Microsoft Graph API ist ein einheitlicher Endpunkt, der Administratoren programmatischen Zugriff auf verschiedene Microsoft 365-Dienste wie Intune, Microsoft Entra (früher bekannt als Azure AD), Exchange Online, Teams und vieles mehr über Windows PowerShell ermöglicht.
Es gibt viele verschiedene Anwendungsfälle, insbesondere in Unternehmensumgebungen. Microsoft Graph API kann verwendet werden für:
- Gerätekonformität und Gesundheitsüberwachung
- Nutzung und Zuweisung von Lizenzen
- Automatisierte Verwaltung von Richtlinien und Gruppen
- Arbeitsabläufe für Warnungen und Abhilfemaßnahmen
- Mandantenübergreifende Berichterstattung für MSP-Dashboards
📌 Voraussetzungen:
- Sie müssen ein Microsoft 365-Tenant mit globalem Administrator- oder delegiertem Administrator-Zugang sein.
- Sie müssen Microsoft Graph bei Microsoft Entra (früher bekannt als Azure AD) registrieren.
- Für einige Aktionen benötigen Sie möglicherweise Lizenzen für Intune und Microsoft Entra Premium.
- Sie benötigen eine GPO-Baseline, um Ihre Authentifizierungs-Tokens zu schützen und sicherzustellen, dass Ihre Skriptausführungen sicher sind.
📌 Empfohlene Einsatzstrategien:
Klicken Sie, um eine Methode auszuwählen | 💻 Am besten für Einzelanwender | 💻💻💻 Am besten für Unternehmen |
| Microsoft Graph PowerShell SDK installieren | ✓ | |
| Verbindung zum Microsoft Graph PowerShell SDK | ✓ | |
| Abrufen von Geräteinformationen und Konformitätsstatus | ✓ | |
| Überwachung der Benutzeraktivität und Lizenzierung | ✓ | |
| Automatisieren Sie Korrekturen und die Durchsetzung von Richtlinien | ✓ | |
| Richtlinien auf Endpunktebene validieren (Windows-Registrierung, CMD) | ✓ | |
| Sichere Token-Verwendung mit GPO und Endpunktkontrollen | ✓ |
So installieren Sie Microsoft Graph PowerShell SDK
📌Voraussetzungen:
- Es wird empfohlen, dafür Windows PowerShell 7 oder höher zu verwenden. Windows PowerShell 5.1 ist die Mindestanforderung. (Überprüfen Sie Ihre PowerShell-Version )
- Sie benötigen .NET Framework 4.7.2 oder höher installiert haben.
- PowerShellGet sollte auf die neueste Version aktualisiert werden. Geben Sie dazu in Windows PowerShell Install-Module PowerShellGet ein und drücken Sie Enter.
- Die Ausführungsrichtlinie muss auf remote signed oder weniger restriktiv eingestellt sein. Um zu überprüfen, ob Sie die richtige Richtlinie haben, geben Sie Get-ExecutionPolicy in Windows PowerShell ein und drücken Sie Enter. Um die Ausführungsrichtlinie in remote signiert zu ändern, geben Sie Set-ExecutionPolicy -ExecutionPolicy RemoteSigned ein und drücken Sie Enter.
Schritte:
- Öffnen Sie das Startmenü und suchen Sie nach Windows PowerShell.
- Klicken Sie mit der rechten Maustaste auf Windows PowerShell > Als Administrator ausführen.
- Geben Sie Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force ein und drücken Sie Enter.
💡Hinweis: Diese Änderung gilt nur für das aktuelle Benutzerprofil. Wenn Sie Microsoft Graph PowerShell SDK in allen Benutzerprofilen installieren möchten, ändern Sie die -Scope in AllUsers.
- Bestätigen Sie die Installation, wenn Sie dazu aufgefordert werden.
So stellen Sie eine Verbindung zum Microsoft Graph PowerShell SDK her
- Geben Sie Connect-MgGraph -Scopes „User.Read.All“, „DeviceManagementManagedDevices.Read.All“, „Directory.Read.All“ in Windows PowerShell ein und drücken Sie Enter um eine Verbindung herzustellen.
💡Hinweis: Damit haben Sie Zugriff auf das gesamte Diagramm. Sie können die Berechtigungen nach Ihren Bedürfnissen ändern, indem Sie die nach -Scopes angegebenen Berechtigungen bearbeiten. Um alle verfügbaren Berechtigungen zu überprüfen, können Sie Find-MgGraphCommand -command Get-MgGroup eingeben.
- Wenn Sie bereits eingeloggt sind, fahren Sie mit dem nächsten Schritt fort. Wenn Sie nicht angemeldet sind, folgen Sie den Anweisungen, um sich einzuloggen.
