將 Microsoft Entra ID 與 Google SecOps 整合
本文提供相關指引,說明如何整合 Microsoft Entra ID 與 Google Security Operations (Google SecOps)。
整合版本:18.0
這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼壓縮副本。
用途
將 Microsoft Entra ID 與 Google SecOps 整合,有助於解決下列用途:
使用者帳戶管理:根據安全事件 (例如疑似遭入侵或員工離職),使用 Google SecOps 功能自動停用及啟用 Microsoft Entra ID 中的使用者帳戶。
重設密碼:使用 Google SecOps 功能,為遭盜用的帳戶或無法登入帳戶的使用者重設密碼。重設密碼有助於簡化密碼救援程序,並減少服務中心收到的支援單。
群組管理:使用 Google SecOps 功能,自動建立、修改及刪除 Microsoft Entra ID 群組。
強制執行條件式存取政策:在 Google SecOps 劇本中使用 Microsoft Entra ID 條件式存取政策,根據情境動態控管存取權,並根據位置、裝置和使用者風險等因素,精細控管資源存取權。
安全警示和事件應變:將 Microsoft Entra ID 安全警示整合至 Google SecOps,自動執行事件應變工作流程。
事前準備
在 Google SecOps 平台中設定整合功能前,請完成下列步驟:
設定網路存取權。
建立 Microsoft Entra 應用程式。
設定應用程式的 API 權限。
建立用戶端密碼。
設定網路存取權
如要從 Google SecOps 啟用 Microsoft Entra ID 的 API 存取權,請允許透過 443 連接埠傳輸流量。
建立 Microsoft Entra 應用程式
以使用者管理員或密碼管理員身分登入 Azure 入口網站。
選取「Microsoft Entra ID」。
依序前往「App registrations」>「New registration」。
輸入應用程式名稱。
按一下「註冊」。
儲存「Application (client) ID」和「Directory (tenant) ID」值,稍後設定整合參數時會用到。
設定 API 權限
前往「API 權限」> 新增權限。
依序選取「Microsoft Graph」>「應用程式權限」。
在「Select Permissions」部分,選取下列權限:
Directory.Read.AllDirectory.ReadWrite.AllGroup.ReadWrite.AllUser.ReadWrite.All這些權限不足以執行密碼相關動作。如要執行「Force Password Update」(強制更新密碼)和「Reset User Password」(重設使用者密碼)動作,請在 Microsoft Entra ID 中使用「Roles and administrators」(角色和管理員)搜尋功能,將「Password Administrator」(密碼管理員) 角色指派給應用程式。
如要進一步瞭解權限,請參閱「Microsoft Graph 權限參考資料」和「敏感動作」。
按一下「Add permissions」。
按一下「Grant admin consent for <租用戶>」
YOUR_ORGANIZATION_NAME。畫面出現「授予管理員同意聲明確認」對話方塊時,按一下「是」。
建立用戶端密鑰
依序前往「Certificates and secrets」(憑證和密鑰) >「New client secret」(新增用戶端密鑰)。
提供用戶端密鑰的說明,並設定到期期限。
按一下「新增」。
儲存用戶端密鑰的值 (而非密鑰 ID),在設定整合時做為
Client Secret參數值。用戶端密鑰值只會顯示一次。
將 Microsoft Entra ID 與 Google SecOps 整合
整合 Microsoft Entra ID 時,需要下列參數:
| 參數 | 說明 |
|---|---|
Login API Root |
選填
用於向 Microsoft Identity Platform 驗證的 API 根目錄。 預設值為 |
API Root |
選填
Azure Active Directory 執行個體的 API 根目錄。 預設值為 |
Client ID |
必要
Microsoft Entra ID 帳戶的應用程式 (用戶端) ID 值。 |
Client Secret |
必要
Microsoft Entra ID 帳戶的用戶端密鑰值。 |
Directory ID |
必要
Microsoft Entra ID 帳戶的目錄 (租戶) ID 值。 |
Verify SSL |
選填
如果選取這個選項,整合服務會驗證用於連線至 Microsoft Entra ID 伺服器的 SSL 憑證是否有效。 (此為預設選項)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您之後可以變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「從工作區回覆待處理動作」和「執行手動動作」。
將使用者加入群組
使用「將使用者加入群組」動作,將使用者加入特定 Microsoft Entra ID 群組。這項動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps User 實體上執行。
動作輸入內容
「將使用者新增至群組」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Group ID |
必要
要將使用者加入的 Microsoft Entra ID 群組 ID,例如 |
動作輸出內容
「將使用者加入群組」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「將使用者新增至群組」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Member could not be added successfully. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「將使用者新增至群組」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
停用帳戶
使用「停用帳戶」動作,在 Microsoft Entra ID 中停用帳戶。
這項動作會要求您以 username@domain 格式設定 User 實體。
如要執行「停用帳戶」動作,請將管理員權限授予整合中使用的 Microsoft Entra ID 帳戶。
這項動作會在 Google SecOps User 實體上執行。
設定其他權限
如要執行「停用帳戶」動作,您必須為應用程式額外設定下列 API 權限:
User.EnableDisableAccount.All
如需在 Microsoft Entra ID 中設定 API 權限的指引,請參閱本文的「設定 API 權限」一節。
動作輸入內容
無
動作輸出內容
「停用帳戶」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「停用帳戶」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Disable user account was not successful. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「停用帳戶」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
啟用帳戶
使用「啟用帳戶」動作,在 Microsoft Entra ID 中啟用帳戶。
這項動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps User 實體上執行。
設定其他權限
