将 Microsoft Entra ID 与 Google SecOps 集成

本文档提供了有关如何将 Microsoft Entra ID 与 Google Security Operations (Google SecOps) 集成的指南。

集成版本：18.0

此集成使用一个或多个开源组件。您可以从 Cloud Storage 存储分区下载此集成的完整源代码的压缩副本。

使用场景

将 Microsoft Entra ID 与 Google SecOps 集成有助于您解决以下使用场景：

用户账号管理：利用 Google SecOps 功能，根据安全事件（例如疑似账号遭到入侵或员工离职）自动停用和启用 Microsoft Entra ID 中的用户账号。
密码重置：使用 Google SecOps 功能来编排对遭入侵的账号或被锁定账号的用户进行的密码重置。重置密码有助于简化密码恢复流程并减少帮助台收到的工单。
群组管理：使用 Google SecOps 功能自动创建、修改和删除 Microsoft Entra ID 群组。
强制执行条件访问权限政策：在 Google SecOps playbook 中使用 Microsoft Entra ID 条件访问权限政策，根据情境动态控制访问权限，并根据位置、设备和用户风险等因素对资源访问权限进行精细控制。
安全提醒和突发事件响应：将 Microsoft Entra ID 安全提醒集成到 Google SecOps 中，以实现突发事件响应工作流的自动化。

准备工作

在 Google SecOps 平台中配置集成之前，请完成以下步骤：

配置网络访问权限。
创建 Microsoft Entra 应用。
为应用配置 API 权限。
创建客户端密钥。

配置网络访问权限

如需启用从 Google SecOps 到 Microsoft Entra ID 的 API 访问权限，请允许通过 443 端口传输流量。

创建 Microsoft Entra 应用

以用户管理员或密码管理员身份登录 Azure 门户。
选择 Microsoft Entra ID。
依次前往应用注册 > 新注册。
输入应用的名称。
点击注册。
保存应用（客户端）ID 和目录（租户）ID 值，以便稍后在配置集成参数时使用。

配置 API 权限

依次前往 API 权限 > 添加权限。
依次选择 Microsoft Graph > 应用权限。
在选择权限部分，选择以下权限：
- Directory.Read.All
- Directory.ReadWrite.All
- Group.ReadWrite.All
- User.ReadWrite.All
  
  这些权限不足以运行与密码相关的操作。如需运行强制更新密码和重置用户密码操作，请在 Microsoft Entra ID 中使用角色和管理员搜索功能，为您的应用分配密码管理员角色。
  
  如需详细了解权限，请参阅 Microsoft Graph 权限参考和敏感操作。
点击添加权限。
点击为YOUR_ORGANIZATION_NAME授予管理员同意书。

当授予管理员同意权限确认对话框出现时，点击是。

创建客户端密钥

依次前往证书和密钥 > 新客户端密钥。
为客户端密钥提供说明并设置其失效期限。
点击添加。
保存客户端密钥的值（而非密钥 ID），以便在配置集成时将其用作 Client Secret 参数值。客户端密钥值仅显示一次。

将 Microsoft Entra ID 与 Google SecOps 集成

Microsoft Entra ID 集成需要以下参数：

参数	说明
`Login API Root`	可选用于向 Microsoft Identity Platform 进行身份验证的 API 根。默认值为 `https://login.microsoftonline.com`。
`API Root`	可选 Azure Active Directory 实例的 API 根。默认值为 `https://graph.microsoft.com`。
`Client ID`	必需 Microsoft Entra ID 账号的应用（客户端）ID 值。
`Client Secret`	必需 Microsoft Entra ID 账号的客户端密钥值。
`Directory ID`	必需您的 Microsoft Entra ID 账号的目录（租户）ID 值。
`Verify SSL`	可选如果选择此选项，集成会验证用于连接到 Microsoft Entra ID 服务器的 SSL 证书是否有效。此选项将会默认选中。

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如果需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

如需详细了解操作，请参阅处理工作台中的待处理操作和执行手动操作。

将用户添加到群组

使用向群组添加用户操作可将用户添加到特定的 Microsoft Entra ID 群组。此操作要求您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps User 实体上运行。

操作输入

将用户添加到群组操作需要以下参数：

参数	说明
`Group ID`	必需要将用户添加到的 Microsoft Entra ID 群组的 ID，例如 `00e40000-1971-439d-80fc-d0e000001dbd`。

操作输出

将用户添加到群组操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

将用户添加到群组操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Member USER_ID was added to the group GROUP_ID successfully.` `Some errors occurred. Please check the logs.`	操作成功。
`Member could not be added successfully.`	操作失败。检查与服务器的连接、输入参数或凭据。

Member USER_ID was added to the group GROUP_ID successfully.

