使用 Microsoft Graph标识保护 API

命名空间:microsoft.graph

重要

Microsoft Graph /beta 中的版本下的 API 可能会更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 在 v1.0 中是否可用,请使用版本 选择 器。

Azure Active Directory (Azure AD) Identity Protection是一种工具,允许组织发现、调查和修正其组织中基于标识Azure AD风险。 可以使用以下 Microsoft Graph API 查询 Identity Protection 检测到Azure AD风险:

  • riskDetection - Graph Microsoft 查询用户和登录链接风险检测列表,以及有关检测的相关信息。 Identity Protection 中Azure AD检测包括任何与目录中的用户帐户相关的已识别可疑操作。

    注意

    identityRiskEvents API 已弃用,在 2020 年 1 月 10 日停止返回数据。 它已被 riskDetection API 取代。 有关弃用的信息,请参阅 IdentityRiskEvents API的弃用。

  • riskyUsers - 查询 Microsoft Graph,了解标识保护Azure AD有风险的用户的信息。 用户风险表示给定标识或帐户受到威胁的可能性。 这些风险使用 Microsoft 的内部和外部威胁情报源(包括安全研究人员、执法机构、Microsoft 的安全团队和其他受信任来源)脱机计算。

  • signIn - Graph Microsoft Azure AD使用与风险状态、详细信息和级别相关的特定属性登录的信息。 登录风险表示给定身份验证请求未由标识所有者授权的概率。 可以使用 Microsoft 的内部和外部威胁情报源(包括安全研究人员、执法机构专业人员、Microsoft 的安全团队和其他受信任来源)实时或脱机计算这些风险。

Microsoft Graph 中的标识保护 API 可以Graph?

以下是处理审核日志数据的常见请求:

Operation URL
获取有风险的用户 GET https://graph.microsoft.com/beta/identityProtection/riskyUsers
获取风险检测 GET https://graph.microsoft.com/beta/identityProtection/riskDetections
获取用户的风险历史记录 GET https://graph.microsoft.com/beta/identityProtection/riskyUsers/{riskyUserId}/history
确认用户受到威胁 发布 https://graph.microsoft.com/beta/identityProtection/riskyUsers/confirmCompromised
消除有风险的用户 发布 https://graph.microsoft.com/beta/identityProtection/riskyUsers/dismiss

有关特定指南和其他信息,请参阅使用 Microsoft Graph API 识别和修正风险

需要哪些许可证?

Azure AD Identity Protection 是一项高级功能。 你需要一Azure AD Premium P1或 P2 许可证才能访问 Microsoft Graph riskDetection API (注意: P1 许可证会收到有限的) 。 riskyUsers API仅适用于Azure AD Premium P2许可证。

另请参阅