如要執行「啟用帳戶」動作,您必須為應用程式額外設定下列 API 權限:
User.EnableDisableAccount.All
如需在 Microsoft Entra ID 中設定 API 權限的指引,請參閱本文的「設定 API 權限」一節。
動作輸入內容
無
動作輸出內容
「啟用帳戶」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「啟用帳戶」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Enable user account was not successful. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「啟用帳戶」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
Enrich Host
使用「Enrich Host」動作,透過 Microsoft Entra ID 的資訊擴充 Google SecOps Host 實體。這項動作會使用 Microsoft Entra ID 中的裝置 displayName 欄位,找出所提供 Host 實體的相符項目。
這項動作會在 Google SecOps Host 實體上執行。
動作輸入內容
無
動作輸出內容
「Enrich Host」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體擴充資料表
「Enrich Host」(豐富主機) 動作支援下列實體豐富化:
| 補充資料欄位 | 邏輯 |
|---|---|
AAD_Name |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Enabled |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Property Device ID |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_OS |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Version |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Profile Type |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Compliant |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Last Sign In |
如果 JSON 結果中存在該值,則傳回該值。 |
JSON 結果
以下範例顯示使用「Enrich Host」動作時收到的 JSON 結果輸出內容:
[
{
"EntityResult": {
"deletedDateTime": "1234569",
"complianceExpirationDateTime": "1234567",
"profileType": "RegisteredDevice",
"key": "007",
"if":"889922-aaaa-123123"
},
"Entity": "us-lt-v13001"
}
]
輸出訊息
「Enrich Host」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Host details were not found. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich Host」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
充實使用者
使用「Enrich User」(擴充使用者) 動作,從 Microsoft Entra ID 取得資訊,擴充 Google SecOps User 實體。這項動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps Host 實體上執行。
動作輸入內容
無
動作輸出內容
「Enrich User」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體擴充資料表
「Enrich User」(豐富使用者資料) 動作支援下列實體豐富化功能:
| 補充資料欄位 | 邏輯 |
|---|---|
AAD_Name |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Mobile Phone |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Preferred Language |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Job Title |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Username |
如果 JSON 結果中存在該值,則傳回該值。 |
JSON 結果
以下範例顯示使用「Enrich User」(豐富使用者資訊) 動作時收到的 JSON 結果輸出內容:
[
{
"EntityResult": {
"displayName": "Test User",
"mobilePhone": "(800) 555-0175",
"preferredLanguage": "English",
"jobTitle": "Engineer",
"userPrincipalName":"ser@example.com"
},
"Entity": "user@example.com"
}
]
輸出訊息
「Enrich User」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Users list fetch was not successful. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich User」(擴充使用者) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
強制更新密碼
使用「強制更新密碼」動作,強制使用者更新密碼。 這項操作會要求使用者在下次嘗試登入時變更密碼。
「強制更新密碼」動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps User 實體上執行。
設定其他權限
如要使用「強制更新密碼」動作,您必須為應用程式額外設定下列 API 權限:
User-PasswordProfile.ReadWrite.All
如需在 Microsoft Entra ID 中設定 API 權限的指引,請參閱本文的「設定 API 權限」一節。
為應用程式指派角色
如要執行「強制更新密碼」動作,您必須將 Password
Administrator 角色指派給應用程式。
如要將 Password Administrator 角色指派給應用程式,請完成下列步驟:
- 使用 Microsoft 帳戶登入 Azure 入口網站。
- 在 Microsoft Entra ID 中,搜尋「角色和管理員」。
- 從清單中選取或搜尋
Password Administrator角色。 - 按一下「新增指派項目」。
- 選取整合服務中使用的帳戶 (成員),然後按一下「下一步」。
- 輸入指派角色的理由。
- 按一下「指派」。
動作輸入內容
無
動作輸出內容
「強制更新密碼」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「強制更新密碼」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Attempt to Force user password update was not successful.
