Verwenden der Microsoft Graph Identity Protection-APIs

Namespace: microsoft.graph

Wichtig

APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .

Azure Active Directory (Azure AD) Identity Protection ist ein Tool, mit dem Organisationen identitätsbasierte Risiken in ihrer Azure AD Organisation ermitteln, untersuchen und beheben können.

Verwenden Sie die folgenden Microsoft Graph-APIs, um von Azure AD Identity Protection erkannte Benutzer- und Dienstprinzipalrisiken abzufragen:

Für Benutzer

• riskDetection – Fragen Sie Microsoft Graph nach einer Liste von benutzer- und anmeldeverknüpften Risikoerkennungen und zugehörigen Informationen zur Erkennung ab. Risikoerkennungen in Azure AD Identity Protection umfassen alle identifizierten verdächtigen Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis.

  Achtung

  Die identityRiskEvents-API wurde veraltet und gibt am 10. Januar 2020 keine Daten mehr zurück. Es wurde durch die riskDetection-API ersetzt. Weitere Informationen zur Veraltetkeit finden Sie unter "Deprecation of the identityRiskEvents API".

• riskyUsers – Fragen Sie Microsoft Graph nach Informationen zu Benutzern, die Azure AD Identitätsschutz als riskant erkannt haben. Das Benutzerrisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Identität oder ein Konto kompromittiert wird. Diese Risiken werden offline mithilfe der internen und externen Bedrohungserkennungsquellen von Microsoft berechnet, einschließlich Sicherheitsexperten, Strafverfolgungsexperten, Sicherheitsteams bei Microsoft und anderen vertrauenswürdigen Quellen.

• signIn – Fragen Sie Microsoft Graph nach Informationen zu Azure AD-Anmeldungen mit bestimmten Eigenschaften im Zusammenhang mit Risikostatus, Details und Ebene. Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung nicht vom Identitätsbesitzer autorisiert wird. Diese Risiken können in Echtzeit berechnet oder offline mithilfe der internen und externen Bedrohungserkennungsquellen von Microsoft berechnet werden, einschließlich Sicherheitsexperten, Strafverfolgungsexperten, Sicherheitsteams bei Microsoft und anderen vertrauenswürdigen Quellen.

Für Dienstprinzipale

• servicePrincipalRiskDetection – Fragen Sie Microsoft Graph nach einer Liste der Dienstprinzipalrisikoerkennungen und zugehörigen Informationen zu den Erkennungen ab. Risikoerkennungen in Azure AD Identity Protection umfassen alle identifizierten verdächtigen Aktionen im Zusammenhang mit Dienstprinzipalkonten im Verzeichnis.

• riskyServicePrincipals – Fragen Sie Microsoft Graph nach Informationen zu Dienstprinzipalen, die Azure AD Identitätsschutz als riskant erkannt haben. Dienstprinzipalrisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Identität oder ein Konto kompromittiert wird. Diese Risiken werden asynchron mithilfe von Daten und Mustern aus internen und externen Bedrohungserkennungsquellen von Microsoft berechnet, einschließlich Sicherheitsforschern, Strafverfolgungsexperten, Sicherheitsteams bei Microsoft und anderen vertrauenswürdigen Quellen.

Was kann ich mit Identitätsschutz-APIs in Microsoft Graph tun?

Im Folgenden werden häufig verwendete Anforderungen beschrieben:

Vorgang	URL
GET riskante Benutzer	GET https://graph.microsoft.com/beta/identityProtection/riskyUsers
GET-Risikoerkennungen	GET https://graph.microsoft.com/beta/identityProtection/riskDetections
Abrufen des Risikoverlaufs eines Benutzers	GET https://graph.microsoft.com/beta/identityProtection/riskyUsers/{riskyUserId}/history
BESTÄTIGEN, dass ein Benutzer kompromittiert ist	BEREITSTELLEN https://graph.microsoft.com/beta/identityProtection/riskyUsers/confirmCompromised
Schließen eines riskanten Benutzers	BEREITSTELLEN https://graph.microsoft.com/beta/identityProtection/riskyUsers/dismiss

Spezifische Anleitungen und zusätzliche Informationen finden Sie unter Identifizieren und Beheben von Risiken mithilfe von Microsoft Graph-APIs.

Welche Lizenzen benötige ich?

Azure AD Identity Protection ist ein Premium-Feature. Sie benötigen eine Azure AD Premium P1- oder P2-Lizenz für den Zugriff auf die Microsoft Graph riskDetection-API (Hinweis: P1-Lizenzen erhalten eingeschränkte Risikoinformationen). Die riskyUsers-API ist nur mit einer Azure AD Premium P2-Lizenz verfügbar.

Wie viele Daten sind verfügbar?

Die Verfügbarkeit von Risikodaten wird durch die Azure AD Datenaufbewahrungsrichtlinien geregelt.

Siehe auch

• Informationen zu Azure Active Directory Identity Protection
• Erste Schritte mit Azure Active Directory Identity Protection und Microsoft Graph