使用 Microsoft Graph 标识保护 API

命名空间：microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用，请使用 版本 选择器。

Microsoft Entra标识保护是一种工具，它允许组织在其Microsoft Entra组织中发现、调查和修正基于标识的风险。

使用以下 Microsoft Graph API 查询Microsoft Entra ID 保护检测到的用户和服务主体风险：

对于用户

• riskDetection - 查询 Microsoft Graph 以获取用户和登录链接风险检测的列表，以及有关检测的相关信息。 Microsoft Entra ID 保护中的风险检测包括与目录中的用户帐户相关的任何已识别的可疑操作。

  警告

  identityRiskEvents API 在 2020 年 1 月 10 日已弃用并停止返回数据。 它已替换为 riskDetection API。 有关弃用的详细信息，请参阅 弃用 identityRiskEvents API。

• riskyUsers - 查询 Microsoft Graph，了解有关Microsoft Entra ID 保护检测到有风险的用户的信息。 用户风险表示给定标识或帐户泄露的概率。 这些风险是使用 Microsoft 的内部和外部威胁情报源（包括安全研究人员、执法专业人员、Microsoft 的安全团队和其他受信任的来源）脱机计算的。

• signIn - 查询 Microsoft Graph，了解有关具有与风险状态、详细信息和级别相关的特定属性Microsoft Entra登录的信息。 登录风险表示给定身份验证请求未获得标识所有者授权的概率。 可以使用 Microsoft 的内部和外部威胁情报源（包括安全研究人员、执法专业人员、Microsoft 的安全团队和其他受信任的来源）实时计算或脱机计算这些风险。

对于服务主体

• servicePrincipalRiskDetection - 查询 Microsoft Graph 以获取服务主体风险检测列表以及有关检测的相关信息。 Microsoft Entra ID 保护中的风险检测包括与目录中的服务主体帐户相关的任何已识别的可疑操作。

• riskyServicePrincipals - 查询 Microsoft Graph，了解有关Microsoft Entra ID 保护检测为有风险的服务主体的信息。 服务主体风险表示给定标识或帐户泄露的概率。 这些风险是使用来自 Microsoft 内部和外部威胁情报源的数据和模式异步计算的，这些来源包括安全研究人员、执法专业人员、Microsoft 的安全团队和其他受信任的来源。

可以使用 Microsoft Graph 中的标识保护 API 执行什么操作？

以下是常用请求：

操作	URL
GET 风险用户	GET https://graph.microsoft.com/beta/identityProtection/riskyUsers
GET 风险检测	GET https://graph.microsoft.com/beta/identityProtection/riskDetections
获取用户的风险历史记录	GET https://graph.microsoft.com/beta/identityProtection/riskyUsers/{riskyUserId}/history
将用户确认为已泄露	发布 https://graph.microsoft.com/beta/identityProtection/riskyUsers/confirmCompromised
消除有风险的用户	发布 https://graph.microsoft.com/beta/identityProtection/riskyUsers/dismiss

有关特定指南和其他信息，请参阅 使用 Microsoft Graph API 识别和修正风险。

需要哪些许可证？

用户和服务主体的Microsoft Entra ID 保护是一项高级功能。 需要特定许可证才能访问完整报表。 有关详细信息，请参阅 Identity Protection 许可证要求。

有多少数据可用？

风险数据的可用性由Microsoft Entra数据保留策略控制。

相关内容

• 关于Microsoft Entra ID 保护
• Microsoft Entra ID 保护和 Microsoft Graph 入门