我需要一个Microsoft Graph powershell脚本来检索Azure AD审计日志数据,特别是用户被添加到Azure AD组的日期。我认为这是可以完成的,因为当导出组审计日志报告时,我想用脚本查询的所有数据都存在(日期、活动和用户主体名称/对象ID)。
我已经拥有Azure应用程序注册设置所需的API权限,我假设用于查询的PowerShell cmdlet是"Get-MgAuditLogDirectoryAudit",但对MS Graph和PowerShell有些陌生,我不了解如何过滤或如何包含参数来检索此信息。
我试图执行Get-MgAuditLogDirectoryAudit cmdlet连接到MS图形返回数据,但不是我需要的,因为我没有适当的过滤器或参数作为命令的一部分。
所有支持的过滤器属性都列在https://learn.microsoft.com/en-us/graph/api/directoryaudit-list?view=graph-rest-1.0&tabs=http
如果您想查看所有用户组添加的活动,那么
Get-MgAuditLogDirectoryAudit -filter "activityDisplayName eq 'Add member to group'"
然后activityDateTime应该告诉你什么时候发生的
如果您希望将其限制为特定的组,则Target资源的选项为id的名称或
Get-MgAuditLogDirectoryAudit -filter "targetResources/any(t:t/displayName eq 'nameofgrouphere')"
也可以用And运算符将两者连接起来,例如
Get-MgAuditLogDirectoryAudit -filter "(activityDisplayName eq 'Add member to group' and targetResources/any(t:t/displayName eq 'GropuName'))"