Поделиться через

Защита идентификаторов Microsoft Entra и Microsoft Graph PowerShell

Microsoft Graph — это конечная точка Единого API Майкрософт и главная API-интерфейсы защиты идентификаторов Microsoft Entra ID. В этой статье показано, как использовать пакет SDK Microsoft Graph PowerShell для управления рискованными пользователями с помощью PowerShell. Организации, которые хотят запрашивать API Microsoft Graph напрямую, могут использовать статью, Учебник: Определение и устранение рисков с помощью API Microsoft Graph, для начала этого пути.

Предпосылки

Чтобы использовать команды PowerShell в этой статье, вам потребуется следующее:

  • Пакет SDK Для Microsoft Graph PowerShell установлен.

  • Роль администратора безопасности.

  • IdentityRiskEvent.Read.All, IdentityRiskyUser.ReadWrite.All или IdentityRiskyUser.ReadWrite.All требуются делегированные разрешения.

    • Чтобы задать разрешения IdentityRiskEvent.Read.All и IdentityRiskyUser.ReadWrite.Allвыполните следующие действия:
    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"

  • Если вы используете аутентификацию только для приложений, см. статью "Использование аутентификации только для приложений" с помощью Microsoft Graph PowerShell SDK.

    • Чтобы зарегистрировать приложение с необходимыми разрешениями приложения, подготовьте сертификат и выполните следующую команду:
    Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

Вывод списка рискованных обнаружений с помощью PowerShell

Вы можете получить обнаружения рисков по параметрам обнаружения риска в ID Protection.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

Вывод списка рискованных пользователей с помощью PowerShell

Вы можете получить рискованных пользователей и их истории рисков в разделе защиты идентификационных данных.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

Подтверждение компрометации пользователей с помощью PowerShell

Вы можете подтвердить компрометацию пользователей и пометить их как пользователей с высоким риском в защите идентификаторов.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

Отключение рискованных пользователей с помощью PowerShell

Вы можете массово отклонить рискованных пользователей в системе защиты идентификаторов.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

Дальнейшие действия