerShell
Microsoft Graph는 Microsoft의 통합된 API 엔드포인트이며 Microsoft Entra ID 보호 API의 시작점입니다. 이 문서에서는 Microsoft Graph PowerShell SDK를 사용하여 PowerShell을 사용하여 위험한 사용자를 관리하는 방법을 보여줍니다. Microsoft Graph API를 직접 쿼리하고자 하는 조직에서는 Tutorial: Identify and remediate risks using Microsoft Graph APIs(자습서: Microsoft Graph API를 사용하여 위험 식별 및 수정) 문서를 참조하여 관련 과정을 시작할 수 있습니다.
이 자습서를 성공적으로 완료하려면 다음 필수 구성 요소가 있어야 합니다.
Microsoft Graph PowerShell SDK가 설치되어 있습니다. 자세한 내용은 Microsoft Graph PowerShell SDK 설치 문서를 참조하세요.
보안 관리자 역할을 사용하는 Microsoft Graph PowerShell. IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All 또는 IdentityRiskyUser.ReadWrite.All 위임된 권한이 필요합니다. IdentityRiskEvent.Read.All 및 IdentityRiskyUser.ReadWrite.All에 대한 권한을 설정하려면 다음을 실행합니다.
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
앱 전용 인증을 사용하는 경우 Microsoft Graph PowerShell SDK에서 앱 전용 인증 사용 문서를 참조하세요. 필요한 애플리케이션 권한으로 애플리케이션을 등록하려면 인증서를 준비하고 다음을 실행합니다.
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
PowerShell을 사용하여 위험 검색 나열
ID 보호에서 위험 검색의 속성으로 위험 검색을 검색할 수 있습니다.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
PowerShell을 사용하여 위험 사용자 나열
ID 보호에서 위험한 사용자 및 해당 위험한 기록을 검색할 수 있습니다.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
PowerShell을 사용하여 손상된 사용자 확인
손상된 사용자를 확인하고 ID 보호에서 위험한 사용자로 플래그를 지정할 수 있습니다.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
PowerShell을 사용하여 위험 사용자 해제
ID 보호에서 위험한 사용자를 대량으로 해제할 수 있습니다.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id