使用 Microsoft Graph标识保护 API
命名空间:microsoft.graph
重要
Microsoft Graph版本下的 /beta
API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
Azure Active Directory (Azure AD) 标识保护是允许组织发现、调查和修正其Azure AD组织中基于标识的风险的工具。
使用以下 Microsoft Graph API 查询Azure AD标识保护检测到的用户和服务主体风险:
对于用户
riskDetection - 查询 Microsoft Graph,以获取用户和登录链接风险检测的列表以及有关检测的相关信息。 Azure AD标识保护中的风险检测包括与目录中的用户帐户相关的任何已识别的可疑操作。
注意
identityRiskEvents API 已弃用,并在 2020 年 1 月 10 日停止返回数据。 它已替换为 riskDetection API。 有关弃用的详细信息,请参阅 IdentityRiskEvents API 的弃用。
riskyUsers - 查询 Microsoft Graph,以获取有关Azure AD标识保护检测为有风险的用户的信息。 用户风险表示给定标识或帐户遭到入侵的概率。 这些风险是使用 Microsoft 的内部和外部威胁情报源(包括安全研究人员、执法专业人员、Microsoft 安全团队和其他受信任来源)脱机计算的。
signIn - 查询 Microsoft Graph,以获取与风险状态、详细信息和级别相关的特定属性Azure AD登录的信息。 登录风险表示标识所有者未授权给定身份验证请求的概率。 这些风险可以使用 Microsoft 的内部和外部威胁情报源(包括安全研究人员、执法专业人员、Microsoft 的安全团队和其他受信任的来源)实时计算或脱机计算。
对于服务主体
servicePrincipalRiskDetection - 查询 Microsoft Graph,以获取服务主体风险检测列表和有关检测的相关信息。 Azure AD标识保护中的风险检测包括与目录中的服务主体帐户相关的任何已识别的可疑操作。
riskyServicePrincipals - 查询 Microsoft Graph,以获取有关Azure AD标识保护检测为有风险的服务主体的信息。 服务主体风险表示给定标识或帐户遭到入侵的概率。 这些风险是使用来自 Microsoft 内部和外部威胁情报源的数据和模式异步计算的,其中包括安全研究人员、执法专业人员、Microsoft 安全团队和其他受信任的来源。
如何在 Microsoft Graph 中使用标识保护 API?
以下是常用请求:
有关具体指南和其他信息,请参阅使用 Microsoft Graph API 识别和修正风险。
需要哪些许可证?
Azure AD标识保护是一项高级功能。 需要一个Azure AD Premium P1或 P2 许可证才能访问 Microsoft Graph riskDetection API (注意:P1 许可证) 收到有限的风险信息。 riskyUsers API 仅适用于Azure AD Premium P2许可证。
有多少数据可用?
风险数据的可用性受Azure AD数据保留策略的约束。
另请参阅
反馈
提交和查看相关反馈