Some errors occurred. Please check the logs.

操作成功。

Member could not be added successfully.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用将用户添加到群组操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

停用账号

使用 Disable Account 操作可在 Microsoft Entra ID 中停用账号。此操作要求您以 username@domain 格式配置 User 实体。

如需运行停用账号操作，请向您在集成中使用的 Microsoft Entra ID 账号授予管理员权限。

此操作在 Google SecOps User 实体上运行。

配置其他权限

停用账号操作需要您为应用额外配置以下 API 权限：

User.EnableDisableAccount.All

如需有关如何在 Microsoft Entra ID 中配置 API 权限的指南，请参阅本文档的配置 API 权限部分。

操作输入

无。

操作输出

停用账号操作会提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

停用账号操作可能会返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`User account disabled successfully.` `Some errors occurred. Please check the logs.`	操作成功。
`Disable user account was not successful.`	操作失败。检查与服务器的连接、输入参数或凭据。

User account disabled successfully.

Some errors occurred. Please check the logs.

操作成功。

Disable user account was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用停用账号操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

启用账号

使用 Enable Account 操作在 Microsoft Entra ID 中启用账号。此操作要求您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps User 实体上运行。

配置其他权限

启用账号操作需要您为应用额外配置以下 API 权限：

User.EnableDisableAccount.All

如需有关如何在 Microsoft Entra ID 中配置 API 权限的指南，请参阅本文档的配置 API 权限部分。

操作输入

无。

操作输出

启用账号操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

启用账号操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`User account was enabled successfully.` `Some errors occurred. Please check the logs.`	操作成功。
`Enable user account was not successful.`	操作失败。检查与服务器的连接、输入参数或凭据。

User account was enabled successfully.

Some errors occurred. Please check the logs.

操作成功。

Enable user account was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Enable Account 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

丰富主机

使用 Enrich Host 操作，通过 Microsoft Entra ID 中的信息来扩充 Google SecOps Host 实体。此操作会使用 Microsoft Entra ID 中的设备 displayName 字段，为提供的 Host 实体查找匹配项。

此操作在 Google SecOps Host 实体上运行。

操作输入

无。

操作输出

丰富主机操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
实体丰富表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

实体丰富表

丰富主机操作支持以下实体丰富功能：

扩充项字段	逻辑
`AAD_Name`	如果存在于 JSON 结果中，则返回。
`AAD_Enabled`	如果存在于 JSON 结果中，则返回。
`AAD_Property Device ID`	如果存在于 JSON 结果中，则返回。
`AAD_OS`	如果存在于 JSON 结果中，则返回。
`AAD_Version`	如果存在于 JSON 结果中，则返回。
`AAD_Profile Type`	如果存在于 JSON 结果中，则返回。
`AAD_Compliant`	如果存在于 JSON 结果中，则返回。
`AAD_Last Sign In`	如果存在于 JSON 结果中，则返回。

JSON 结果

以下示例展示了使用丰富主机操作时收到的 JSON 结果输出：

[
    {
        "EntityResult": {
            "deletedDateTime": "1234569",
            "complianceExpirationDateTime": "1234567",
            "profileType": "RegisteredDevice",
            "key": "007",
            "if":"889922-aaaa-123123"
        },
        "Entity": "us-lt-v13001"
    }
]

输出消息

丰富主机操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Host details were fetched successfully: HOSTNAME.` `Some errors occurred. Please check log.`	操作成功。
`Host details were not found.`	操作失败。检查与服务器的连接、输入参数或凭据。

Host details were fetched successfully: HOSTNAME.

Some errors occurred. Please check log.

