Come ottenere report di Azure AD mediante PowerShell?
I registri di controllo di Azure Active Directory (operazioni) e i registri di accesso (dati di autenticazione) aiutano a tenere traccia di tutte le modifiche e di qualsiasi attività di accesso all’interno di Azure AD. È possibile recuperare i medesimi dati usando i cmdlet di Azure AD PowerShell per la generazione di report. In alternativa, ci si può affidare a una soluzione di auditing AD completa come ADAudit Plus, che renderà il procedimento molto più semplice.
Questo articolo confronta i metodi per ottenere i registri di controllo e di accesso di Azure AD tramite Windows PowerShell e ADAudit Plus.
Windows PowerShell
Procedura per monitorare i registri di controllo e di accesso di Azure AD mediante PowerShell:
- Per recuperare i registri di controllo all’interno di Azure AD possiamo usare il cmdlet Get-AzureADAuditDirectoryLogs.
- I registri di controllo possono essere recuperati basandosi su parametri come date, utenti, applicazioni o log contenenti una specifica risorsa.
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"
- Per ottenere i report di accesso di Azure AD, si usa il cmdlet Get-AzureADAuditSignInLogs.
- Anche in questo caso, parametri come data, utente, posizione e registro contente uno specifico stato possono essere usati per il recupero.
PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"
PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' and location/state eq 'California' and location/countryOrRegion eq 'US'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"
ADAudit Plus
Per ottenere il report,
- Accedere alla console web di ADAudit Plus.
- Navigare fino alla scheda Report > scheda Azure AD > Report accessi utenti.
- Nella sezione Report accessi utenti, si possono trovare i report di seguito elencati:
- Attività di accesso
- Accessi non riusciti
- Accessi non riusciti causati da password errata
- Attività di accesso per indirizzo IP
- Attività di accesso ibrida
- Attività di accesso per applicazioni. Ognuno di questi report può essere filtrato ulteriormente secondo le proprie esigenze.
- Selezionare il dominio.
- Selezionare Esporta come per esportare il report in uno qualsiasi dei formati preferiti (CSV, PDF, HTML, CSVDE e XLSX).
Screenshot:
Di seguito sono elencate le limitazioni dell’uso di Windows PowerShell per generare report sui registri di controllo e di accesso Azure AD:
- Possiamo eseguire lo script qui riportato solo dai computer che dispongono del ruolo Active Directory Domain Services.
- Per cambiare il formato della data e applicarvi fusi orari differenti, lo script deve essere modificato o ricreato ogni volta.
- Si incontrano difficoltà nell’esportare il report in altri formati.
- L'applicazione di molteplici filtri, come "Durante l’orario di lavoro", "Periodo" o "Esporta come", aumenterà la complessità della query LDAP.
ADAudit Plus, d'altro canto, genererà rapidamente i report desiderati scansionando tutti i controller di dominio e li esporterà in vari formati.
