Azure Active Directory Identity Protection e Microsoft Graph PowerShell SDK

Microsoft Graph è l'endpoint API unificato Microsoft e la home page delle API Azure Active Directory Identity Protection. Questo articolo illustra come usare Microsoft Graph PowerShell SDK per ottenere dettagli utente rischiosi tramite PowerShell. Le organizzazioni che vogliono eseguire query direttamente sulle API di Microsoft Graph possono usare l'articolo Esercitazione: Identificare e correggere i rischi usando le API di Microsoft Graph per iniziare tale percorso.

Connettersi a Microsoft Graph

La procedura per accedere ai dati di Identity Protection tramite Microsoft Graph si articola in quattro passaggi:

Creare un certificato

In un ambiente di produzione si userà un certificato dell'autorità di certificazione di produzione, ma in questo esempio verrà utilizzato un certificato autofirmato. Creare ed esportare il certificato usando i comandi di PowerShell seguenti.

$cert = New-SelfSignedCertificate -Subject "CN=MSGraph_ReportingAPI" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-Certificate -Cert $cert -FilePath "C:\Reporting\MSGraph_ReportingAPI.cer"

Creare una nuova registrazione di app

  1. Nel portale di Azure passare ad Azure Active Directory > Registrazioni app.
  2. Selezionare Nuova registrazione.
  3. Nella pagina Crea seguire questa procedura:
    1. Nella casella di testo Nome digitare un nome per l'applicazione, ad esempio: API rilevamento di rischi di Azure AD.
    2. In Tipi di account supportati selezionare il tipo degli account che useranno le API.
    3. Selezionare Registra.
  4. Prendere nota dell'ID applicazione (client) e dell'ID directory (tenant), in quanto questi elementi saranno necessari in un secondo momento.

Configurare le autorizzazioni dell'API

In questo esempio vengono configurate le autorizzazioni dell'applicazione consentendo l'uso automatico di questo esempio. Se si concedono autorizzazioni a un utente che verrà connesso, scegliere invece autorizzazioni delegate. Altre informazioni sui diversi tipi di autorizzazione sono disponibili nell'articolo Autorizzazioni e consenso nella Microsoft Identity Platform.

  1. Dall'applicazione creata selezionare Autorizzazioni API.
  2. Nella pagina Autorizzazioni configurate fare clic su Aggiungi un'autorizzazione sulla barra degli strumenti in alto.
  3. Nella pagina Aggiungi accesso all'API fare clic su Selezionare un'API.
  4. Nella pagina Selezionare un'API selezionare Microsoft Graph e quindi fare clic su Seleziona.
  5. Nella pagina Richiedi le autorizzazioni dell'API:
    1. Selezionare Autorizzazioni applicazione.
    2. Selezionare le caselle di controllo accanto a IdentityRiskEvent.Read.All e IdentityRiskyUser.Read.All .
    3. Selezionare Aggiungi autorizzazioni.
  6. Selezionare Concedi consenso amministratore per il dominio

Configurare credenziali valide

  1. Dall'applicazione creata selezionare Certificati e segreti.
  2. In certificati selezionare Upload certificato.
    1. Selezionare il certificato esportato in precedenza nella finestra visualizzata.
    2. Selezionare Aggiungi.
  3. Prendere nota dell'identificazione personale del certificato, poiché queste informazioni saranno necessarie nel passaggio successivo.

Elencare gli utenti a rischio con PowerShell

Per abilitare la possibilità di eseguire query su Microsoft Graph, è necessario installare il modulo nella finestra Microsoft.Graph di PowerShell usando il Install-Module Microsoft.Graph comando .

Modificare le variabili seguenti per includere le informazioni generate nei passaggi precedenti, quindi eseguirle nel suo complesso per ottenere dettagli utente rischiosi tramite PowerShell.

$ClientID       = "<your client ID here>"        # Application (client) ID gathered when creating the app registration
$tenantdomain   = "<your tenant domain here>"    # Directory (tenant) ID gathered when creating the app registration
$Thumbprint     = "<your client secret here>"    # Certificate thumbprint gathered when configuring your credential

Select-MgProfile -Name "beta"
  
Connect-MgGraph -ClientId $ClientID -TenantId $tenantdomain -CertificateThumbprint $Thumbprint

Get-MgRiskyUser -All

Passaggi successivi