Защита идентификаторов Microsoft Entra и Microsoft Graph PowerShell
Microsoft Graph — это конечная точка Единого API Майкрософт и главная API-интерфейсы защиты идентификаторов Microsoft Entra ID. В этой статье показано, как использовать пакет SDK Microsoft Graph PowerShell для управления рискованными пользователями с помощью PowerShell. Организации, которые хотят запрашивать API Microsoft Graph напрямую, могут использовать статью, Учебник: Определение и устранение рисков с помощью API Microsoft Graph, для начала этого пути.
Чтобы успешно завершить работу с этим руководством, убедитесь, что у вас есть необходимые предварительные требования:
Пакет SDK Для Microsoft Graph PowerShell установлен. Дополнительные сведения см. в статье Установка пакета SDK Microsoft Graph PowerShell.
Microsoft Graph PowerShell с помощью роли администратора безопасности . Для этого требуются делегированные разрешения IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All или IdentityRiskyUser.ReadWrite.All. Чтобы задать разрешения для IdentityRiskEvent.Read.All и IdentityRiskyUser.ReadWrite.All, выполните следующую команду:
Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"
Если вы используете проверку подлинности только для приложений, см. статью Использование проверки подлинности только для приложений с помощью пакета SDK Microsoft Graph PowerShell. Чтобы зарегистрировать приложение с необходимыми разрешениями приложения, подготовьте сертификат и выполните следующую команду:
Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName
Вывод списка рискованных обнаружений с помощью PowerShell
Вы можете получить обнаружения рисков по параметрам обнаружения риска в ID Protection.
# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime
Вывод списка рискованных пользователей с помощью PowerShell
Вы можете получить рискованных пользователей и их истории рисков в разделе защиты идентификационных данных.
# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime
# List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName
Подтверждение компрометации пользователей с помощью PowerShell
Вы можете подтвердить компрометацию пользователей и пометить их как пользователей с высоким риском в защите идентификаторов.
# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"
Отключение рискованных пользователей с помощью PowerShell
Вы можете массово отклонить рискованных пользователей в системе защиты идентификаторов.
# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id