|
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「強制更新密碼」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得管理員聯絡資料
使用「Get Manager Contact Details」(取得經理聯絡資料) 動作,取得使用者的經理聯絡資料。
「取得管理員聯絡詳細資料」動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps User 實體上執行。
動作輸入內容
無
動作輸出內容
「取得管理員聯絡資料」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「Get Manager Contact Details」(取得管理員聯絡資訊) 動作可在 Google SecOps 中傳回下表:
表格名稱:經理聯絡人
欄:
- 名稱
- 電話號碼
實體擴充資料表
「取得管理員聯絡資訊」動作支援下列實體擴充功能:
| 補充資料欄位 | 邏輯 |
|---|---|
Display Name |
如果 JSON 結果中存在該值,則傳回該值。 |
Mobile Phone |
如果 JSON 結果中存在該值,則傳回該值。 |
@odata.context |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Job Title |
如果 JSON 結果中存在該值,則傳回該值。 |
AAD_Username |
如果 JSON 結果中存在該值,則傳回該值。 |
JSON 結果
以下範例顯示使用「Get Manager Contact Details」動作時收到的 JSON 結果輸出內容:
[
{
"EntityResult":
{
"displayName": "manager@example.com",
"mobilePhone": "(800) 555-0175",
"@odata.context": "graph.microsoft.com"
},
"Entity": "user@example.com"
}
]
輸出訊息
「取得管理員聯絡詳細資料」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Could not fetch user manager's details successfully. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得管理員聯絡資訊」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
使用者是否屬於群組
使用「Is User in Group」(使用者是否屬於群組)動作,檢查使用者是否為特定 Microsoft Entra ID 群組的成員。這項動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps User 實體上執行。
動作輸入內容
「使用者是否在群組中」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Group ID |
必要
要將使用者加入的 Microsoft Entra ID 群組 ID,例如 |
動作輸出內容
「使用者是否屬於群組」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Is User in Group」(使用者是否屬於群組) 動作時收到的 JSON 結果輸出內容:
[
{
"EntityResult": "true",
"Entity": "user@example.com"
}
]
輸出訊息
「Is User in Group」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
User was not found in the group. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Is User in Group」(使用者是否屬於群組) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
可列出群組
使用「列出群組」動作,根據指定的搜尋條件列出 Microsoft Entra ID 群組。
如果是「列出群組」動作,篩選功能會搭配 Name 欄位運作。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出群組」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Order By |
選填
依名稱排序傳回群組的順序。 預設值為 可能的值如下:
|
Results Limit |
選填
要傳回的群組數量上限。 |
Filter Logic |
選填
依名稱篩選群組的邏輯。 預設值為 可能的值如下:
|
Filter Value |
選填
使用所選篩選邏輯篩選群組的值。這個值適用於群組名稱。 如果選取 如果未設定值,系統不會套用篩選器。 |
動作輸出內容
「列出群組」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「列出群組」動作可在 Google SecOps 中傳回下表:
表格名稱:Groups
欄:
- 名稱
- ID
- 說明
- 郵件
- 建立時間
- 群組類型
實體擴充資料表
「列出群組」動作支援下列實體擴充功能:
| 補充資料欄位 | 邏輯 |
|---|---|
Group Type |
如果 JSON 結果中存在該值,則傳回該值。 |
ID |
如果 JSON 結果中存在該值,則傳回該值。 |
Name |
如果 JSON 結果中存在該值,則傳回該值。 |
Description |
如果 JSON 結果中存在該值,則傳回該值。 |
Created Time |
如果 JSON 結果中存在該值,則傳回該值。 |
JSON 結果
以下範例顯示使用「列出群組」動作時收到的 JSON 結果輸出內容:
[
{
"Group Type": "managed",
"Id": "ID",
"Name": "Example",
"Description": "Example",
"Created Time":"2019-10-24T19:10:18Z"
}
]
輸出訊息
