【Powershell】超越限制：获取Azure AD登录日志

你是否正在寻找一种方法来追踪 Azure Active Directory（Azure AD）中用户的登录活动？

如果是的话，查看Azure AD用户登录日志最简单的方法是使用Microsoft Entra管理中心。打开 https://entra.microsoft.com/，然后进入监视和健康状况 -> 登录日志 这里查看到的是全部用户的登录日志

或者选择一个用户 -> 登录日志。这里查看到的是单个用户的登录日志
尽管通过Microsoft Entra管理中心查询登录日志通常受限于最近30天的数据访问，但我们可以通过定期执行 PowerShell 脚本来导出 Azure AD 的登录日志。这样，我们可以将这些日志数据保存到其他存储解决方案中，确保这些信息能够被长期保留并用于未来的分析和审查。

通过 Microsoft Graph API 和 PowerShell 获取 Azure AD 登录日志

一、注册 Microsoft Graph 应用程序

首先，你需要在 Azure AD 中注册一个应用程序，以便它能够访问 Azure 租户中的资源。

登录到Microsoft Entra管理中心：https://entra.microsoft.com/
转到 "应用程序" -> "应用注册" -> "新注册"。
输入应用程序名称，选择 "仅此组织目录(仅 ********公司 - 单一租户)中的帐户" 并注册。
进入到上一步新注册的应用中选择"API权限"
在"API权限"部分，添加所需的权限，如下图 "AuditLog.Read.All" 和 "Directory.Read.All"。
点击 "代表 ********公司授子管理员同意" 以授予管理员同意。
在"证书和密码"下面添加"客户端密码"*只有添加是可以看到值，务必记录，否则重新添加
同时在"概述"中可以找到应用ID和租户ID

二、获取认证令牌

使用以下 PowerShell 脚本来获取 Microsoft Graph API 的访问令牌：

powershell 复制代码

$ApplicationID = "你的应用ID"
$TenatDomainName = "你的租户ID"
$AccessSecret = "应用密钥"

$Body = @{
    Grant_Type = "client_credentials"
    Scope = "https://graph.microsoft.com/.default"
    client_Id = $ApplicationID
    Client_Secret = $AccessSecret
}

$ConnectGraph = Invoke-RestMethod -Uri "https://login.microsoftonline.com/$TenatDomainName/oauth2/v2.0/token" -Method POST -Body $Body
$token = $ConnectGraph.access_token

三、使用 Microsoft Graph API 获取登录日志

使用获取到的令牌，你可以查询 Azure AD 中的登录日志。

powershell 复制代码

$GraphSignInLogs = "https://graph.microsoft.com/v1.0/auditLogs/signIns"
$result = (Invoke-RestMethod -Headers @{Authorization = "Bearer $($token)"} -Uri $GraphSignInLogs -Method Get).value

处理分页

由于 Microsoft Graph API 每次最多返回 1000 个对象，你可能需要处理分页。检查响应中的 @odata.nextLink 属性，并使用它来获取后续的数据页。

筛选特定用户过去一周的登录日志

如果你只对特定的用户过去一周的登录感兴趣，比如 aaa@abc.com，你可以添加一个筛选条件：

powershell 复制代码

$SetDate = (Get-Date).AddDays(-7)
$SetDate = Get-Date($SetDate) -format yyyy-MM-dd
$FilteredResults = $result | Where-Object {
    $_.userPrincipalName.EndsWith('aaa@abc.com') -and $_.createdDateTime -gt $SetDate
}

导出登录日志

最后，你可以将查询结果导出到 CSV 文件：

powershell 复制代码

$FilteredResults | Export-Csv "C:\PS\azure_ad_signin_logs.csv" -NoTypeInformation

智慧的数据管理，安全的业务保障

现在已经基本掌握了如何利用 Microsoft Graph API 和 PowerShell 高效地获取 Azure AD 登录日志的技能。在信息安全日益成为企业核心关切的今天，能够准确掌握用户登录活动，不仅有助于维护系统安全，更是对企业数据资产负责的体现。通过定期审查和分析登录日志，您将能够及时发现潜在的安全威胁，采取预防措施，从而保护组织免受未授权访问的风险。