¿Cómo obtener informes de Azure AD mediante PowerShell?
Los registros de auditoría (operaciones) y los registros de inicio de sesión (datos de autenticación) de Azure Active Directory le ayudan a realizar un seguimiento de todos los cambios y cualquier actividad de inicio de sesión realizada en Azure AD. Puede recuperar los mismos datos mediante los cmdlets de PowerShell de Azure AD para la generación de informes. Alternativamente, puede utilizar una solución integral de auditoría de AD como ADAudit Plus que le simplificará las cosas.
En este artículo se compara el método para obtener registros de inicio de sesión y auditoría de Azure AD mediante Windows PowerShell y ADAudit Plus.
Windows PowerShell
Pasos para supervisar los registros de inicio de sesión y auditoría de Azure AD mediante PowerShell:
- Para recuperar registros de auditoría dentro de Azure AD podemos usar el cmdlet Get-AzureADAuditDirectoryLogs.
- Los registros de auditoría se pueden recuperar en función de parámetros como fechas, usuarios, aplicaciones o registros que contienen un recurso en particular.
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "activityDateTime gt 2020-04-15"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/user/displayName eq 'John Doe'"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "initiatedBy/app/displayName eq 'Office 365'"
PS C:\>Get-AzureADAuditDirectoryLogs -Filter "targetResources/any(tr:tr/displayName eq 'Active Directory Example')"
- Para obtener informes sobre los registros de inicio de sesión en Azure AD, se utiliza el cmdlet Get-AzureADAuditSignInLogs.
- Se pueden recuperar parámetros similares como la fecha, el usuario, la ubicación y el registro con un estado determinado.
PS C:\>Get-AzureADAuditSignInLogs -Filter "createdDateTime gt 2020-04-215"
PS C:\>Get-AzureADAuditSignInLogs -Filter "userDisplayName eq 'John Doe'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "appDisplayName eq 'Office 365'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "location/city eq 'Pleasanton' y location/state eq 'California' y location/countryOrRegion eq 'US'"
PS C:\>Get-AzureADAuditSignInLogs -Filter "status/errorCode eq 0 -All $true"
ADAudit Plus
Para obtener el informe,
- Inicie sesión en la consola web de ADAudit Plus.
- Vaya a la pestaña Reports > pestaña Azure AD > User Logon Reports
- Debajo de User Logon Reports, encontrará los informes mencionados a continuación:
- Actividad de inicio de sesión
- Errores de inicio de sesión
- Errores de inicio de sesión debido a una contraseña incorrecta
- Actividad de inicio de sesión por dirección IP
- Actividad de inicio de sesión híbrido
- Actividad de inicio de sesión por aplicaciones. Cada uno de estos informes se puede filtrar aún más según sus necesidades.
- Seleccione el dominio
- Seleccione Export as para exportar el informe en cualquiera de los formatos preferidos (CSV, PDF, HTML, CSVDE y XLSX).
Captura de pantalla:
A continuación se indican las limitaciones del uso de Windows PowerShell para generar registros de auditoría e inicio de sesión de Azure AD:
- Podemos ejecutar el script anterior solo desde las computadoras que tienen el rol de Servicios de dominio de Active Directory.
- Para cambiar los formatos de fecha y aplicar diferentes zonas horarias en los resultados de la fecha, el script debe modificarse o crearse cada vez.
- Es difícil exportar el informe en otros formatos.
- La aplicación de más filtros, como "Durante el horario comercial", "Período" y "Exportar como" aumentará la complejidad de la consulta LDAP.
ADAudit Plus, por otro lado, generará informes rápidamente escaneando todos los DC, y estos informes se pueden exportar en múltiples formatos.
