Azure Active Directory Identity Protection e o SDK do PowerShell do Microsoft Graph
O Microsoft Graph é o ponto de extremidade de API unificado da Microsoft e a página inicial das APIs do Azure Active Directory Identity Protection. Este artigo mostrará como usar o SDK do PowerShell do Microsoft Graph para obter detalhes de usuário suspeito usando o PowerShell. As organizações que desejam consultar diretamente as APIs do Microsoft Graph podem usar o artigo Tutorial: identificar e corrigir riscos usando APIs do Microsoft Graph para iniciar esse percurso.
Conectar o Microsoft Graph
Há quatro etapas para acessar dados de Proteção de Identidade por meio do Microsoft Graph:
- Criar um certificado
- Criar um novo registro de aplicativo
- Configure as permissões da API
- Configure uma credencial válida
Criar um certificado
Em um ambiente de produção, você usaria um certificado de sua autoridade de certificação de produção, mas, neste exemplo, usaremos um certificado autoassinado. Crie e exporte o certificado usando os comandos do PowerShell a seguir.
$cert = New-SelfSignedCertificate -Subject "CN=MSGraph_ReportingAPI" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-Certificate -Cert $cert -FilePath "C:\Reporting\MSGraph_ReportingAPI.cer"
Criar um novo registro de aplicativo
- No portal do Azure, navegue até os registros de aplicativo do Azure Active Directory>.
- Selecione Novo registro.
- Na página Criar, siga as seguintes etapas:
- Na caixa de texto Nome, digite um nome para seu aplicativo (por exemplo: API de detecção de riscos do Azure AD).
- Em Tipos de conta com suporte, selecione o tipo de contas que usarão as APIs.
- Selecione Registrar.
- Anote a ID do aplicativo (cliente) e a ID do diretório (locatário) , pois você precisará desses itens mais tarde.
Configure as permissões da API
Neste exemplo, configuramos permissões de aplicativo, permitindo que este exemplo seja usado de forma autônoma. Se conceder permissões a um usuário que será conectado, escolha permissões delegadas em vez disso. Você pode encontrar mais informações sobre os tipos de permissão diferentes no artigo Permissões e consentimento na plataforma de identidade da Microsoft.
- No aplicativo que você criou, selecione permissões de API.
- Na página Permissões configuradas, na barra de ferramentas na parte superior, clique em Adicionar uma permissão.
- Na página Adicionar acesso à API, clique em Selecionar uma API.
- Na página Selecionar uma API, selecione Microsoft Graph e clique em Selecionar.
- Na página Solicitar permissões de API:
- Selecione Permissões de aplicativo.
- Marque as caixas de seleção ao lado de
IdentityRiskEvent.Read.AlleIdentityRiskyUser.Read.All. - Selecione Adicionar Permissões.
- Selecione Fornecer o consentimento do administrador para domínio
Configure uma credencial válida
- No aplicativo que você criou, selecione Certificados & Segredos.
- Em certificados, selecione Carregar certificado.
- Selecione o certificado exportado anteriormente na janela que será aberta.
- Selecione Adicionar.
- Anote a Impressão digital do certificado, pois você precisará dessas informações na próxima etapa.
Listar usuários suspeitos usando o PowerShell
Para habilitar a capacidade de consultar o Microsoft Graph, precisamos instalar o módulo Microsoft.Graph em nossa janela do PowerShell, usando o comando Install-Module Microsoft.Graph.
Modifique as variáveis a seguir para incluir as informações geradas nas etapas anteriores e execute-as como um todo para obter detalhes de usuário suspeito usando o PowerShell.
$ClientID = "<your client ID here>" # Application (client) ID gathered when creating the app registration
$tenantdomain = "<your tenant domain here>" # Directory (tenant) ID gathered when creating the app registration
$Thumbprint = "<your client secret here>" # Certificate thumbprint gathered when configuring your credential
Select-MgProfile -Name "beta"
Connect-MgGraph -ClientId $ClientID -TenantId $tenantdomain -CertificateThumbprint $Thumbprint
Get-MgRiskyUser -All