你是否正在寻找一种方法来追踪 Azure Active Directory(Azure AD)中用户的登录活动?
如果是的话,查看Azure AD用户登录日志最简单的方法是使用Microsoft Entra管理中心。打开 https://entra.microsoft.com/,然后进入 监视和健康状况 -> 登录日志 这里查看到的是全部用户的登录日志
或者选择一个用户 -> 登录日志。这里查看到的是单个用户的登录日志
尽管通过Microsoft Entra管理中心查询登录日志通常受限于最近30天的数据访问,但我们可以通过定期执行 PowerShell 脚本来导出 Azure AD 的登录日志。这样,我们可以将这些日志数据保存到其他存储解决方案中,确保这些信息能够被长期保留并用于未来的分析和审查。
通过 Microsoft Graph API 和 PowerShell 获取 Azure AD 登录日志
一、注册 Microsoft Graph 应用程序
首先,你需要在 Azure AD 中注册一个应用程序,以便它能够访问 Azure 租户中的资源。
-
登录到Microsoft Entra管理中心:https://entra.microsoft.com/
-
转到 “应用程序” -> “应用注册” -> “新注册”。
-
输入应用程序名称,选择 “仅此组织目录(仅 ********公司 - 单一租户)中的帐户” 并注册。
-
进入到上一步新注册的应用中选择"API权限"
-
在"API权限"部分,添加所需的权限,如下图 “AuditLog.Read.All” 和 “Directory.Read.All”。
-
点击 “代表 ********公司 授子管理员同意” 以授予管理员同意。
-
在"证书和密码"下面添加"客户端密码"
*只有添加是可以看到值,务必记录,否则重新添加
-
同时在"概述"中可以找到应用ID和租户ID
二、获取认证令牌
使用以下 PowerShell 脚本来获取 Microsoft Graph API 的访问令牌:
$ApplicationID = "你的应用ID"
$TenatDomainName = "你的租户ID"
$AccessSecret = "应用密钥"
$Body = @{
Grant_Type = "client_credentials"
Scope = "https://graph.microsoft.com/.default"
client_Id = $ApplicationID
Client_Secret = $AccessSecret
}
$ConnectGraph = Invoke-RestMethod -Uri "https://login.microsoftonline.com/$TenatDomainName/oauth2/v2.0/token" -Method POST -Body $Body
$token = $ConnectGraph.access_token
三、使用 Microsoft Graph API 获取登录日志
使用获取到的令牌,你可以查询 Azure AD 中的登录日志。
$GraphSignInLogs = "https://graph.microsoft.com/v1.0/auditLogs/signIns"
$result = (Invoke-RestMethod -Headers @{Authorization = "Bearer $($token)"} -Uri $GraphSignInLogs -Method Get).value
处理分页
由于 Microsoft Graph API 每次最多返回 1000 个对象,你可能需要处理分页。检查响应中的 @odata.nextLink 属性,并使用它来获取后续的数据页。
筛选特定用户过去一周的登录日志
如果你只对特定的用户过去一周的登录感兴趣,比如 aaa@abc.com,你可以添加一个筛选条件:
$SetDate = (Get-Date).AddDays(-7)
$SetDate = Get-Date($SetDate) -format yyyy-MM-dd
$FilteredResults = $result | Where-Object {
$_.userPrincipalName.EndsWith('aaa@abc.com') -and $_.createdDateTime -gt $SetDate
}
导出登录日志
最后,你可以将查询结果导出到 CSV 文件:
$FilteredResults | Export-Csv "C:\PS\azure_ad_signin_logs.csv" -NoTypeInformation
智慧的数据管理,安全的业务保障
现在已经基本掌握了如何利用 Microsoft Graph API 和 PowerShell 高效地获取 Azure AD 登录日志的技能。在信息安全日益成为企业核心关切的今天,能够准确掌握用户登录活动,不仅有助于维护系统安全,更是对企业数据资产负责的体现。通过定期审查和分析登录日志,您将能够及时发现潜在的安全威胁,采取预防措施,从而保护组织免受未授权访问的风险。
