Microsoft Entra ID Protection och Microsoft Graph PowerShell

Microsoft Graph är Microsofts enhetliga API-slutpunkt och hem för API:er för Microsoft Entra ID Protection . Den här artikeln visar hur du använder Microsoft Graph PowerShell SDK för att hantera riskfyllda användare med hjälp av PowerShell. Organisationer som vill fråga Microsoft Graph-API:er direkt kan använda artikeln Självstudie: Identifiera och åtgärda risker med hjälp av Microsoft Graph-API:er för att påbörja den resan.

Om du vill slutföra den här självstudien kontrollerar du att du har de nödvändiga förutsättningarna:

  • Microsoft Graph PowerShell SDK är installerat. Mer information finns i artikeln Installera Microsoft Graph PowerShell SDK.

  • Microsoft Graph PowerShell med hjälp av en säkerhetsadministratörsroll . IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All eller IdentityRiskyUser.ReadWrite.Alla delegerade behörigheter krävs. Om du vill ange behörigheterna till IdentityRiskEvent.Read.All och IdentityRiskyUser.ReadWrite.All kör du:

    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
    

Om du använder appautentisering kan du läsa artikeln Använd endast appautentisering med Microsoft Graph PowerShell SDK. Om du vill registrera ett program med nödvändiga programbehörigheter förbereder du ett certifikat och kör:

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

Lista riskfyllda identifieringar med PowerShell

Du kan hämta riskidentifieringarna med egenskaperna för en riskidentifiering i ID Protection.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

Lista riskfyllda användare som använder PowerShell

Du kan hämta riskfyllda användare och deras riskfyllda historier i ID Protection.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

Bekräfta att användare har komprometterats med PowerShell

Du kan bekräfta att användarna har komprometterats och flaggar dem som högriskanvändare i ID Protection.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

Stäng riskfyllda användare med Hjälp av PowerShell

Du kan massutskänga riskfyllda användare i ID Protection.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

Nästa steg