Microsoft Entra ID Protection och Microsoft Graph PowerShell
Microsoft Graph är Microsofts enhetliga API-slutpunkt och hem för Microsoft Entra ID Protection API:er. Den här artikeln visar hur du använder Microsoft Graph PowerShell SDK för att hantera riskfyllda användare med hjälp av PowerShell. Organisationer som vill fråga Microsoft Graph-API:er direkt kan använda artikeln Självstudie: Identifiera och åtgärda risker med hjälp av Microsoft Graph-API:er för att påbörja den resan.
Om du vill slutföra den här självstudien kontrollerar du att du har de krav som krävs:
Microsoft Graph PowerShell SDK är installerat. Mer information finns i artikeln Installera Microsoft Graph PowerShell SDK.
Identity Protection är tillgängligt i betaversionen av Microsoft Graph PowerShell. Kör följande kommando för att ställa in din profil på beta.
# Connect to Graph beta Endpoint Select-MgProfile -Name 'beta'Microsoft Graph PowerShell med hjälp av en global administratörsroll och lämpliga behörigheter. IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All eller IdentityRiskyUser.ReadWrite.All delegerade behörigheter krävs. Om du vill ange behörigheterna till IdentityRiskEvent.Read.All och IdentityRiskyUser.ReadWrite.All kör du:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Om du använder appautentisering läser du artikeln Använda appautentisering med Microsoft Graph PowerShell SDK. Om du vill registrera ett program med nödvändiga programbehörigheter förbereder du ett certifikat och kör:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Lista riskfyllda identifieringar med PowerShell
Du kan hämta riskidentifieringarna genom egenskaperna för en riskidentifiering i Identity Protection.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Lista riskfyllda användare som använder PowerShell
Du kan hämta riskfyllda användare och deras riskfyllda historia i Identity Protection.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Bekräfta att användare har komprometterats med PowerShell
Du kan bekräfta att användarna har komprometterats och flaggar dem som högriskanvändare i Identity Protection.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"
Stäng riskfyllda användare med Hjälp av PowerShell
Du kan massutsända riskfyllda användare i Identity Protection.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dimmiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id