Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Graph to ujednolicony punkt końcowy interfejsu API firmy Microsoft i dom interfejsów API usługi Microsoft Entra ID Protection. W tym artykule pokazano, jak używać zestawu MICROSOFT Graph PowerShell SDK do zarządzania ryzykownymi użytkownikami za pomocą programu PowerShell. Organizacje, które chcą wykonywać zapytania dotyczące interfejsów API programu Microsoft Graph bezpośrednio, mogą korzystać z artykułu Samouczek: identyfikowanie i korygowanie zagrożeń przy użyciu interfejsów API programu Microsoft Graph, aby rozpocząć ten proces.
Wymagania wstępne
Aby użyć poleceń programu PowerShell w tym artykule, potrzebne są następujące wymagania wstępne:
Zestaw SDK programu PowerShell programu Microsoft Graph jest zainstalowany.
- Aby uzyskać więcej informacji, zobacz artykuł Install the Microsoft Graph PowerShell SDK.
IdentityRiskEvent.Read.All,IdentityRiskyUser.ReadWrite.AlllubIdentityRiskyUser.ReadWrite.Alluprawnienia delegowane są wymagane.- Aby ustawić uprawnienia na
IdentityRiskEvent.Read.AlliIdentityRiskyUser.ReadWrite.All, uruchom polecenie:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"- Aby ustawić uprawnienia na
Jeśli używasz uwierzytelniania tylko dla aplikacji, zobacz Używanie uwierzytelniania tylko dla aplikacji z zestawem Microsoft Graph PowerShell SDK.
- Aby zarejestrować aplikację z wymaganymi uprawnieniami aplikacji, przygotuj certyfikat i uruchom:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Wyświetlanie listy ryzykownych wykryć przy użyciu programu PowerShell
Możesz pobrać wykrycia ryzyka na podstawie ich właściwości w systemie ID Protection.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Wyświetlanie listy ryzykownych użytkowników przy użyciu programu PowerShell
Możesz pobrać ryzykownych użytkowników i dane ich historii ryzyka w usłudze ID Protection.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Potwierdzanie naruszenia zabezpieczeń użytkowników przy użyciu programu PowerShell
Możesz potwierdzić naruszenie zabezpieczeń użytkowników i oznaczyć ich jako użytkowników o wysokim ryzyku w usłudze ID Protection.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
Odrzucanie ryzykownych użytkowników przy użyciu programu PowerShell
Możesz zbiorczo odrzucić ryzykownych użytkowników w usłudze ID Protection.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id