Skapa ett program för åtkomst Microsoft 365 Defender API:er för en användares räkning
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
På den här sidan beskrivs hur du skapar ett program för att få programbehörighet till Microsoft 365 Defender för en enskild användares räkning.
Om du behöver programmeringsåtkomst till Microsoft 365 Defender utan en definierad användare (om du till exempel skriver en bakgrundsapp eller bakgrund) kan du gå till Skapa ett program för att komma åt Microsoft 365 Defender utan en användare. Om du behöver ge åtkomst för flera klientorganisationar – till exempel om du arbetar i en stor organisation eller en grupp kunder – kan du gå till Skapa ett program med partneråtkomsttill Microsoft 365 Defender API:er. Om du är osäker på vilken typ av åtkomst du behöver kan du gå till Komma igång.
Microsoft 365 Defender mycket av informationen och åtgärderna via ett antal programmässiga API:er. De här API:erna hjälper dig att automatisera arbetsflöden och Microsoft 365 Defender av funktionerna. Den här API-åtkomsten kräver OAuth2.0-autentisering. Mer information finns i OAuth 2.0 auktoriseringskod för Flow.
I allmänhet måste du vidta följande steg för att använda följande API:er:
- Skapa ett Azure Active Directory (Azure AD).
- Hämta en åtkomsttoken med det här programmet.
- Använd tokenet för att komma Microsoft 365 Defender API.
I den här artikeln förklaras hur du:
- Skapa ett Azure AD-program
- Hämta en åtkomsttoken till Microsoft 365 Defender
- Verifiera token
Anteckning
När du öppnar Microsoft 365 Defender API för en användares räkning behöver du rätt programbehörigheter och användarbehörigheter.
Tips
Om du har behörighet att utföra en åtgärd i portalen har du behörighet att utföra åtgärden i API:t.
Skapa en app
Logga in i Azure som en användare med rollen Global administratör.
Gå till Azure Active Directory > Appregistreringar > Ny registrering.

Välj ett namn för programmet i formuläret och ange följande information för omdirigerings-URI:en och välj sedan Registrera.

- Programtyp: Offentlig klient
- Omdirigera URI: https://portal.azure.com
På programsidan väljer du API-behörigheter Lägg till > > behörighetS-API:er som min organisation använder >, skriver Microsoft Threat Protection och väljer Microsoft Threat Protection. Nu kan du komma åt Microsoft 365 Defender.
Tips
Microsoft Threat Protection är ett tidigare namn Microsoft 365 Defender namn och visas inte i den ursprungliga listan. Du måste börja skriva namnet i textrutan för att det ska visas.

- Välj Delegerade behörigheter. Välj relevanta behörigheter för ditt scenario (till exempel Incident.Läsa) och välj sedan Lägg till behörigheter.

Anteckning
Du måste välja rätt behörighet för ditt scenario. Läs alla incidenter är bara ett exempel. Information om vilken behörighet du behöver finns i avsnittet Behörigheter i det API du vill anropa.
Om du till exempel vill köra avancerade frågorväljer du behörigheten Kör avancerade frågor. om du vill isolera enenhet väljer du behörigheten "Isolera dator".
Välj Bevilja administratörsmedgivande. Varje gång du lägger till en behörighet måste du välja Ge administratörsmedgivande för att den ska gälla.

Spela in ditt program-ID och ditt klient-ID på ett säkert ställe. De visas under Översikt på din programsida.

Hämta en åtkomsttoken
Mer information om hur Azure Active Directory token finns i självstudiekursen för Azure AD.
Hämta en åtkomsttoken med Hjälp av PowerShell
if(!(Get-Package adal.ps)) { Install-Package -Name adal.ps } # Install the ADAL.PS package in case it's not already present
$tenantId = '' # Paste your directory (tenant) ID here.
$clientId = '' # Paste your application (client) ID here.
$redirectUri = '' # Paste your app's redirection URI
$authority = "https://login.windows.net/$tenantId"
$resourceUrl = 'https://api.security.microsoft.com'
$response = Get-ADALToken -Resource $resourceUrl -ClientId $clientId -RedirectUri $redirectUri -Authority $authority -PromptBehavior:Always
$response.AccessToken | clip
$response.AccessToken
Verifiera token
- Kopiera och klistra in tokenet i JWT för att avkoda det.
- Kontrollera att rollerna som anges i den avkodade token innehåller de önskade behörigheterna.
På följande bild kan du se en avkodad token som köpts från en app, med Incidents.Read.All Incidents.ReadWrite.All , och AdvancedHunting.Read.All behörigheter:

Använda tokenet för att komma åt Microsoft 365 Defender API
- Välj det API du vill använda (ärenden eller avancerad sökning). Mer information finns i API:er som Microsoft 365 Defender.
- I http-begäran som du håller på att skicka anger du auktoriseringsrubriken till , Bearer som auktoriseringsschema och token som din
"Bearer" <token>verifierade token. - Tokenet förfaller inom en timme. Du kan skicka mer än en begäran under denna tid med samma token.
I följande exempel visas hur du skickar en begäran om att få en lista över incidenter med hjälp av C#.
var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
Relaterade artiklar
- Microsoft 365 Defender API:er – översikt
- Komma åt Microsoft 365 Defender API:er
- Skapa en Hello world-app
- Skapa ett program för åtkomst Microsoft 365 Defender utan en användare
- Skapa ett program med partner med flera klientorganisationens åtkomst Microsoft 365 Defender API:er
- Läs mer om API-begränsningar och licensiering
- Förstå felkoder
- OAuth 2.0-auktorisering för användar logga in och API-åtkomst