「列出群組」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Groups list fetch was not successful. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出群組」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出群組成員
使用「列出群組中的成員」動作,列出指定 Microsoft Entra ID 群組中的成員。
篩選邏輯會根據 Filter Key 參數值運作。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出群組中的成員」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Max Records To Return |
選填
要傳回的記錄數上限。 預設值為 50。 |
Group Name |
選填
要列出成員的 Microsoft Entra ID 群組名稱。 |
Group ID |
選填
要列出成員的 Microsoft Entra ID 群組 ID。如果您同時設定 |
Filter Key |
選填
用來篩選群組成員的欄位,例如 可能的值如下:
|
Filter Logic |
選填
要套用至篩選器的邏輯。 可能的值如下:
|
Filter Value |
選填
根據所選 如果選取 如果未設定值,系統不會套用篩選器。 |
動作輸出內容
「列出群組中的成員」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「列出群組中的成員」動作可在 Google SecOps 中傳回下表:
表格名稱:群組的可用成員
欄:
- ID
- 使用者主體名稱
- 顯示名稱
- Surname
- 名字
- 郵件
- 職稱
- 商用電話
- 手機
- 辦公室位置
- 偏好語言
JSON 結果
以下範例顯示使用「列出群組中的成員」動作時收到的 JSON 結果輸出內容:
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
"value": [
"ID",
"ID",
"ID",
]
}
輸出訊息
「列出群組中的成員」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Members in the Group". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出群組中的成員」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出使用者的群組成員資格
使用「列出使用者群組成員資格」動作,列出使用者所屬的 Microsoft Entra ID 群組。
您可以將使用者名稱當做實體或動作輸入參數提供。如果您將使用者名稱同時設為實體和輸入參數,動作會使用輸入參數。
如要設定使用者名稱,請按照 username@domain 格式操作。
這項動作會在 Google SecOps Username 實體上執行。
動作輸入內容
「列出使用者群組成員資格」動作需要下列參數:
| 參數 | 說明 |
|---|---|
User Name |
選填
以半形逗號分隔的使用者名稱清單,用來擷取群組成員資格,例如 |
Return Only Security Enabled Groups |
選填
如果選取這個選項,動作只會傳回使用者所屬的安全性啟用群組。 預設為未選取。 |
Return Detailed Groups Information |
選填
如果選取此動作,系統會傳回 Microsoft Entra ID 群組的詳細資訊。 預設為未選取。 |
Filter Key |
選填
用於篩選群組的鍵。 預設值為 可能的值如下:
|
Filter Logic |
選填
篩選群組時要套用的邏輯。 預設值為 可能的值如下:
|
Filter Value |
選填
用於篩選群組的值。 如果選取 如果未設定值,系統不會套用篩選器。 |
Max Records To Return |
選填
要傳回的記錄數上限。如未設定值,動作預設會傳回 50 筆記錄。 |
動作輸出內容
「列出使用者所屬群組」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「列出使用者群組成員資格」動作可在 Google SecOps 中傳回下表:
表格名稱:Group Memberships
欄:
- ID
- 顯示名稱
- 說明
- 已啟用安全性
- 安全 ID
- 建立日期時間
- 分類
- 瀏覽權限
- 郵件
- 已啟用郵件功能
- 郵件暱稱
JSON 結果
以下範例顯示使用「列出使用者群組成員資格」動作時收到的 JSON 結果輸出內容:
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
"value": [
"ID",
"ID",
"ID",
]
}
輸出訊息
「列出使用者群組成員資格」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List User's Groups Membership". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出使用者群組成員資格」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
將使用者列入清單
使用「列出使用者」動作,依據指定的搜尋條件列出 Microsoft Entra ID 使用者。
對於「列出使用者」動作,篩選器適用於 Username
(userPrincipalName) 欄位。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出使用者」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Filter |
選填
要在結果中納入的欄位。 預設值為 可能的值如下:
|
Order By Field |
選填
用於排序結果的欄位。 預設值為 可能的值如下:
|
Order By |
選填
結果的順序 (遞增或遞減)。 預設值為 可能的值如下:
|
Results Limit |
選填
要傳回的使用者人數上限。 |
Advanced Filter Logic |
選填
用於進階篩選的邏輯,適用於 預設值為 可能的值如下:
|
Advanced Filter Value |
選填
在「 如果選取 如果未設定值,系統不會套用篩選器。 |
動作輸出內容
「列出使用者」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「列出使用者」動作可在 Google SecOps 中傳回下表:
表格名稱:Users
