Microsoft Entra ID Protection e PowerShell do Microsoft Graph

O Microsoft Graph é o ponto de extremidade de API unificado da Microsoft e a página inicial das APIs do Microsoft Entra ID Protection. Este artigo mostra como usar o SDK do PowerShell do Microsoft Graph para obter detalhes de usuários suspeitos usando o PowerShell. As organizações que desejam consultar diretamente as APIs do Microsoft Graph podem usar o artigo Tutorial: identificar e corrigir riscos usando APIs do Microsoft Graph para iniciar esse percurso.

Para concluir este tutorial, é necessário atender aos seguintes pré-requisitos:

• O SDK do Microsoft Graph PowerShell está instalado. Para obter mais informações, confira o artigo Instalar o SDK do PowerShell do Microsoft Graph.

• Microsoft Graph PowerShell usando uma função de administrador de segurança. As permissões delegadas IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All ou IdentityRiskyUser.ReadWrite.All são necessárias. Para definir as permissões para IdentityRiskEvent.Read.All e IdentityRiskyUser.ReadWrite.All, execute:

  Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
  

Se você usar a autenticação somente aplicativo, consulte o artigo Usar autenticação somente aplicativo com o SDK do Microsoft Graph PowerShell. Para registrar um aplicativo com as permissões de aplicativo necessárias, prepare um certificado e execute:

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

Listar detecções suspeitas usando o PowerShell

Você pode recuperar as detecções de risco pelas propriedades de uma detecção de risco no ID Protection.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

Listar usuários suspeitos usando o PowerShell

Você pode recuperar os usuários arriscados e seus históricos arriscados no ID Protection.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

Confirmar usuários comprometidos usando o PowerShell

Você pode confirmar os usuários comprometidos e sinalizar como usuários de alto risco no ID Protection.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

Listar usuários suspeitos usando o PowerShell

Você pode descartar em massa usuários arriscados no ID Protection.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

Próximas etapas

• Introdução ao SDK do PowerShell do Microsoft Graph
• Tutorial: identificar e corrigir riscos usando as APIs do Microsoft Graph
• Visão geral do Microsoft Graph
• Proteção do Microsoft Entra ID