分享方式:


Microsoft Entra ID Protection 和 Microsoft Graph PowerShell

Microsoft Graph 是 Microsoft Unified API 端點,也是 Microsoft Entra ID Protection API 的首頁。 本文說明如何使用 Microsoft Graph PowerShell SDK,透過 PowerShell 管理風險性使用者。 想要直接查詢 Microsoft Graph API 的組織可以使用教學課程:使用 Microsoft Graph API 來識別及補救風險一文來開始該旅程。

為順利完成本教學課程,請確定您有下列必要條件:

  • 已安裝 Microsoft Graph PowerShell SDK。 如需詳細資訊,請參閱安裝 Microsoft Graph PowerShell SDK 文章。

  • 使用安全性系統管理員角色的 Microsoft Graph PowerShell。 需要 IdentityRiskEvent.Read.All、IdentityRiskyUser.ReadWrite.All 或 IdentityRiskyUser.ReadWrite.All 委派權限。 若要將權限設為 IdentityRiskEvent.Read.All 和 IdentityRiskyUser.ReadWrite.All,請執行:

    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
    

如果您使用僅限應用程式驗證,請參閱搭配 Microsoft Graph PowerShell SDK 使用僅限應用程式驗證文章。 若要登錄包含必要的應用程式權限的應用程式,請準備憑證並執行:

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

使用 PowerShell 列出風險偵測

透過 ID Protection 中風險偵測的屬性可以擷取風險偵測。

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

使用 PowerShell 列出風險性使用者

您可以在 ID Protection 中,擷取風險性使用者和其風險記錄。

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

使用 PowerShell 確認遭入侵的使用者

您可以在 ID Protection 中確認遭入侵的使用者,並以旗標標示這些使用者為高風險使用者。

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

使用 PowerShell 關閉風險性使用者

您可以在 ID Protection 中,大量關閉風險性使用者。

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

下一步