Microsoft Entra ID Protection e PowerShell do Microsoft Graph
O Microsoft Graph é o ponto de extremidade de API unificado da Microsoft e a página inicial das APIs do Microsoft Entra ID Protection. Este artigo mostra como usar o SDK do PowerShell do Microsoft Graph para obter detalhes de usuários suspeitos usando o PowerShell. As organizações que desejam consultar diretamente as APIs do Microsoft Graph podem usar o artigo Tutorial: identificar e corrigir riscos usando APIs do Microsoft Graph para iniciar esse percurso.
Para concluir este tutorial, é necessário atender aos seguintes pré-requisitos:
O SDK do Microsoft Graph PowerShell está instalado. Para obter mais informações, confira o artigo Instalar o SDK do PowerShell do Microsoft Graph.
Microsoft Graph PowerShell usando uma função de administrador de segurança. As permissões delegadas IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All ou IdentityRiskyUser.ReadWrite.All são necessárias. Para definir as permissões para IdentityRiskEvent.Read.All e IdentityRiskyUser.ReadWrite.All, execute:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Se você usar a autenticação somente aplicativo, consulte o artigo Usar autenticação somente aplicativo com o SDK do Microsoft Graph PowerShell. Para registrar um aplicativo com as permissões de aplicativo necessárias, prepare um certificado e execute:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Listar detecções suspeitas usando o PowerShell
Você pode recuperar as detecções de risco pelas propriedades de uma detecção de risco no ID Protection.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Listar usuários suspeitos usando o PowerShell
Você pode recuperar os usuários arriscados e seus históricos arriscados no ID Protection.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Confirmar usuários comprometidos usando o PowerShell
Você pode confirmar os usuários comprometidos e sinalizar como usuários de alto risco no ID Protection.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
Listar usuários suspeitos usando o PowerShell
Você pode descartar em massa usuários arriscados no ID Protection.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id