다음을 통해 공유

Microsoft Entra ID Protection 및 Microsoft Graph PowerShell

Microsoft Graph는 Microsoft 통합 API 엔드포인트이며 Microsoft Entra ID Protection API의 홈입니다. 이 문서에서는 Microsoft Graph PowerShell SDK 를 사용하여 PowerShell을 사용하여 위험한 사용자를 관리하는 방법을 보여줍니다. Microsoft Graph API를 직접 쿼리하려는 조직은 자습서: Microsoft Graph API 사용하여 위험을 식별하고 수정하여 해당 여정을 시작할 수 있습니다.

필수 조건

이 문서의 PowerShell 명령을 사용하려면 다음 필수 구성 요소가 필요합니다.

  • Microsoft Graph PowerShell SDK가 설치됩니다.

    • 자세한 내용은 Microsoft Graph PowerShell SDK 설치문서를 참조하세요.

  • 보안 관리자 역할.

  • IdentityRiskEvent.Read.All IdentityRiskyUser.ReadWrite.All 또는 IdentityRiskyUser.ReadWrite.All 위임된 권한이 필요합니다.

    • 사용 권한을 IdentityRiskEvent.Read.AllIdentityRiskyUser.ReadWrite.All로 설정하려면 다음을 실행하십시오.
    Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"

  • 앱 전용 인증을 사용하는 경우 Microsoft Graph PowerShell SDK에서 앱 전용 인증 사용을 참조하세요.

    • 필요한 애플리케이션 권한으로 애플리케이션을 등록하려면 인증서를 준비하고 다음을 실행합니다.
    Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

PowerShell을 사용하여 위험 탐지 나열

ID 보호에서 위험 검색의 속성을 사용하여 위험 검색을 검색할 수 있습니다.

# List all anonymizedIPAddress risk detections
Get-MgRiskDetection -Filter "RiskType eq 'anonymizedIPAddress'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

# List all high risk detections for the user 'User01'
Get-MgRiskDetection -Filter "UserDisplayName eq 'User01' and RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskType, RiskLevel, DetectedDateTime

PowerShell을 사용하여 위험한 사용자 나열

ID 보호에서 위험한 사용자 및 해당 위험한 기록을 검색할 수 있습니다.

# List all high risk users
Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

#  List history of a specific user with detailed risk detection
Get-MgRiskyUserHistory -RiskyUserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee | Format-Table RiskDetail, RiskLastUpdatedDateTime, @{N="RiskDetection";E={($_). Activity.RiskEventTypes}}, RiskState, UserDisplayName

PowerShell을 사용하여 손상된 사용자 확인

손상된 사용자를 확인하고 ID 보호에서 위험한 사용자로 플래그를 지정할 수 있습니다.

# Confirm Compromised on two users
Confirm-MgRiskyUserCompromised -UserIds "11bb11bb-cc22-dd33-ee44-55ff55ff55ff","22cc22cc-dd33-ee44-ff55-66aa66aa66aa"

PowerShell을 사용하여 위험한 사용자 해제

ID 보호에서 위험한 사용자를 대량으로 해제할 수 있습니다.

# Get a list of high risky users which are more than 90 days old
$riskyUsers= Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | where RiskLastUpdatedDateTime -LT (Get-Date).AddDays(-90)
# bulk dismiss the risky users
Invoke-MgDismissRiskyUser -UserIds $riskyUsers.Id

다음 단계