Microsoft Graph 是 Microsoft Unified API 端點,也是 Microsoft Entra ID Protection API 的首頁。 本文說明如何使用 Microsoft Graph PowerShell SDK,透過 PowerShell 管理風險性使用者。 想要直接查詢 Microsoft Graph API 的組織可以使用教學課程:使用 Microsoft Graph API 來識別及補救風險一文來開始該旅程。
為順利完成本教學課程,請確定您有下列必要條件:
已安裝 Microsoft Graph PowerShell SDK。 如需詳細資訊,請參閱安裝 Microsoft Graph PowerShell SDK 文章。
使用安全性系統管理員角色的 Microsoft Graph PowerShell。 需要 IdentityRiskEvent.Read.All、IdentityRiskyUser.ReadWrite.All 或 IdentityRiskyUser.ReadWrite.All 委派權限。 若要將權限設為 IdentityRiskEvent.Read.All 和 IdentityRiskyUser.ReadWrite.All,請執行:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
如果您使用僅限應用程式驗證,請參閱搭配 Microsoft Graph PowerShell SDK 使用僅限應用程式驗證文章。 若要登錄包含必要的應用程式權限的應用程式,請準備憑證並執行:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
透過 ID Protection 中風險偵測的屬性可以擷取風險偵測。
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
您可以在 ID Protection 中,擷取風險性使用者和其風險記錄。
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
您可以在 ID Protection 中確認遭入侵的使用者,並以旗標標示這些使用者為高風險使用者。
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
您可以在 ID Protection 中,大量關閉風險性使用者。
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id
訓練
模組
管理 Microsoft Entra Identity Protection - Training
藉由監視其使用量和登入模式來保護使用者的身分識別,確保安全的雲端解決方案。 探索如何設計及實作 Microsoft Entra Identity Protection。
認證
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
示範資料安全性、生命週期管理、資訊安全性和合規性的基本知識,以保護 Microsoft 365 部署。