Microsoft Entra ID Protection 和 Microsoft Graph PowerShell

  • 發行項

Microsoft Graph 是 Microsoft 整合 API 端點,也是 Microsoft Entra ID Protection API 的首頁。 本文說明如何使用 Microsoft Graph PowerShell SDK 來管理使用 PowerShell 有風險的使用者。 想要直接查詢 Microsoft Graph API 的組織可以使用文章 教學課程:使用 Microsoft Graph API 識別和補救風險,以開始該旅程。

若要順利完成本教學課程,請確定您具備必要的必要條件:

  • 已安裝 Microsoft Graph PowerShell SDK。 如需詳細資訊,請參閱安裝 Microsoft Graph PowerShell SDK 一文

  • 使用安全性 管理員 istrator 角色的 Microsoft Graph PowerShell。 需要 IdentityRiskEvent.Read.All、IdentityRiskyUser.ReadWrite.All 或 IdentityRiskyUser.ReadWrite.All 委派的許可權。 若要將許可權設定為 IdentityRiskEvent.Read.All 和 IdentityRiskyUser.ReadWrite.All,請執行:

    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"

如果您使用僅限應用程式驗證,請參閱搭配 Microsoft Graph PowerShell SDK 使用僅限應用程式驗證一文。 若要向必要的應用程式許可權註冊應用程式,請準備憑證並執行:

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

使用 PowerShell 列出有風險的偵測

您可以藉由標識碼保護中風險偵測的屬性來擷取風險偵測。

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and Risklevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

使用 PowerShell 列出有風險的使用者

您可以在標識碼保護中擷取具風險的使用者及其有風險的歷程記錄。

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 375844b0-2026-4265-b9f1-ee1708491e05| Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

確認使用PowerShell遭入侵的使用者

您可以確認使用者遭入侵,並將其標示為標識符保護中高風險的使用者。

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "577e09c1-5f26-4870-81ab-6d18194cbb51","bf8ba085-af24-418a-b5b2-3fc71f969bf3"

使用 PowerShell 關閉有風險的使用者

您可以在標識碼保護中大量關閉具風險的使用者。

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

下一步