将 Microsoft Entra ID 与 Google SecOps 集成
本文档提供了有关如何将 Microsoft Entra ID 与 Google Security Operations (Google SecOps) 集成的指南。
集成版本:18.0
此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。
使用场景
将 Microsoft Entra ID 与 Google SecOps 集成有助于您解决以下使用场景:
用户账号管理:使用 Google SecOps 功能,根据安全事件(例如疑似账号遭到入侵或员工离职)自动停用和启用 Microsoft Entra ID 中的用户账号。
密码重置:使用 Google SecOps 功能来协调密码重置,以应对账号遭入侵或用户被锁定在账号之外的情况。重置密码有助于简化密码恢复流程并减少帮助台收到的工单。
群组管理:使用 Google SecOps 功能自动创建、修改和删除 Microsoft Entra ID 群组。
强制执行条件访问权限政策:在 Google SecOps playbook 中使用 Microsoft Entra ID 条件访问权限政策,根据情境动态控制访问权限,并根据位置、设备和用户风险等因素对资源访问权限进行精细控制。
安全提醒和突发事件响应:将 Microsoft Entra ID 安全提醒集成到 Google SecOps 中,以实现突发事件响应工作流的自动化。
准备工作
在 Google SecOps 平台中配置集成之前,请完成以下步骤:
配置网络访问权限。
创建 Microsoft Entra 应用。
为应用配置 API 权限。
创建客户端密钥。
配置网络访问权限
如需允许 Google SecOps 通过 API 访问 Microsoft Entra ID,请允许通过 443 端口传输流量。
创建 Microsoft Entra 应用
以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往应用注册 > 新注册。
输入应用的名称。
点击注册。
保存应用(客户端)ID 和目录(租户)ID 值,以便稍后在配置集成参数时使用。
配置 API 权限
依次前往 API 权限 > 添加权限。
依次选择 Microsoft Graph > 应用权限。
在选择权限部分,选择以下权限:
Directory.Read.AllDirectory.ReadWrite.AllGroup.ReadWrite.AllUser.ReadWrite.All这些权限不足以运行与密码相关的操作。如需运行强制更新密码和重置用户密码操作,请在 Microsoft Entra ID 中使用角色和管理员搜索功能,为您的应用分配密码管理员角色。
如需详细了解权限,请参阅 Microsoft Graph 权限参考和敏感操作。
点击添加权限。
点击为
YOUR_ORGANIZATION_NAME授予管理员同意书。当系统显示授予管理员同意权限确认对话框时,点击是。
创建客户端密钥
依次前往证书和密钥 > 新客户端密钥。
为客户端密钥提供说明并设置其失效期限。
点击 Add(添加)。
保存客户端密钥的值(而非密钥 ID),以便在配置集成时将其用作
Client Secret参数值。客户端密钥值仅显示一次。
将 Microsoft Entra ID 与 Google SecOps 集成
Microsoft Entra ID 集成需要以下参数:
| 参数 | 说明 |
|---|---|
Login API Root |
可选
用于向 Microsoft Identity Platform 进行身份验证的 API 根。 默认值为 |
API Root |
可选
Azure Active Directory 实例的 API 根。 默认值为 |
Client ID |
必需
您的 Microsoft Entra ID 账号的应用(客户端)ID 值。 |
Client Secret |
必需
Microsoft Entra ID 账号的客户端密钥值。 |
Directory ID |
必需
您的 Microsoft Entra ID 账号的目录(租户)ID 值。 |
Verify SSL |
可选
如果选择此选项,集成会验证用于连接到 Microsoft Entra ID 服务器的 SSL 证书是否有效。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如果需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅处理工作台中的待处理操作和执行手动操作。
将用户添加到群组
使用向群组添加用户操作可将用户添加到特定的 Microsoft Entra ID 群组。此操作要求您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps User 实体上运行。
操作输入
将用户添加到群组操作需要以下参数:
| 参数 | 说明 |
|---|---|
Group ID |
必需
要将用户添加到的 Microsoft Entra ID 群组的 ID,例如 |
操作输出
将用户添加到群组操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
将用户添加到群组操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Member could not be added successfully. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用将用户添加到群组操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
停用账号
使用 Disable Account 操作可在 Microsoft Entra ID 中停用账号。
此操作要求您以 username@domain 格式配置 User 实体。
如需运行停用账号操作,请向您在集成中使用的 Microsoft Entra ID 账号授予管理员权限。
此操作在 Google SecOps User 实体上运行。
配置其他权限
停用账号操作需要您为应用额外配置以下 API 权限:
User.EnableDisableAccount.All
如需有关如何在 Microsoft Entra ID 中配置 API 权限的指南,请参阅本文档的配置 API 权限部分。
操作输入
无。
操作输出
停用账号操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
停用账号操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Disable user account was not successful. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用停用账号操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
启用账号
使用 Enable Account 操作可在 Microsoft Entra ID 中启用账号。此操作要求您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps User 实体上运行。
配置其他权限
启用账号操作需要您为应用额外配置以下 API 权限:
User.EnableDisableAccount.All
如需有关如何在 Microsoft Entra ID 中配置 API 权限的指南,请参阅本文档的配置 API 权限部分。
操作输入
无。
操作输出
启用账号操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
启用账号操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Enable user account was not successful. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enable Account 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富主机
使用 Enrich Host 操作,利用 Microsoft Entra ID 中的信息来扩充 Google SecOps Host 实体。此操作会使用 Microsoft Entra ID 中的设备 displayName 字段,为提供的 Host 实体查找匹配项。
此操作在 Google SecOps Host 实体上运行。
操作输入
无。
操作输出
丰富主机操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化表
丰富主机操作支持以下实体丰富功能:
| 扩充项字段 | 逻辑 |
|---|---|
AAD_Name |
如果存在于 JSON 结果中,则返回。 |
AAD_Enabled |
如果存在于 JSON 结果中,则返回。 |
AAD_Property Device ID |
如果存在于 JSON 结果中,则返回。 |
AAD_OS |
如果存在于 JSON 结果中,则返回。 |
AAD_Version |
如果存在于 JSON 结果中,则返回。 |
AAD_Profile Type |
如果存在于 JSON 结果中,则返回。 |
AAD_Compliant |
如果存在于 JSON 结果中,则返回。 |
AAD_Last Sign In |
如果存在于 JSON 结果中,则返回。 |
JSON 结果
以下示例展示了使用丰富主机操作时收到的 JSON 结果输出:
[
{
"EntityResult": {
"deletedDateTime": "1234569",
"complianceExpirationDateTime": "1234567",
"profileType": "RegisteredDevice",
"key": "007",
"if":"889922-aaaa-123123"
},
"Entity": "us-lt-v13001"
}
]
输出消息
丰富主机操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Host details were not found. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich Host 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富用户
使用 Enrich User 操作,通过 Microsoft Entra ID 中的信息来扩充 Google SecOps User 实体。此操作需要您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps Host 实体上运行。
操作输入
无。
操作输出
丰富用户操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化表
丰富用户操作支持以下实体丰富:
| 扩充项字段 | 逻辑 |
|---|---|
AAD_Name |
如果存在于 JSON 结果中,则返回。 |
AAD_Mobile Phone |
如果存在于 JSON 结果中,则返回。 |
AAD_Preferred Language |
如果存在于 JSON 结果中,则返回。 |
AAD_Job Title |
如果存在于 JSON 结果中,则返回。 |
AAD_Username |
如果存在于 JSON 结果中,则返回。 |
JSON 结果
以下示例展示了使用丰富用户操作时收到的 JSON 结果输出:
[
{
"EntityResult": {
"displayName": "Test User",
"mobilePhone": "(800) 555-0175",
"preferredLanguage": "English",
"jobTitle": "Engineer",
"userPrincipalName":"ser@example.com"
},
"Entity": "user@example.com"
}
]
输出消息
丰富用户操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Users list fetch was not successful. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用丰富用户操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
强制更新密码
使用强制更新密码操作强制用户更新密码。 执行此操作后,系统会要求用户在下次尝试登录时更改密码。
强制更新密码操作要求您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps User 实体上运行。
配置其他权限
强制更新密码操作要求您为应用额外配置以下 API 权限:
User-PasswordProfile.ReadWrite.All
如需有关如何在 Microsoft Entra ID 中配置 API 权限的指南,请参阅本文档的配置 API 权限部分。
为应用分配角色
强制更新密码操作要求您为应用分配 Password
Administrator 角色。
如需为应用分配 Password Administrator 角色,请完成以下步骤:
- 使用您的 Microsoft 账号登录 Azure 门户。
- 在 Microsoft Entra ID 中,搜索角色和管理员。
- 从列表中选择或搜索
Password Administrator角色。 - 点击 Add Assignment。
- 选择您在集成中使用的账号(会员),然后点击下一步。
- 输入分配角色的理由。
- 点击分配。
操作输入
无。
操作输出
强制更新密码操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
强制更新密码操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Attempt to Force user password update was not successful.
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用强制更新密码操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取经理的联系信息
使用 Get Manager Contact Details 操作获取用户的经理联系信息。
获取经理人联系信息操作要求您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps User 实体上运行。
操作输入
无。
操作输出
获取经理联系信息操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
获取经理联系信息操作可在 Google SecOps 中返回下表:
表格名称:经理联系信息
列:
- 名称
- 电话号码
实体丰富化表
获取经理联系信息操作支持以下实体丰富功能:
| 扩充项字段 | 逻辑 |
|---|---|
Display Name |
如果存在于 JSON 结果中,则返回。 |
Mobile Phone |
如果存在于 JSON 结果中,则返回。 |
@odata.context |
如果存在于 JSON 结果中,则返回。 |
AAD_Job Title |
如果存在于 JSON 结果中,则返回。 |
AAD_Username |
如果存在于 JSON 结果中,则返回。 |
JSON 结果
以下示例展示了使用获取经理联系详情操作时收到的 JSON 结果输出:
[
{
"EntityResult":
{
"displayName": "manager@example.com",
"mobilePhone": "(800) 555-0175",
"@odata.context": "graph.microsoft.com"
},
"Entity": "user@example.com"
}
]
输出消息
获取经理联系信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Could not fetch user manager's details successfully. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Manager Contact Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
用户是否在群组中
使用 Is User in Group 操作检查用户是否是特定 Microsoft Entra ID 群组的成员。此操作要求您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps User 实体上运行。
操作输入
用户是否在群组中操作需要以下参数:
| 参数 | 说明 |
|---|---|
Group ID |
必需
要将用户添加到的 Microsoft Entra ID 群组的 ID,例如 |
操作输出
用户是否属于群组操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用用户是否在群组中操作时收到的 JSON 结果输出:
[
{
"EntityResult": "true",
"Entity": "user@example.com"
}
]
输出消息
用户是否在群组中操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
User was not found in the group. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Is User in Group 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出群组
使用 List Groups 操作可根据指定的搜索条件列出 Microsoft Entra ID 群组。
对于列出群组操作,过滤条件适用于 Name 字段。
此操作不适用于 Google SecOps 实体。
操作输入
列出群组操作需要以下参数:
| 参数 | 说明 |
|---|---|
Order By |
可选
按名称对返回的群组进行排序的顺序。 默认值为 可能的值如下:
|
Results Limit |
可选
要返回的群组数量上限。 |
Filter Logic |
可选
按名称过滤群组的逻辑。 默认值为 可能的值如下:
|
Filter Value |
可选
用于根据所选过滤条件逻辑过滤群组的值。此值适用于群组名称。 如果您选择 如果您未设置值,则不会应用过滤条件。 |
操作输出
列出群组操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
“列出群组”操作可在 Google SecOps 中返回下表:
表格名称:Groups
列:
- 名称
- ID
- 说明
- 邮件
- 创建时间
- 群组类型
实体丰富化表
列出群组操作支持以下实体丰富功能:
| 扩充项字段 | 逻辑 |
|---|---|
Group Type |
如果存在于 JSON 结果中,则返回。 |
ID |
如果存在于 JSON 结果中,则返回。 |
Name |
如果存在于 JSON 结果中,则返回。 |
Description |
如果存在于 JSON 结果中,则返回。 |
Created Time |
如果存在于 JSON 结果中,则返回。 |
JSON 结果
以下示例显示了使用列出群组操作时收到的 JSON 结果输出:
[
{
"Group Type": "managed",
"Id": "ID",
"Name": "Example",
"Description": "Example",
"Created Time":"2019-10-24T19:10:18Z"
}
]
输出消息
列出群组操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Groups list fetch was not successful. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用列出群组操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出群组中的成员
使用列出群组中的成员操作列出指定 Microsoft Entra ID 群组中的成员。
过滤逻辑基于 Filter Key 参数值运行。
此操作不适用于 Google SecOps 实体。
操作输入
列出群组中的成员操作需要以下参数:
| 参数 | 说明 |
|---|---|
Max Records To Return |
可选
要返回的记录数上限。 默认值为 50。 |
Group Name |
可选
要列出成员的 Microsoft Entra ID 群组的名称。 |
Group ID |
可选
要列出成员的 Microsoft Entra ID 群组的 ID。如果您同时配置了 |
Filter Key |
可选
用于过滤群组成员的字段,例如 可能的值如下:
|
Filter Logic |
可选
要应用于过滤器的逻辑。 可能的值如下:
|
Filter Value |
可选
用于根据所选 如果您选择 如果您未设置值,则不会应用过滤条件。 |
操作输出
列出群组中的成员操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
“列出群组中的成员”操作可在 Google SecOps 中返回下表:
表格名称:群组的可用成员
列:
- ID
- 用户主账号名称
- 显示名称
- 姓氏
- Given Name
- 邮件
- 职位
- 工作电话
- 手机
- 办公地点
- 首选语言
JSON 结果
以下示例展示了使用列出群组中的成员操作时收到的 JSON 结果输出:
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
"value": [
"ID",
"ID",
"ID",
]
}
输出消息
列出群组中的成员操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List Members in the Group". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用列出群组中的成员操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出用户的群组成员资格
使用列出用户的群组成员资格操作列出用户所属的 Microsoft Entra ID 群组。
您可以将用户名作为实体或操作输入参数提供。如果您将用户名同时配置为实体和输入参数,则操作会使用输入参数。
如需配置用户名,请遵循 username@domain 格式。
此操作在 Google SecOps Username 实体上运行。
操作输入
列出用户的群组成员资格操作需要以下参数:
| 参数 | 说明 |
|---|---|
User Name |
可选
要检索群组成员资格的用户名列表(以英文逗号分隔),例如 |
Return Only Security Enabled Groups |
可选
如果选中,则操作仅返回用户所属的启用安全功能的群组。 默认情况下未选中。 |
Return Detailed Groups Information |
可选
如果选择此操作,则会返回有关 Microsoft Entra ID 群组的详细信息。 默认情况下未选中。 |
Filter Key |
可选
用于过滤群组的键。 默认值为 可能的值如下:
|
Filter Logic |
可选
过滤群组时要应用的逻辑。 默认值为 可能的值如下所示:
|
Filter Value |
可选
用于过滤群组的值。 如果您选择 如果您未设置值,则不会应用过滤条件。 |
Max Records To Return |
可选
要返回的记录数上限。如果您未设置值,则该操作默认返回 50 条记录。 |
操作输出
列出用户的群组成员资格操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
列出用户群组成员资格操作可在 Google SecOps 中返回下表:
表格名称:Group Memberships
列:
- ID
- 显示名称
- 说明
- 已启用安全功能
- 安全标识符
- 创建日期时间
- Classification
- 公开范围
- 邮件
- 已启用邮件
- 邮件昵称
JSON 结果
以下示例展示了使用列出用户的群组成员身份操作时收到的 JSON 结果输出:
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
"value": [
"ID",
"ID",
"ID",
]
}
输出消息
列出用户群组成员资格操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "List User's Groups Membership". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 List User's Groups Membership 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出用户
使用 List Users 操作可根据指定的搜索条件列出 Microsoft Entra ID 用户。
对于列出用户操作,过滤条件适用于 Username (userPrincipalName) 字段。
此操作不适用于 Google SecOps 实体。
操作输入
列出用户操作需要以下参数:
| 参数 | 说明 |
|---|---|
Filter |
可选
要包含在结果中的字段。 默认值为 可能的值如下:
|
Order By Field |
可选
用于对结果进行排序的字段。 默认值为 可能的值如下:
|
Order By |
可选
结果的顺序(升序或降序)。 默认值为 可能的值如下:
|
Results Limit |
可选
要返回的用户数量上限。 |
Advanced Filter Logic |
可选
用于高级过滤的逻辑,适用于 默认值为 可能的值如下所示:
|
Advanced Filter Value |
可选
要在高级过滤条件中使用的 如果您选择 如果您未设置值,则不会应用过滤条件。 |
操作输出
列出用户 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
列出用户操作可在 Google SecOps 中返回下表:
表名称:Users
列:
- 名称
- 用户名
- ID
- 名字
- 首选语言
- 邮件
- 手机
- 姓氏
- 职位
实体丰富化表
列出用户操作支持以下实体丰富功能:
| 扩充项字段 | 逻辑 |
|---|---|
Username |
如果存在于 JSON 结果中,则返回。 |
Surname |
如果存在于 JSON 结果中,则返回。 |
Name |
如果存在于 JSON 结果中,则返回。 |
Job Title |
如果存在于 JSON 结果中,则返回。 |
Mail |
如果存在于 JSON 结果中,则返回。 |
JSON 结果
以下示例展示了使用列出用户操作时收到的 JSON 结果输出:
[
{
"Group Type": "managed",
"Id": "ID",
"Name": "Example",
"Description": "Example",
"Created Time":"2019-10-24T19:10:18Z"
}
]
输出消息
列出用户操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
User list fetch was not successful. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用列出用户操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 Microsoft Entra ID 的连接。
此操作会在所有 Google SecOps 实体上运行。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Connection could not be established successfully. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
从群组中移除用户
使用从群组中移除用户操作可从 Microsoft Entra ID 中的指定群组中移除用户。
您可以将用户名作为实体或操作输入参数提供。如果您将用户名同时配置为实体和输入参数,则操作会使用输入参数。
如需配置用户名,请遵循 username@domain 格式。
此操作在 Google SecOps Username 实体上运行。
操作输入
从群组中移除用户操作需要以下参数:
| 参数 | 说明 |
|---|---|
User Name |
可选
要从指定群组中移除的用户名(以英文逗号分隔)。
如需配置此参数值,请使用 如果您未设置值,则操作会针对操作事件中用户实体的用户名运行。 |
Group Name |
可选
要从中移除用户的群组的名称。 |
Group ID |
可选
要从中移除用户的群组的 ID。 如果您同时设置了 |
操作输出
从群组中移除用户操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
从群组中移除用户操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Remove User from the Group". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用从群组中移除用户操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
重置用户密码
使用 Reset User Password(重置用户密码)操作将用户密码重置为您在该操作中指定的密码。执行此操作后,系统会要求用户在下次尝试登录时更改密码。
重置用户密码操作要求您以 username@domain 格式配置 User 实体。
此操作在 Google SecOps User 实体上运行。
为应用分配角色
重置用户密码操作要求您为应用分配 Password
Administrator 角色。
如需为应用分配 Password Administrator 角色,请完成以下步骤:
- 使用您的 Microsoft 账号登录 Azure 门户。
- 在 Microsoft Entra ID 中,搜索角色和管理员。
- 从列表中选择或搜索
Password Administrator角色。 - 点击 Add Assignment。
- 选择您在集成中使用的账号(会员),然后点击下一步。
- 输入分配角色的理由。
- 点击分配。
操作输入
重置用户密码操作需要以下参数:
| 参数 | 说明 |
|---|---|
Password |
必需
要为用户设置的新密码。 |
操作输出
重置用户密码操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
重置用户密码操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
User password reset was not successful. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用重置用户密码操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
撤消用户会话
使用撤消用户会话操作撤消用户会话。
此操作可在以下 Google SecOps 实体上运行:
UsernameEmail Address
操作输入
无。
操作输出
撤消用户会话操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用撤消用户会话操作时收到的 JSON 结果输出:
如果用户存在:
{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean", "value": true }如果找不到用户:
{ "error": "User not found." }
输出消息
撤消用户会话操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Revoke User Session". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用撤消用户会话操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。