操作成功。

Host details were not found.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Enrich Host 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

丰富用户

使用 Enrich User 操作，通过 Microsoft Entra ID 中的信息来丰富 Google SecOps User 实体。此操作需要您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps Host 实体上运行。

操作输入

无。

操作输出

丰富用户操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
实体丰富表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

实体丰富表

丰富用户操作支持以下实体丰富：

扩充项字段	逻辑
`AAD_Name`	如果存在于 JSON 结果中，则返回。
`AAD_Mobile Phone`	如果存在于 JSON 结果中，则返回。
`AAD_Preferred Language`	如果存在于 JSON 结果中，则返回。
`AAD_Job Title`	如果存在于 JSON 结果中，则返回。
`AAD_Username`	如果存在于 JSON 结果中，则返回。

JSON 结果

以下示例展示了使用丰富用户操作时收到的 JSON 结果输出：

[
    {
        "EntityResult": {
            "displayName": "Test User",
            "mobilePhone": "(800) 555-0175",
            "preferredLanguage": "English",
            "jobTitle": "Engineer",
            "userPrincipalName":"ser@example.com"
        },
        "Entity": "user@example.com"
    }
]

输出消息

丰富用户操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`User details were fetched successfully: USERNAME.` `Some errors occurred. Please check the logs.`	操作成功。
`Users list fetch was not successful.`	操作失败。检查与服务器的连接、输入参数或凭据。

User details were fetched successfully: USERNAME.

Some errors occurred. Please check the logs.

操作成功。

Users list fetch was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Enrich User 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

强制更新密码

使用强制更新密码操作强制用户更新密码。执行此操作后，系统会要求用户在下次尝试登录时更改密码。

强制更新密码操作要求您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps User 实体上运行。

配置其他权限

强制更新密码操作要求您为应用额外配置以下 API 权限：

User-PasswordProfile.ReadWrite.All

如需有关如何在 Microsoft Entra ID 中配置 API 权限的指南，请参阅本文档的配置 API 权限部分。

为您的应用分配角色

强制更新密码操作要求您为应用分配 Password Administrator 角色。

如需向应用分配 Password Administrator 角色，请完成以下步骤：

使用您的 Microsoft 账号登录 Azure 门户。
在 Microsoft Entra ID 中，搜索角色和管理员。
从列表中选择或搜索 Password Administrator 角色。
点击添加分配。
选择您在集成中使用的账号（会员），然后点击下一步。
输入分配角色的理由。
点击分配。

操作输入

无。

操作输出

强制更新密码操作会提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

强制更新密码操作可能会返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Force password update on the user was successful.` `Some errors occurred. Please check the logs.`	操作成功。
`Attempt to Force user password update was not successful.`	操作失败。检查与服务器的连接、输入参数或凭据。

Force password update on the user was successful.

Some errors occurred. Please check the logs.

操作成功。

Attempt to Force user password update was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用强制更新密码操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取经理的联系信息

使用 Get Manager Contact Details 操作获取用户的经理联系信息。

获取经理联系信息操作要求您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps User 实体上运行。

操作输入

获取经理联系信息操作需要以下参数：

参数说明

参数	说明
`Fields To Return`	可选。要检索的特定经理人资料属性的英文逗号分隔列表。如果未提供任何值，该操作会返回 API 定义的默认属性集。默认值为 accountEnabled,ageGroup,assignedLicenses, businessPhones,city,companyName,consentProvidedForMinor,country, createdDateTime,creationType,department,displayName,mail,employeeId, employeeHireDate,employeeOrgData,employeeType,onPremisesExtensionAttributes, externalUserStateChangeDateTime,faxNumber,givenName,imAddresses,identities, externalUserState,jobTitle,surname,lastPasswordChangeDateTime, legalAgeGroupClassification,mailNickname,mobilePhone,id,officeLocation, onPremisesSamAccountName,onPremisesDistinguishedName,onPremisesDomainName, onPremisesImmutableId,onPremisesLastSyncDateTime, onPremisesProvisioningErrors,onPremisesSecurityIdentifier, onPremisesSyncEnabled,onPremisesUserPrincipalName,otherMails, passwordPolicies,passwordProfile,preferredDataLocation,preferredLanguage, proxyAddresses,signInSessionsValidFromDateTime,sponsors,state,streetAddress, usageLocation,userPrincipalName,userType,postalCode,authorizationInfo, deletedDateTime,showInAddressList,isResourceAccount, refreshTokensValidFromDateTime。

