Comment obtenir des rapports Azure AD à l'aide de PowerShell ?

Les journaux d'audit Azure Active Directory (opérations) et les journaux d'ouverture de session (données d'authentification) vous aident à retracer toutes les modifications et toute activité de connexion effectuées dans Azure AD. Vous pouvez récupérer les mêmes données en utilisant les commandes cmdlets Azure AD PowerShell pour la création de rapports. Vous pouvez également utiliser une solution d'audit AD complète comme ADAudit Plus pour vous simplifier la tâche.

Cet article compare la méthode d'obtention des journaux d'audit et de connexion Azure AD à l'aide de Windows PowerShell et d'ADAudit Plus.

Windows PowerShell

Étapes à suivre pour surveiller les journaux d'audit et de connexion Azure AD à l'aide de PowerShell :

Pour récupérer les journaux d'audit dans Azure AD, nous pouvons utiliser la commande cmdlet Get-AzureADAuditDirectoryLogs.

Les journaux d'audit peuvent être récupérés en fonction de paramètres tels que les dates, les utilisateurs, les applications ou les journaux contenant une ressource particulière.

PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"

PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"

PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"

PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"

Pour obtenir des rapports sur les journaux d'ouverture de session dans Azure AD, la commande cmdlet Get-AzureADAuditSignInLogs est utilisée.

Des paramètres similaires tels que la date, l'utilisateur, l'emplacement et le journal avec un statut donné peuvent être récupérés.

PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"

PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"

PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"

PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' and location/state eq 'California' and location/countryOrRegion eq 'US'"

PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"

ADAudit Plus

Pour obtenir le rapport,

Connectez-vous à la console web ADAudit Plus.
Allez dans l’onglet Rapports > Azure AD > Rapports sur les connexions des utilisateurs.
Sous Rapports sur les connexions des utilisateurs, vous trouverez les rapports mentionnés ci-dessous :
- Activité de connexions
- Échecs d'ouverture de session
- Échecs de connexion dus à un mauvais mot de passe
- Activité de connexion par adresse IP
- Activité de connexion hybride
- Activité de connexion par application. Chacun de ces rapports peut être filtré selon vos besoins.
Sélectionnez le domaine.
Sélectionnez Exporter en tant que pour exporter le rapport dans l'un des formats préférés (CSV, PDF, HTML, CSVDE et XLSX).

Capture d’écran :

Voici les limites de l'utilisation de Windows PowerShell pour générer les journaux d'audit et de connexion d'Azure AD :

Nous ne pouvons exécuter le script ci-dessus qu'à partir des ordinateurs qui ont le rôle de services de domaine Active Directory.
Pour changer les formats de date et appliquer différents fuseaux horaires aux résultats de la date, le script doit être modifié ou créé à chaque fois.
Il est difficile d'exporter le rapport dans d'autres formats.
L'application de filtres supplémentaires, tels que « Pendant les heures de bureau », « Période » et « Exporter en tant que » augmente la complexité de la requête LDAP.

ADAudit Plus, quant à lui, génère rapidement des rapports en analysant tous les DC et ces rapports peuvent être exportés dans différents formats.

Comment obtenir des rapports Azure AD à l'aide de PowerShell ?

Windows PowerShell

Étapes à suivre pour surveiller les journaux d'audit et de connexion Azure AD à l'aide de PowerShell :

ADAudit Plus

Pour obtenir le rapport,

Ressources connexes: