如何使用 PowerShell 按用户组获取 Azure 登录?
问题描述 投票:0回答:1
我正在尝试按安全/用户组获取过去 30 天的用户登录列表,我查看了 Azure 登录审核我只能一次按 IP、用户名过滤,想知道是否有是一种按组过滤的方法,或者如果有 powershell 脚本可以为特定用户组中的所有用户过滤超过 30 天的登录。
我尝试使用 Azure 登录,但只能按用户过滤并希望按用户组过滤,我有 powershell 脚本来列出组中的所有用户,但需要能够看到每个用户在过去 30 天内的成功登录
1个回答
0
投票
投票
我尝试了以下 Powershell 脚本:
运行脚本之前,需要有查询群组和群组成员的权限,以及读取用户的权限。
为此,我创建了一个具有所有必需权限的应用程序, 像 User.Read.All, Group.Read.All, GroupMember.Read.All 应用程序权限,当使用 AppId 时。
既然应用程序已获得所需权限,请使用应用程序ID使用以下脚本查询特定组用户30天内的登录日志。
PowerShell:
$groupusers=Get-AzureADGroupMember -ObjectId "<groupObjectId>"
$startDate = (Get-Date).AddDays(-1).ToString('o')
$endDate = (Get-Date).ToString('o')
foreach($userMember in $groupusers)
{
$userDN = $userMember.DisplayName
$logs= Get-AzureADAuditSignInLogs -Filter "appId eq 'xxx'and createdDateTime ge $startDate and createdDateTime le $endDate and userDisplayName eq '$userDN'"
$logs | select UserDisplayName,createdDateTime
}
回复:
UserDisplayName CreatedDateTime
--------------- ---------------
User 1 2023-03-28T10:16:25Z
User 2 2023-03-28T10:10:53Z
User 1 2023-03-28T10:09:38Z
User 1 2023-03-28T09:21:46Z
User 2 2023-03-28T09:13:46Z
User 2 2023-03-28T09:13:25Z
User 1 2023-03-28T09:13:17Z
User 1 2023-03-28T09:13:13Z
User 3 2023-03-28T10:16:25Z
- $logs //使用它来查询所有属性
代码:
foreach($userMember in $groupusers)
{
$userDN = $userMember.DisplayName
$logs= Get-AzureADAuditSignInLogs -Filter "appId eq 'appId'and createdDateTime ge $startDate and createdDateTime le $endDate and userDisplayName eq '$userDN'"
$logs
$logs | select UserDisplayName,createdDateTime
}
回复:
Id : xxx
CreatedDateTime : 2023-03-28T09:13:13Z
UserDisplayName : MT User 1
UserPrincipalName : xxxx
UserId : xxx06
AppId : xxx
AppDisplayName : appname
IpAddress : xxx.xxx.xxx.xxx
ClientAppUsed : Browser
CorrelationId : 4fx7dxx
ConditionalAccessStatus : notApplied
OriginalRequestId : c1exxx1
IsInteractive : True
TokenIssuerName :
TokenIssuerType : AzureAD
ProcessingTimeInMilliseconds : 157
RiskDetail : none
RiskLevelAggregated : none
RiskLevelDuringSignIn : none
RiskState : none
RiskEventTypes :
ResourceDisplayName : Microsoft Graph
ResourceId : 00000003-0000-0000-c000-000000000000
AuthenticationMethodsUsed : {}
Status : class SignInStatus {
ErrorCode: 50140
FailureReason: This occurred due to 'Keep me signed in' interrupt when the user was signing in.
AdditionalDetails: This is an expected part of the login flow, where a user is asked if they want to remain signed into this browser to make
further logins easier. For more details, see
https://techcommunity.microsoft.com/t5/Azure-Active-Directory/The-new-Azure-AD-sign-in-and-Keep-me-signed-in-experiences/td-p/xxx
}
DeviceDetail : class SignInAuditLogObjectDeviceDetail {
DeviceId:
DisplayName:
OperatingSystem: xx
Browser: xx
IsCompliant: False
IsManaged: False
TrustType:
}
Location : class SignInAuditLogObjectLocation {
City: Lalapet
State: Telangana
CountryOrRegion: IN
}
MfaDetail :
AppliedConditionalAccessPolicies : {}
AuthenticationProcessingDetails : {class AdditionalDetail {
Key: Root Key Type
Value: Unknown
}
}
NetworkLocationDetails : {}
UserDisplayName : User 1
CreatedDateTime : 2023-03-28T10:16:25Z
UserDisplayName : User 1
CreatedDateTime : 2023-03-28T10:10:53Z
UserDisplayName : User 1
CreatedDateTime : 2023-03-28T10:09:38Z
如果需要,可以对所有组执行以下操作:
$AllGroups=Get-AzureADGroup
foreach($group in $AllGroups )
{
$groupObj=$group.ObjectId
$groupusers=Get-AzureADGroupMember -ObjectId "$groupObj"
$startDate = (Get-Date).AddDays(-1).ToString('o')
$endDate = (Get-Date).ToString('o')
foreach($userMember in $groupusers)
{
$userDN = $userMember.DisplayName
$logs= Get-AzureADAuditSignInLogs -Filter "appId eq 'xxx'and createdDateTime ge $startDate and createdDateTime le $endDate and userDisplayName eq '$userDN'"
write-host "Users belonging to group : " $group.DisplayName
write-host " "
$logs | select UserDisplayName,createdDateTime
write-host " "
write-host "========= "
}
}
参考资料:
相关问题
• Get-AzureADAuditSignInLogs 在自动化帐户中返回 $null
• 如何使用 Key Vault 中的值在 Powershell 中使用 Azure CLI 从 ADO Pipeline 登录到 Azure Subscipt
• pnp m365 cli 脚本尝试使用自定义应用程序注册登录时失败
• 用于检查 Azure AD 用户密码年龄的 Powershell 脚本
• 如何在 Powershell 中授予管理员对 Azure AAD 应用的许可?
• 用于删除禁用的 AD 登录的 Powershell 代码不起作用(不删除)-代码有什么问题?
• 如何使用 Powershell 通过证书 SNI 获取 azure AAD 令牌
• 我如何连接为 Azure Active Directory - 使用 Powershell 与 MFA 通用?
• 使用 PowerShell 将 JSON 文件转换为 .CSV 文件?
• 通过 PowerShell 导出非活动用户的上次登录日期
• Install-Module:术语“Install-Module”未被识别为 cmdlet 的名称
• 有没有办法用powershell访问logic app standard single-tenant parameters.json的内容?
• 在 PHP 应用程序中使用 Amazon Cognito 的 Azure AD 用户登录的 SSO 登录设置
• 如何使用 Azure 函数输出绑定更新 Azure 存储表中的行
热门问答
- 1 Grafana 时间序列不应按标签拆分
- 2 React 渲染组件点击按钮
- 3 应用程序的 X509 客户端证书标头
- 4 Cypress.config.js 文件无效[关闭]
- 5 使用正则表达式动态断言 URL 路径及其 ID
- 6 使 MagicMock 返回 None
- 7 带有 REDIS 的 FASTAPI/STARLETTE 丢弃响应
- 8 azure 功能应用程序未在 azure 门户中显示
- 9 如何迭代属性并获取 Zod 中的类型?
- 10 如何使用 Spring Security 6 将 JWT 身份验证限制为仅限我在 Spring Boot 3 中的端点?
- 11 如何解决 Resource linking failed 错误?
- 12 C。读取 BMP 图像像素的问题
- 13 是否可以在定义它们的模块中隔离 CDI 生产者(在具有共享模块的模块应用程序中)
- 14 有人可以解释一下这行 Solidity 代码的语法吗?
- 15 工作区中箱子的条件构建
- 16 如何在 python 模块 docx 中导入文档? [重复]
- 17 EventLogQuery 无效
- 18 为 Python Asyncio 立即返回 stdout 和 stderr
- 19 kivymd 项目的 Xcode 启动屏幕黑屏
- 20 我应该使用什么平台来创建一个非常简单的 android 移动应用程序(无需登录,只需相机,然后使用 api 密钥发送要更改的 img)?
最新问题
- 1 我的 gpt2 代码生成了一些正确的单词,然后进入一个循环,一次又一次地生成相同的序列
- 2 当我在 PHP 代码中调用 GetExactTeacherAppViaId_contr 函数时,为什么我的 Ajax 响应无法正常工作?
- 3 在 Windows 上构建的可执行文件在冷启动后需要 4 秒以上才能启动
- 4 自 3.0.4 以来 Spring Boot 中 requestMatchers 的问题
- 5 为什么这段代码用MSVS2012触发“写溢出警告(C6386)”
- 6 屏幕颜色检测和鼠标按下脚本
- 7 为什么我从 json.NET 得到“完成读取 JSON 内容后遇到的附加文本”?
- 8 如何解码 CME Datamine 示例数据集。 (文件不是二进制文件)
- 9 谷歌云数据流中工作虚拟机实例/计算引擎的自定义图像
- 10 如何让我的 QGIS Python 脚本在 Windows 环境下运行?
- 11 我正在尝试使用 html 和 CSS 来扩展网格,但它们不适合
- 12 无法解析符号“CachingSpringLoadBalancerFactory”
- 13 nginx:[警报]无法启动 PhusionPassenger(R) 看门狗:在启动期间因未知原因崩溃,退出代码为 127(-1:未知错误)
- 14 为什么 VS Code 中折叠块的剩余可见代码没有为我突出显示?
- 15 时间戳字符串中的结尾字符
- 16 Python 数据类:范围内的属性类型,但解释器无法识别
- 17 VSCODE 终端视觉效果
- 18 在 Material3 中更改 ActionMode 背景颜色
- 19 R - 将列表中的多个数据框转换为数字
- 20 当代码是字符串中的 exec() 时,如何以编程方式获取回溯的行号?