Fields To Return

可选。

要检索的特定经理人资料属性的英文逗号分隔列表。

如果未提供任何值，该操作会返回 API 定义的默认属性集。

默认值为 accountEnabled,ageGroup,assignedLicenses, businessPhones,city,companyName,consentProvidedForMinor,country, createdDateTime,creationType,department,displayName,mail,employeeId, employeeHireDate,employeeOrgData,employeeType,onPremisesExtensionAttributes, externalUserStateChangeDateTime,faxNumber,givenName,imAddresses,identities, externalUserState,jobTitle,surname,lastPasswordChangeDateTime, legalAgeGroupClassification,mailNickname,mobilePhone,id,officeLocation, onPremisesSamAccountName,onPremisesDistinguishedName,onPremisesDomainName, onPremisesImmutableId,onPremisesLastSyncDateTime, onPremisesProvisioningErrors,onPremisesSecurityIdentifier, onPremisesSyncEnabled,onPremisesUserPrincipalName,otherMails, passwordPolicies,passwordProfile,preferredDataLocation,preferredLanguage, proxyAddresses,signInSessionsValidFromDateTime,sponsors,state,streetAddress, usageLocation,userPrincipalName,userType,postalCode,authorizationInfo, deletedDateTime,showInAddressList,isResourceAccount, refreshTokensValidFromDateTime。

操作输出

获取经理联系信息操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
实体丰富表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

“支持请求墙”表格

获取经理联系信息操作可在 Google SecOps 中返回下表：

表格名称：经理联系信息

列：

名称
电话号码

实体丰富表

获取经理联系信息操作支持以下实体扩充：

扩充项字段	逻辑
`Display Name`	如果存在于 JSON 结果中，则返回。
`Mobile Phone`	如果存在于 JSON 结果中，则返回。
`@odata.context`	如果存在于 JSON 结果中，则返回。
`AAD_Job Title`	如果存在于 JSON 结果中，则返回。
`AAD_Username`	如果存在于 JSON 结果中，则返回。

JSON 结果

以下示例展示了使用获取经理联系信息操作时收到的 JSON 结果输出：

[
    {
        "EntityResult":
        {
            "displayName": "manager@example.com",
            "mobilePhone": "(800) 555-0175",
            "@odata.context": "graph.microsoft.com"
        },
        "Entity": "user@example.com"
    }
]

输出消息

获取经理人联系信息操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`User manager details were fetched successfully.` `Some errors occurred. Please check the logs.`	操作成功。
`Could not fetch user manager's details successfully.`	操作失败。检查与服务器的连接、输入参数或凭据。

User manager details were fetched successfully.

Some errors occurred. Please check the logs.

操作成功。

Could not fetch user manager's details successfully.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Get Manager Contact Details 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

Is User in Group

使用 Is User in Group 操作检查用户是否是特定 Microsoft Entra ID 群组的成员。此操作要求您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps User 实体上运行。

操作输入

Is User in Group 操作需要以下参数：

参数	说明
`Group ID`	必需要将用户添加到的 Microsoft Entra ID 群组的 ID，例如 `00e40000-1971-439d-80fc-d0e000001dbd`。

操作输出

用户是否在群组中操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用用户是否在群组中操作时收到的 JSON 结果输出：

[
    {
        "EntityResult": "true",
        "Entity": "user@example.com"
    }
]

输出消息

用户是否在群组中操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`The following user was found in the group: USER_ID.` `Some errors occurred. Please check the logs.`	操作成功。
`User was not found in the group.`	操作失败。检查与服务器的连接、输入参数或凭据。

The following user was found in the group: USER_ID.

Some errors occurred. Please check the logs.

操作成功。

User was not found in the group.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Is User in Group 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

列出群组

使用 List Groups 操作可根据指定的搜索条件列出 Microsoft Entra ID 群组。

对于列出群组操作，过滤条件适用于 Name 字段。

此操作不适用于 Google SecOps 实体。

操作输入

列出群组操作需要以下参数：

参数	说明
`Order By`	可选按名称对返回的群组进行排序的顺序。默认值为 `ASC`。可能的值如下： `DESC` `ASC`
`Results Limit`	可选要返回的群组数量上限。
`Filter Logic`	可选按名称过滤群组的逻辑。默认值为 `Equal`。可能的值如下： `Equal` `Contains`
`Filter Value`	可选用于根据所选过滤条件逻辑过滤群组的值。此值适用于群组名称。如果您选择 `Equal`，该操作会尝试在结果中找到完全匹配项。如果您选择 `Contain`，该操作会尝试查找包含所提供子字符串的结果。如果您未设置值，则系统不会应用过滤条件。

