使用 Microsoft Graph标识保护 API

命名空间:microsoft.graph

重要

Microsoft Graph版本下的 /beta API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

Azure Active Directory (Azure AD) 标识保护是允许组织发现、调查和修正其Azure AD组织中基于标识的风险的工具。

使用以下 Microsoft Graph API 查询Azure AD标识保护检测到的用户和服务主体风险:

对于用户

  • riskDetection - 查询 Microsoft Graph,以获取用户和登录链接风险检测的列表以及有关检测的相关信息。 Azure AD标识保护中的风险检测包括与目录中的用户帐户相关的任何已识别的可疑操作。

    注意

    identityRiskEvents API 已弃用,并在 2020 年 1 月 10 日停止返回数据。 它已替换为 riskDetection API。 有关弃用的详细信息,请参阅 IdentityRiskEvents API 的弃用。

  • riskyUsers - 查询 Microsoft Graph,以获取有关Azure AD标识保护检测为有风险的用户的信息。 用户风险表示给定标识或帐户遭到入侵的概率。 这些风险是使用 Microsoft 的内部和外部威胁情报源(包括安全研究人员、执法专业人员、Microsoft 安全团队和其他受信任来源)脱机计算的。

  • signIn - 查询 Microsoft Graph,以获取与风险状态、详细信息和级别相关的特定属性Azure AD登录的信息。 登录风险表示标识所有者未授权给定身份验证请求的概率。 这些风险可以使用 Microsoft 的内部和外部威胁情报源(包括安全研究人员、执法专业人员、Microsoft 的安全团队和其他受信任的来源)实时计算或脱机计算。

对于服务主体

  • servicePrincipalRiskDetection - 查询 Microsoft Graph,以获取服务主体风险检测列表和有关检测的相关信息。 Azure AD标识保护中的风险检测包括与目录中的服务主体帐户相关的任何已识别的可疑操作。

  • riskyServicePrincipals - 查询 Microsoft Graph,以获取有关Azure AD标识保护检测为有风险的服务主体的信息。 服务主体风险表示给定标识或帐户遭到入侵的概率。 这些风险是使用来自 Microsoft 内部和外部威胁情报源的数据和模式异步计算的,其中包括安全研究人员、执法专业人员、Microsoft 安全团队和其他受信任的来源。

如何在 Microsoft Graph 中使用标识保护 API?

以下是常用请求:

操作 URL
获取有风险的用户 GET https://graph.microsoft.com/beta/identityProtection/riskyUsers
GET 风险检测 GET https://graph.microsoft.com/beta/identityProtection/riskDetections
获取用户的风险历史记录 GET https://graph.microsoft.com/beta/identityProtection/riskyUsers/{riskyUserId}/history
确认用户已泄露 发布 https://graph.microsoft.com/beta/identityProtection/riskyUsers/confirmCompromised
消除有风险的用户 发布 https://graph.microsoft.com/beta/identityProtection/riskyUsers/dismiss

有关具体指南和其他信息,请参阅使用 Microsoft Graph API 识别和修正风险

需要哪些许可证?

Azure AD标识保护是一项高级功能。 需要一个Azure AD Premium P1或 P2 许可证才能访问 Microsoft Graph riskDetection API (注意:P1 许可证) 收到有限的风险信息。 riskyUsers API 仅适用于Azure AD Premium P2许可证。

有多少数据可用?

风险数据的可用性受Azure AD数据保留策略的约束。

另请参阅