Azure Active Directory Identity Protection und das Microsoft Graph PowerShell SDK

  • Artikel
  • 2 Minuten Lesedauer

Microsoft Graph ist der einheitliche API-Endpunkt von Microsoft und stellt die Azure Active Directory Identity Protection-APIs zur Verfügung. In diesem Artikel wird beschrieben, wie Sie mit dem Microsoft Graph PowerShell SDK Details zu Risikobenutzern mithilfe von PowerShell abrufen. Organisationen, die die Microsoft Graph-APIs direkt abfragen möchten, können den Artikel Tutorial: Identifizieren und Beheben von Risiken mithilfe von Microsoft Graph-APIs lesen, um mit dieser Journey zu beginnen.

Herstellen einer Verbindung mit Microsoft Graph

Zum Zugreifen auf die Identity Protection-Daten über Microsoft Graph werden vier Schritte ausgeführt:

Erstellen eines Zertifikats

In einer Produktionsumgebung würden Sie ein Zertifikat Ihrer Produktionszertifizierungsstelle verwenden, aber in diesem Beispiel verwenden wir ein selbstsigniertes Zertifikat. Erstellen und exportieren Sie das Zertifikat mithilfe der folgenden PowerShell-Befehle.

$cert = New-SelfSignedCertificate -Subject "CN=MSGraph_ReportingAPI" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-Certificate -Cert $cert -FilePath "C:\Reporting\MSGraph_ReportingAPI.cer"

Erstellen einer neuen App-Registrierung

  1. Navigieren Sie im Azure-Portal zu Azure Active Directory>App-Registrierungen.
  2. Wählen Sie Neue Registrierung aus.
  3. Führen Sie auf der Seite Erstellen die folgenden Schritte aus:
    1. Geben Sie im Textfeld Name einen Namen für Ihre Anwendung ein (Beispiel: die Azure AD-API für die Risikoerkennung).
    2. Wählen Sie unter Unterstützte Kontotypen den Kontotyp aus, der die APIs verwenden wird.
    3. Wählen Sie Registrieren.
  4. Notieren Sie sich die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID) , da Sie diese Elemente später benötigen.

Konfigurieren von API-Berechtigungen

In diesem Beispiel konfigurieren wir die Anwendungsberechtigungen so, dass dieses Beispiel unbeaufsichtigt verwendet werden kann. Wenn Sie einem Benutzer Berechtigungen erteilen, der angemeldet wird, wählen Sie stattdessen delegierte Berechtigungen aus. Weitere Informationen zu verschiedenen Berechtigungstypen finden Sie im Artikel Berechtigungen und Zustimmung im Microsoft Identity Platform-Endpunkt.

  1. Klicken Sie in der von Ihnen erstellten Anwendung auf API-Berechtigungen.
  2. Klicken Sie auf der Seite Konfigurierte Berechtigungen in der Symbolleiste oben auf Berechtigung hinzufügen.
  3. Klicken Sie auf der Seite API-Zugriff hinzufügen auf API auswählen.
  4. Wählen Sie auf der Seite API auswählenMicrosoft Graph aus, und klicken Sie dann auf Auswählen.
  5. Auf der Seite API-Berechtigungen anfordern:
    1. Wählen Sie Anwendungsberechtigungen.
    2. Aktivieren Sie die Kontrollkästchen neben IdentityRiskEvent.Read.All und IdentityRiskyUser.Read.All.
    3. Wählen Sie Berechtigungen hinzufügen aus.
  6. Klicken Sie auf Grant admin consent for domain (Administratoreinwilligung für Domäne gewähren).

Konfigurieren von gültigen Anmeldeinformationen

  1. Von der Anwendung die Sie erstellt haben, wählen Sie Zertifikate & Geheimnisse.
  2. Wählen Sie unter Zertifikate die Option Zertifikat hochladen aus.
    1. Wählen Sie im daraufhin geöffneten Fenster das zuvor exportierte Zertifikat aus.
    2. Wählen Sie Hinzufügen.
  3. Notieren Sie sich den Fingerabdruck des Zertifikats, da Sie diese Informationen im nächsten Schritt benötigen.

Auflisten von Risikobenutzern mithilfe von PowerShell

Damit Microsoft Graph abgefragt werden kann, müssen wir im PowerShell-Fenster das Microsoft.Graph-Modul mithilfe des Befehls Install-Module Microsoft.Graph installieren.

Ändern Sie die folgenden Variablen so, dass sie die in den vorherigen Schritten generierten Informationen enthalten, und führen Sie sie dann als Ganzes aus, um mithilfe von PowerShell Details zu Risikobenutzern abzurufen.

$ClientID       = "<your client ID here>"        # Application (client) ID gathered when creating the app registration
$tenantdomain   = "<your tenant domain here>"    # Directory (tenant) ID gathered when creating the app registration
$Thumbprint     = "<your client secret here>"    # Certificate thumbprint gathered when configuring your credential

Select-MgProfile -Name "beta"
  
Connect-MgGraph -ClientId $ClientID -TenantId $tenantdomain -CertificateThumbprint $Thumbprint

Get-MgRiskyUser -All

Nächste Schritte