操作输出

列出群组操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
实体丰富表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

“支持请求墙”表格

“列出群组”操作可在 Google SecOps 中返回下表：

表格名称：Groups

列：

名称
ID
说明
邮件
创建时间
群组类型

实体丰富表

列出群组操作支持以下实体丰富功能：

扩充项字段	逻辑
`Group Type`	如果存在于 JSON 结果中，则返回。
`ID`	如果存在于 JSON 结果中，则返回。
`Name`	如果存在于 JSON 结果中，则返回。
`Description`	如果存在于 JSON 结果中，则返回。
`Created Time`	如果存在于 JSON 结果中，则返回。

JSON 结果

以下示例展示了使用列出群组操作时收到的 JSON 结果输出：

[
  {
    "Group_Type": "managed",
    "Id": "1212-12312-123",
    "Name": "Group Name",
    "Description": "This group is ...",
    "Created_Time": "2019-10-24T19:10:18Z",
    "onPremisesSamAccountName": "alext"
  }
]

输出消息

列出群组操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Groups list was fetched successfully.` `Some errors occurred. Please check the logs.`	操作成功。
`Groups list fetch was not successful.`	操作失败。检查与服务器的连接、输入参数或凭据。

Groups list was fetched successfully.

Some errors occurred. Please check the logs.

操作成功。

Groups list fetch was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用列出群组操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

列出群组中的成员

使用列出群组中的成员操作列出指定 Microsoft Entra ID 群组中的成员。

过滤逻辑基于 Filter Key 参数值运行。

此操作不适用于 Google SecOps 实体。

操作输入

列出群组中的成员操作需要以下参数：

参数	说明
`Max Records To Return`	可选要返回的记录数上限。默认值为 50。
`Group Name`	可选要列出成员的 Microsoft Entra ID 群组的名称。
`Group ID`	可选要列出成员的 Microsoft Entra ID 群组的 ID。如果您同时配置了 `Group Name` 和 `Group ID` 参数，该操作会使用 `Group ID` 参数值。
`Filter Key`	可选用于过滤群组成员的字段，例如 `User Display Name`。可能的值如下： `Select One` `User Display Name` `User Principal Name` `User Mail Name`
`Filter Logic`	可选要应用于过滤器的逻辑。可能的值如下： `Not Specified` `Equal` `Contains`
`Filter Value`	可选用于根据所选 `Filter Key` 和 `Filter Logic` 参数值过滤群组成员的值。如果您选择 `Equal`，该操作会尝试在结果中找到完全匹配项。如果您选择 `Contain`，该操作会尝试查找包含所提供子字符串的结果。如果您未设置值，则系统不会应用过滤条件。

操作输出

列出群组中的成员操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

“支持请求墙”表格

“列出群组中的成员”操作可在 Google SecOps 中返回下表：

表格名称：群组的可用成员

列：

ID
用户主账号名称
显示名称
姓氏
Given Name
邮件
职位
商务电话
手机
办公地点
首选语言

JSON 结果

以下示例展示了使用列出群组中的成员操作时收到的 JSON 结果输出：

[
  {
    "@odata.type": "#microsoft.graph.user",
    "id": "b786d3cf-e97d-4511-b61c-0559e9f4da75",
    "businessPhones": [],
    "displayName": "Alex T",
    "givenName": "Alex",
    "jobTitle": "Software Engineer",
    "mail": "alex.t@example.com",
    "mobilePhone": null,
    "officeLocation": "Building A",
    "preferredLanguage": "en-US",
    "surname": "T",
    "userPrincipalName": "alex.t@example.com"
  }
]

输出消息

列出群组中的成员操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully found members for the provided criteria in Azure AD group.` `No members were found for the provided criteria in Azure AD group.` `The filter was not applied, because parameter "Filter Value" has an empty value.`	操作成功。
`Error executing action "List Members in the Group". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully found members for the provided criteria in Azure AD group.

No members were found for the provided criteria in Azure AD group.

The filter was not applied, because parameter "Filter Value" has an empty value.

