Azure Active Directory Identity Protection och Microsoft Graph PowerShell SDK

Microsoft Graph är Microsofts enhetliga API-slutpunkt och hem för AZURE ACTIVE DIRECTORY Identity Protection-API:er. Den här artikeln visar hur du använder Microsoft Graph PowerShell SDK för att få riskfylld användarinformation med hjälp av PowerShell. Organisationer som vill fråga Microsoft Graph-API:er direkt kan använda artikeln Självstudie: Identifiera och åtgärda risker med hjälp av Api:er för Microsoft Graph för att påbörja den resan.

Anslut till Microsoft Graph

Det finns fyra steg för att komma åt Identity Protection-data via Microsoft Graph:

Skapa ett certifikat

I en produktionsmiljö använder du ett certifikat från din certifikatutfärdare för produktion, men i det här exemplet använder vi ett självsignerat certifikat. Skapa och exportera certifikatet med hjälp av följande PowerShell-kommandon.

$cert = New-SelfSignedCertificate -Subject "CN=MSGraph_ReportingAPI" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-Certificate -Cert $cert -FilePath "C:\Reporting\MSGraph_ReportingAPI.cer"

Skapa en ny appregistrering

  1. I Azure Portal bläddrar du till Azure Active Directory>Appregistreringar.
  2. Välj Ny registrering.
  3. Utför följande steg på sidan Skapa :
    1. I textrutan Namn skriver du ett namn för ditt program (till exempel: Azure AD Risk Detection API).
    2. Under Kontotyper som stöds väljer du den typ av konton som ska använda API:erna.
    3. Välj Register (Registrera).
  4. Anteckna program-ID:t (klient) och katalog-ID:t (klient) eftersom du behöver dessa objekt senare.

Konfigurera API-behörigheter

I det här exemplet konfigurerar vi programbehörigheter så att det här exemplet kan användas obevakat. Om du beviljar behörigheter till en användare som ska loggas in väljer du delegerade behörigheter i stället. Mer information om olika behörighetstyper finns i artikeln Behörigheter och medgivande i Microsofts identitetsplattform.

  1. Välj API-behörigheteri programmet som du skapade.
  2. Klicka på Lägg till en behörighet i verktygsfältet längst upp på sidan Konfigurerade behörigheter.
  3. På sidan Lägg till API-åtkomst klickar du på Välj ett API.
  4. På sidan Välj ett API väljer du Microsoft Graph och klickar sedan på Välj.
  5. På sidan Begär API-behörigheter :
    1. Välj Programbehörigheter.
    2. Markera kryssrutorna bredvid IdentityRiskEvent.Read.All och IdentityRiskyUser.Read.All.
    3. Välj Lägg till behörigheter.
  6. Välj Bevilja administratörsmedgivande för domän

Konfigurera en giltig autentiseringsuppgift

  1. I programmet som du skapade väljer du Certifikathemligheter&.
  2. Under certifikat väljer du Upload certifikat.
    1. Välj det tidigare exporterade certifikatet i fönstret som öppnas.
    2. Välj Lägg till.
  3. Anteckna tumavtrycket för certifikatet eftersom du behöver den här informationen i nästa steg.

Lista riskfyllda användare som använder PowerShell

För att göra det möjligt att fråga Microsoft Graph måste vi installera modulen Microsoft.Graph i powershell-fönstret med hjälp av Install-Module Microsoft.Graph kommandot .

Ändra följande variabler för att inkludera den information som genererades i föregående steg och kör dem sedan som en helhet för att få riskfylld användarinformation med hjälp av PowerShell.

$ClientID       = "<your client ID here>"        # Application (client) ID gathered when creating the app registration
$tenantdomain   = "<your tenant domain here>"    # Directory (tenant) ID gathered when creating the app registration
$Thumbprint     = "<your client secret here>"    # Certificate thumbprint gathered when configuring your credential

Select-MgProfile -Name "beta"
  
Connect-MgGraph -ClientId $ClientID -TenantId $tenantdomain -CertificateThumbprint $Thumbprint

Get-MgRiskyUser -All

Nästa steg