欄:
- 名稱
- 使用者名稱
- ID
- 名字
- 偏好語言
- 郵件
- 手機
- Surname
- 職稱
實體擴充資料表
「列出使用者」動作支援下列實體擴充功能:
| 補充資料欄位 | 邏輯 |
|---|---|
Username |
如果 JSON 結果中存在該值,則傳回該值。 |
Surname |
如果 JSON 結果中存在該值,則傳回該值。 |
Name |
如果 JSON 結果中存在該值,則傳回該值。 |
Job Title |
如果 JSON 結果中存在該值,則傳回該值。 |
Mail |
如果 JSON 結果中存在該值,則傳回該值。 |
JSON 結果
以下範例顯示使用「列出使用者」動作時收到的 JSON 結果輸出內容:
[
{
"Group Type": "managed",
"Id": "ID",
"Name": "Example",
"Description": "Example",
"Created Time":"2019-10-24T19:10:18Z"
}
]
輸出訊息
「列出使用者」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
User list fetch was not successful. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出使用者」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 Microsoft Entra ID 的連線。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Connection could not be established successfully. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
從群組中移除使用者
使用「從群組中移除使用者」動作,從 Microsoft Entra ID 中的指定群組移除使用者。
您可以將使用者名稱當做實體或動作輸入參數提供。如果您將使用者名稱同時設為實體和輸入參數,動作會使用輸入參數。
如要設定使用者名稱,請按照 username@domain 格式操作。
這項動作會在 Google SecOps Username 實體上執行。
動作輸入內容
「從群組中移除使用者」動作需要下列參數:
| 參數 | 說明 |
|---|---|
User Name |
選填
要從指定群組中移除的使用者名稱字串 (以半形逗號分隔)。
如要設定這個參數值,請使用 如未設定值,系統會對動作事件中的使用者實體使用者名稱執行動作。 |
Group Name |
選填
要從中移除使用者的群組名稱。 |
Group ID |
選填
要從中移除使用者的群組 ID。 如果同時設定 |
動作輸出內容
「從群組中移除使用者」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「從群組中移除使用者」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Remove User from the Group". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「從群組中移除使用者」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
重設使用者密碼
使用「Reset User Password」(重設使用者密碼) 動作,將使用者密碼重設為您在動作中指定的密碼。這項操作會要求使用者在下次嘗試登入時變更密碼。
「重設使用者密碼」動作會要求您以 username@domain 格式設定 User 實體。
這項動作會在 Google SecOps User 實體上執行。
為應用程式指派角色
如要執行「重設使用者密碼」動作,您必須為應用程式指派「Password
Administrator」角色。
如要將 Password Administrator 角色指派給應用程式,請完成下列步驟:
- 使用 Microsoft 帳戶登入 Azure 入口網站。
- 在 Microsoft Entra ID 中,搜尋「角色和管理員」。
- 從清單中選取或搜尋
Password Administrator角色。 - 按一下「新增指派項目」。
- 選取整合服務中使用的帳戶 (成員),然後按一下「下一步」。
- 輸入指派角色的理由。
- 按一下「指派」。
動作輸入內容
「重設使用者密碼」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Password |
必要
要為使用者設定的新密碼。 |
動作輸出內容
「重設使用者密碼」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「重設使用者密碼」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
User password reset was not successful. |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「重設使用者密碼」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
撤銷使用者工作階段
使用「撤銷使用者工作階段」動作撤銷使用者工作階段。
這項動作會在下列 Google SecOps 實體上執行:
UsernameEmail Address
動作輸入內容
無
動作輸出內容
「Revoke User Session」(撤銷使用者工作階段) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「撤銷使用者工作階段」動作時收到的 JSON 結果輸出內容:
如果使用者存在:
{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Edm.Boolean", "value": true }如果找不到使用者:
{ "error": "User not found." }
輸出訊息
「撤銷使用者工作階段」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Revoke User Session". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「撤銷使用者工作階段」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。