- Sie können auch Get-MgContext verwenden, um bestimmte Details abzurufen, z. B. die Client-ID, die Mandanten-ID, die genehmigten Bereiche und mehr.
💡Hinweis: Sie können -TenantID für mandantenfähigen Zugang und -ClientID für registrierte Anwendungen verwenden.
So rufen Sie Geräteinformationen und den Konformitätsstatus ab
Um alle von Intune verwalteten Geräte aufzulisten, geben Sie diesen Befehl ein und drücken Sie Enter:
Get-MgDeviceManagementManagedDevice |
Wählen Sie DisplayName, ComplianceState, OperatingSystem
Wenn Sie nicht konforme Geräte in dieser Liste finden möchten, geben Sie diesen Befehl ein und drücken Sie Enter:
Get-MgDeviceManagementManagedDevice |
Where-Object {$_.ComplianceState -ne „compliant“}
Sie können auch nach bestimmten Geräten suchen, indem Sie den Namen eingeben:
Get-MgDeviceManagementManagedDevice -ManagedDeviceId <GUID>
Ändern Sie <GUID> in die Geräte-ID, nach der Sie suchen.
Überwachung der Benutzeraktivität und Lizenzierung
Um alle Benutzer mit ihren Lizenzierungsdetails aufzulisten, geben Sie diesen Befehl ein und drücken Sie Enter:
Get-MgUser | Select-Object DisplayName, UserPrincipalName, AssignedLicenses
Um nicht lizenzierte Benutzer zu finden, geben Sie diesen Befehl ein und drücken Sie Enter:
Get-MgUser | Where-Object { !$_.AssignedLicenses }
Abrufen der Anmeldeaktivitäten (erfordert AuditLog.Read.All):
Get-MgAuditLogSignIn -Top 50 | Select UserDisplayName, UserPrincipalName, Status, AppDisplayName
Automatisieren von Korrekturmaßnahmen und Durchsetzung von Richtlinien
Wenn ein Gerät verloren geht oder kompromittiert wird, können Sie seine Daten aus Microsoft Graph löschen, indem Sie diesen Befehl eingeben und Enter drücken:
Invoke-MgDeviceManagementManagedDeviceWipe -ManagedDeviceId <GUID>
Ersetzen Sie <GUID> durch die Geräte-ID des verlorenen oder gefährdeten Geräts.
Wenn Sie ein Gerät aus der Ferne sperren möchten:
Invoke-MgDeviceManagementManagedDeviceRemoteLock -ManagedDeviceId <GUID>
Ersetzen Sie <GUID> durch die Geräte-ID des verlorenen oder gefährdeten Geräts.
Wenn Sie eine Compliance-Richtlinie zuweisen möchten, geben Sie diesen Befehl ein und drücken Sie Enter:
New-MgDeviceManagementCompliancePolicyAssignment -CompliancePolicyId <PolicyID> -Target @{ „@odata.type“ = „#microsoft.graph.groupAssignmentTarget“; „groupId“ = „<AADGroupId>“ }
Ändern Sie <PolicyID> in die Policy ID der Richtlinie, die Sie zuweisen möchten. Ändern Sie < AADGroupId> in die Gruppe, der Sie die Richtlinie zuweisen möchten.
Diese Befehle sind nützlich, wenn Sie eine automatische Wiederherstellung in verschiedenen Umgebungen einrichten möchten. Sie können diese auch automatisch auslösen, wenn Ihr System eine Warnung von Ihrem Endpoint-Management-Tool erhält.
Wie man Richtlinien auf Endpunktebene validiert (Windows-Registrierung, CMD)
Sie können überprüfen, ob die Richtlinien, die mit Microsoft Graph erstellt wurden, erfolgreich angewendet wurden, indem Sie die Windows-Registrierung überprüfen.
Sie können zum Beispiel in der Windows-Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\ nachsehen, ob die Richtlinien angewendet wurden (z. B. Defender, Verschlüsselungsrichtlinie).
Sie können auch die Eingabeaufforderung verwenden, um das Gerät in einem MDM zu registrieren und seinen Status weiter zu überwachen.
- Öffnen Sie Eingabeaufforderung als Administrator.
- Geben Sie Folgendes ein und drücken Sie Enter: start ms-device-enrollment:?mode=mdm
Um den Beitritts-/Einschreibungsstatus zu überprüfen, geben Sie ein: dsregcmd/status
So sichern Sie die Verwendung von Token mit lokalen Gruppenrichtlinien und Endpunktkontrollen
Sie können lokale Gruppenrichtlinien verwenden, um Microsoft Graph-Authentifizierungstoken und PowerShell-Automatisierung auf Ihren verwalteten Geräten zu schützen, indem Sie die folgenden Schritte ausführen:
- Öffnen Sie denEditor für lokale Gruppenrichtlinien .
- Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen
- Suchen Sie Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen und Doppelklicken Sie darauf.
- Setzen Sie diese Option auf Aktiviert.
- Klicken Sie auf Anwenden > OK.
- Navigieren Sie zu Computerkonfiguration > Verwaltungsvorlagen > Windows-Komponenten > Windows PowerShell.
- Suchen Sie Skriptausführung einschalten und mit einem Doppelklick.
- Setzen Sie diese Option auf Aktiviert.
- Klicken Sie auf das Dropdown-Menü und wählen Sie Nur signierte Skripte zulassen.
- Klicken Sie auf Anwenden > OK.
Zusätzliche Überlegungen bei der Verwendung der Microsoft Graph API
- Sie können Graph Explorer verwenden, um die API online zu testen, ohne sie auf Ihren Geräten zu installieren.
- Stellen Sie sicher, dass Sie Anwendungsberechtigungen für Hintergrundaufträge und mandantenfähige Skripte anwenden.
- Sie können Ratenbegrenzungen und Wiederholungslogik für Produktionsskripte anwenden.
- Sie können Microsoft Entra ID-Zugriffsrichtlinien verwenden, um die Verwendung von Grafiken auf nicht verwalteten Geräten einzuschränken.
Fehlerbehebung bei Microsoft Graph API
| Ausgabe | Mögliche Ursachen | Behebt |
| Der Microsoft Graph versagt. | Es fehlen Berechtigungen, was bedeutet, dass der Mandant diesen Befehl nicht ausführen darf. | Geben Sie diesem Mieter die entsprechenden Berechtigungen. Alternativ können Sie auch ein Administratorkonto mit vollen Rechten verwenden. |
| Das Gerät ist in der Abfrage nicht sichtbar. | Das bedeutet, dass das Gerät nicht in Intune verwaltet wird oder nicht richtig synchronisiert ist. | Überprüfen Sie die Microsoft Endpoint Management (MEM)-Registrierung und den Gerätestatus von Microsoft Entra (früher AAD). |
| Sie haben die API-Ratengrenze erreicht. | Es werden zu viele gleichzeitige Abfragen durchgeführt. | Verwenden Sie den Befehl -Top und Batching. |
| Die Registry-Werte für eine bestimmte Richtlinie fehlen. | Die Richtlinie wurde nicht angewandt. | Bestätigen Sie die Gruppenzielsetzung und lösen Sie die Synchronisierung aus, um die Änderung auf das Gerät anzuwenden. |
NinjaOne Dienstleistungen
NinjaOne ergänzt die Microsoft Graph API in mehrfacher Hinsicht:
- Automatisieren von Microsoft Graph-Skripten über Kunden-Tenants mit einem Remote-PowerShell-Tool
- Einrichten von Warnungen , damit Administratoren wissen, wenn Geräte gegen die Vorschriften verstoßen, und durch Diagramme ausgelöste Abhilfemaßnahmen veranlassen können
- Kennzeichnung von Geräten mit benutzerdefinierten Feldern auf der Grundlage von Metadaten aus Microsoft Graph (z. B. Compliance-Status, Risikostatus usw.)
- Planung von Berichtsaufgaben unter Verwendung von Informationen aus Microsoft Graph und Zentralisierung der Transparenz auf Mieterebene für MSPs.
Überwachen Sie Ihre verwalteten Geräte mit Microsoft Graph API
Microsoft Graph API ist ein leistungsfähiges Tool, das Administratoren eine zentralisierte und automatisierte Steuerung von Microsoft 365-Konten in ihrer Organisation mit Windows PowerShell ermöglicht. Nach der Installation und dem Herstellen einer Verbindung mit PowerShell können Sie damit Benutzer und Gerätekonformität überwachen sowie Geräteaktionen und Richtlinienzuweisungen automatisieren.
Sie können diese Richtlinienzuweisungen überprüfen, indem Sie die Windows-Registrierung überprüfen und die Eingabeaufforderung verwenden. Außerdem können Sie Ihre Arbeitsabläufe mit den Automatisierungs- und Sichtbarkeitsfunktionen von NinjaOne weiter verbessern.
Verwandte Artikel:
- Verbesserung von NinjaOne Ticketing mit Microsoft 365 SMTP Integration
- Integration von On-Premises und Cloud mit Hybrid Azure AD Join
- Vollständiger Leitfaden: Erforschung der IT-Systemüberwachung
- Cloud-basierte Überwachungswerkzeuge: die 5 besten Lösungen im Jahr 2025
- Endpunktüberwachung anhand eines Beispiels erklärt