操作成功。

Error executing action "List Members in the Group". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用列出群组中的成员操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

列出用户的群组成员资格

使用列出用户的群组成员资格操作列出用户所属的 Microsoft Entra ID 群组。

您可以将用户名作为实体或操作输入参数提供。如果您将用户名同时配置为实体和输入参数，则操作会使用输入参数。

如需配置用户名，请遵循 username@domain 格式。

此操作在 Google SecOps Username 实体上运行。

操作输入

列出用户的群组成员资格操作需要以下参数：

参数	说明
`User Name`	可选以英文逗号分隔的用户名列表，用于检索相应用户的群组成员资格，例如 `username@domain`。如果您未设置值，该操作将使用 `Username` 实体的用户标识符。
`Return Only Security Enabled Groups`	可选如果选中，则操作仅返回用户所属的启用安全功能的群组。默认情况下未选中。
`Return Detailed Groups Information`	可选如果选择此项，该操作会返回有关 Microsoft Entra ID 群组的详细信息。默认情况下未选中。
`Filter Key`	可选用于过滤群组的键。默认值为 `Select One`。可能的值如下： `Select One` `Group Display Name` `Group Description`
`Filter Logic`	可选过滤群组时要应用的逻辑。默认值为 `Not Specified`。可能的值如下所示： `Not Specified` `Equal` `Contains`
`Filter Value`	可选用于过滤群组的值。如果您选择 `Equal`，该操作会尝试在结果中找到完全匹配项。如果您选择 `Contain`，该操作会尝试查找包含所提供子字符串的结果。如果您未设置值，则系统不会应用过滤条件。
`Max Records To Return`	可选要返回的记录数上限。如果您未设置值，则该操作默认返回 50 条记录。

操作输出

列出用户的群组成员资格操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

“支持请求墙”表格

列出用户群组成员资格操作可在 Google SecOps 中返回下表：

表格名称：Group Memberships

列：

ID
显示名称
说明
已启用安全功能
安全标识符
创建日期时间
Classification
公开范围
邮件
已启用邮件
邮件昵称

JSON 结果

以下示例展示了使用列出用户的群组成员身份操作时收到的 JSON 结果输出：

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "ID",
        "ID",
        "ID",
    ]
}

输出消息

列出用户的群组成员身份操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully found groups for the provided criteria for the following entities: ENTITY_ID` `The following entities were not found in the Azure AD: ENTITY_ID` `No groups were found in Azure Active Directory for the following entities: ENTITY_ID` `The filter was not applied, because parameter "Filter Value" has an empty value.`	操作成功。
`Error executing action "List User's Groups Membership". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully found groups for the provided criteria for the following entities: ENTITY_ID

The following entities were not found in the Azure AD: ENTITY_ID

No groups were found in Azure Active Directory for the following entities: ENTITY_ID

The filter was not applied, because parameter "Filter Value" has an empty value.

操作成功。

Error executing action "List User's Groups Membership". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用列出用户的群组成员资格操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

列出用户

使用 List Users 操作可根据指定的搜索条件列出 Microsoft Entra ID 用户。

对于列出用户操作，过滤条件适用于 Username (userPrincipalName) 字段。

此操作不适用于 Google SecOps 实体。

操作输入

列出用户操作需要以下参数：

参数	说明
`Filter`	可选要包含在结果中的字段。默认值为 `All Fields`。可能的值如下： `All Fields` `displayName` `userPrincipalName` `id` `jobTitle` `mail` `mobilePhone` `preferredLanguage` `surname` `givenName`
`Order By Field`	可选用于对结果进行排序的字段。默认值为 `displayName`。可能的值如下： `displayName` `userPrincipalName`
`Order By`	可选结果的顺序（升序或降序）。默认值为 `ASC`。可能的值如下： `DESC` `ASC`
`Results Limit`	可选要返回的用户数量上限。
`Advanced Filter Logic`	可选用于高级过滤的逻辑，适用于 `Username` (`userPrincipalName`) 字段。默认值为 `Equal`。可能的值如下所示： `Equal` `Contains`
`Advanced Filter Value`	可选要在高级过滤条件中使用的 `Username` (`userPrincipalName`) 字段的值。如果您选择 `Equal`，该操作会尝试在结果中找到完全匹配项。如果您选择 `Contain`，该操作会尝试查找包含所提供子字符串的结果。如果您未设置值，则系统不会应用过滤条件。

操作输出

列出用户操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
实体丰富表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

