如何在 Microsoft Entra 中将用户风险报告设置为通过电子邮件发送

评估 Microsoft Entra 用户的风险是 Microsoft 处理得相当明智的事情。例如，如果用户在 Microsoft Authenticator 应用上报告通知不是请求者，则其身份将被标记为高风险，如下所示要获得 MFA 通知，必须输入正确的密码。另一方面，用户帐户上的一系列意外操作可能表明恶意意图，这将导致低风险评估。

您可能想准确了解组织中的用户何时被标记为中风险或高风险，以便您可以采取超出自动实现（或您希望实现的操作）之外的进一步手动操作。在本教程中，我将向您展示如何使用管理门户和 Microsoft Graph PowerShell 在 Microsoft Entra 中配置用户风险报告。

Microsoft Entra 中的用户风险检测警报是什么？

用户风险报告是简单的警报电子邮件，您可以将其配置为当用户的风险级别达到指定阈值时发送到特定地址，该阈值是：低风险、中风险或高风险。

这些报告相当基本，它们将显示来自[受保护的电子邮件]，主题行为检测到存在风险的用户。报告中没有提供任何详细信息，仅提供以下确切文本：

“我们在您的 TenantName 目录中检测到至少具有中等风险的新用户。这可能是因为我们注意到可疑的帐户活动，或者我们发现他们的电子邮件和密码发布在公共场所。”

以下是用户风险检测电子邮件的示例：

如您所见，该电子邮件相当通用，查看详细报告链接只会将您带到 Microsoft Entra 管理中心的风险用户边栏选项卡。

为什么要启用用户风险检测提醒？

用户风险检测警报电子邮件是管理员和安全团队及时了解组织中用户面临的主动威胁的好方法。

除此之外，使用这些电子邮件警报的一个更实际的原因是，Microsoft 不断改进默认安全控制，以帮助防止针对用户的常见攻击方法，例如各种社会工程攻击或疲劳攻击。

例如，配置了 Microsoft Authenticator 应用程序或使用基于电话的登录作为主要多重身份验证方法的用户仍然容易受到旨在诱骗他们批准恶意多重身份验证质询的社会工程攻击。

目前，任何源自未知来源（IP 地址）的多重身份验证质询的默认行为是，它将在用户的设备上被抑制，导致用户必须手动打开身份验证器应用程序才能批准请求。虽然这不是一个主要问题，但如果用户尝试登录，他们无论如何都会期望打开该应用程序，这确实意味着攻击者拥有用户的密码，而抑制通知会减少这种初始违规的可能性。积极向IT汇报。

用户风险检测警报报告通过向 IT 部门发出可疑违规行为的警报，帮助他们立即调查并进行手动干预，从而帮助解决此问题。

如何在 Microsoft Entra 中启用用户风险检测警报

启用用户风险检测警报的最简单方法是使用 Microsoft Entra 管理中心。请按照以下步骤启用和配置此功能：

1. 登录Microsoft Entra

2. 展开保护，然后选择身份保护检测到警报的风险用户。

3. 您将看到可以启用或禁用的特权用户列表。您还可以选择将自定义电子邮件地址添加到收件人列表中。选择您想要的目标地址并配置用户风险级别（我建议将其设置为“中”），然后单击保存。

使用 Microsoft Graph PowerShell 启用用户风险检测警报

如果您想使用 Microsoft Graph PowerShell 启用用户风险警报，请使用以下利用 Invoke-MgGraphRequest cmdlet 的代码：

查看我关于强大的 Invoke-MgGraphRequest cmdlet 的完整教程：https://ourcloudnetwork.com/how-to-use-invoke-mggraphrequest-with-powershell/

当您复制以下代码时，请确保根据自己的喜好修改以下字段：

• “minRiskLevel”：“低/中/高”
• “电子邮件”：“目的地电子邮件地址”

Connect-MgGraph -Scopes IdentityRiskEvent.ReadWrite.All

$uri = "https://graph.microsoft.com/beta/identityProtection/settings/notifications"

$body = @'
{
  "minRiskLevel": "low/medium/high",
  "isWeeklyDigestEnabled": true,
  "additionalRecipients": [
    {
      "email": "destination-email-address",
      "isRiskyUsersAlertsRecipient": true
    }
  ]
}
'@

Invoke-MgGraphRequest -uri $uri -body $body -method PATCH -ContentType "application/json"

在“https://graph.microsoft.com/beta/identityProtection/settings/”上使用 PATCH 方法时，请确保您使用 IdentityRiskEvent.ReadWrite.All 权限通知”端点。此端点不会通过 Microsoft Graph Explorer 工具或使用 Find-MgGraphCommand 返回任何权限，记住这一点很有帮助。