“支持请求墙”表格

列出用户操作可在 Google SecOps 中返回下表：

表名称：Users

列：

名称
用户名
ID
名字
首选语言
邮件
手机
姓氏
职位

实体丰富表

列出用户操作支持以下实体丰富功能：

扩充项字段	逻辑
`Username`	如果存在于 JSON 结果中，则返回。
`Surname`	如果存在于 JSON 结果中，则返回。
`Name`	如果存在于 JSON 结果中，则返回。
`Job Title`	如果存在于 JSON 结果中，则返回。
`Mail`	如果存在于 JSON 结果中，则返回。

JSON 结果

以下示例展示了使用列出用户操作时收到的 JSON 结果输出：

[
    {
        "Group Type": "managed",
        "Id": "ID",
        "Name": "Example",
        "Description": "Example",
        "Created Time":"2019-10-24T19:10:18Z"
    }
]

输出消息

列出用户操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`List of users was fetched successfully.` `Some errors occurred. Please check the logs.`	操作成功。
`User list fetch was not successful.`	操作失败。检查与服务器的连接、输入参数或凭据。

List of users was fetched successfully.

Some errors occurred. Please check the logs.

操作成功。

User list fetch was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用列出用户操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

Ping

使用 Ping 操作测试与 Microsoft Entra ID 的连接。

此操作会在所有 Google SecOps 实体上运行。

操作输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

Ping 操作可以返回以下输出消息：

输出消息消息说明

Connection established successfully.

操作成功。

Connection could not be established successfully.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

从群组中移除用户

使用从群组中移除用户操作可从 Microsoft Entra ID 中的指定群组中移除用户。

您可以将用户名作为实体或操作输入参数提供。如果您将用户名同时配置为实体和输入参数，则操作会使用输入参数。

如需配置用户名，请遵循 username@domain 格式。

此操作在 Google SecOps Username 实体上运行。

操作输入

从群组中移除用户操作需要以下参数：

参数说明

User Name

可选

要从指定群组中移除的用户名（以英文逗号分隔）。如需配置此参数值，请使用 username@domain 格式。

如果您未设置值，则该操作会针对操作事件中用户实体的用户名运行。

Group Name

可选

要从中移除用户的群组的名称。

Group ID

可选

要从中移除用户的群组的 ID。

如果您同时设置了 Group Name 和 Group ID 参数，操作会优先考虑 Group ID 值。

操作输出

从群组中移除用户操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

从群组中移除用户操作可以返回以下输出消息：

输出消息消息说明

Successfully removed the following entities from the Azure AD group: ENTITY_ID

The following entities were not found in the Azure AD: ENTITY_ID

No usernames were removed from the Azure AD group.

操作成功。

Error executing action "Remove User from the Group". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用从群组中移除用户操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

重置用户密码

使用 Reset User Password（重置用户密码）操作将用户密码重置为您在该操作中指定的密码。执行此操作后，系统会要求用户在下次尝试登录时更改密码。

重置用户密码操作要求您以 username@domain 格式配置 User 实体。

此操作在 Google SecOps User 实体上运行。

为您的应用分配角色

重置用户密码操作要求您为应用分配 Password Administrator 角色。

如需向应用分配 Password Administrator 角色，请完成以下步骤：

使用您的 Microsoft 账号登录 Azure 门户。
在 Microsoft Entra ID 中，搜索角色和管理员。
从列表中选择或搜索 Password Administrator 角色。
点击添加分配。
选择您在集成中使用的账号（会员），然后点击下一步。
输入分配角色的理由。
点击分配。

操作输入

重置用户密码操作需要以下参数：

参数	说明
`Password`	必需要为用户设置的新密码。

操作输出

重置用户密码操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

重置用户密码操作可能会返回以下输出消息：

输出消息消息说明

User password was reset successfully.

Some errors occurred. Please check the logs.

操作成功。

User password reset was not successful.

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用重置用户密码操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

撤消用户会话

使用撤消用户会话操作撤消用户会话。

此操作适用于以下 Google SecOps 实体：

Username
Email Address

操作输入

无。

操作输出

撤消用户会话操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用撤消用户会话操作时收到的 JSON 结果输出：

如果用户存在：

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean",
    "value": true
}

如果找不到用户：
```
{
    "error": "User not found."
}
```

输出消息

撤消用户会话操作可以返回以下输出消息：

输出消息消息说明

Successfully revoked sessions for the following users in Azure AD: ENTITY_ID

Action wasn't able to find the following users in Azure AD: ENTITY_ID

None of the provided users were found in Azure AD.

操作成功。

Error executing action "Revoke User Session". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用撤消用户会话操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`