Kurz: Získání dat pomocí rozhraní API pro generování sestav Azure Active Directory s certifikáty

Rozhraní API pro generování sestav v Azure Active Directory (Azure AD) poskytují programový přístup k těmto datům prostřednictvím sady rozhraní API založených na REST. Tato rozhraní API můžete volat z nejrůznějších programovacích jazyků a nástrojů. Pokud chcete získat přístup k rozhraní API pro vytváření sestav Azure AD bez zásahu uživatele, musíte nakonfigurovat přístup k používání certifikátů.

V tomto kurzu se naučíte používat testovací certifikát pro přístup k ms Graph API pro vytváření sestav. Nedoporučujeme používat testovací certifikáty v produkčním prostředí.

Požadavky

  1. Pokud chcete získat přístup k přihlašovacím datům, ujistěte se, že máte tenanta Azure Active Directory s licencí Premium (P1/P2). Podívejte se na článek Začínáme s Azure Active Directory Premium a upgradujte edici Azure Active Directory. Mějte na paměti, že pokud jste před upgradem neměli žádná data o aktivitách, bude trvat několik dní, než se data zobrazí v sestavách po upgradu na licenci Premium.

  2. Vytvořte nebo přepněte na uživatelský účet v roli globálního správce, správce zabezpečení, čtenáře zabezpečení nebo čtenáře sestav pro tenanta.

  3. Dokončete požadavky pro přístup k rozhraní API pro generování sestav Azure Active Directory.

  4. Stáhněte a nainstalujte Azure AD PowerShell V2.

  5. Nainstalujte MSCloudIdUtils. Tento modul poskytuje několik rutin nástrojů, jako jsou:

    • Knihovny ADAL potřebné k ověřování
    • Přístupové tokeny od uživatele, klíče aplikace a certifikáty pomocí ADAL
    • Rozhraní Graph API zpracovávající stránkové výsledky
  6. Pokud používáte modul poprvé, spusťte Install-MSCloudIdUtilsModule, jinak ho naimportujte pomocí příkazu Import-Module PowerShellu. Vaše relace by měla vypadat podobně jako na této obrazovce: Windows PowerShell

  7. K vytvoření testovacího certifikátu použijte rutinu New-SelfSignedCertificate PowerShellu.

    $cert = New-SelfSignedCertificate -Subject "CN=MSGraph_ReportingAPI" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
    
  8. Pomocí příkazového řádku Export-Certificate ho exportujte do souboru certifikátu.

    Export-Certificate -Cert $cert -FilePath "C:\Reporting\MSGraph_ReportingAPI.cer"
    
    

Získání dat pomocí rozhraní API pro generování sestav Azure Active Directory s certifikáty

  1. Přejděte na Azure Portal, vyberte Azure Active Directory a pak vyberte Registrace aplikací a ze seznamu zvolte aplikaci.

  2. V okně Registrace aplikace vyberte Tajné kódy certifikátů & v části Spravovat a vyberte Upload Certifikát.

  3. Vyberte soubor certifikátu z předchozího kroku a vyberte Přidat.

  4. Poznamenejte si ID aplikace a kryptografický otisk certifikátu, který jste právě zaregistrovali ve své aplikaci. Pokud chcete najít kryptografický otisk, přejděte na stránce aplikace na portálu do části Spravovat tajné kódy certifikátů&. Kryptografický otisk bude v seznamu Certifikáty .

  5. Otevřete manifest aplikace v editoru vloženého manifestu a ověřte, že se vlastnost keyCredentials aktualizuje o informace o novém certifikátu, jak je znázorněno níže:

    "keyCredentials": [
         {
             "customKeyIdentifier": "$base64Thumbprint", //base64 encoding of the certificate hash
             "keyId": "$keyid", //GUID to identify the key in the manifest
             "type": "AsymmetricX509Cert",
             "usage": "Verify",
             "value":  "$base64Value" //base64 encoding of the certificate raw data
         }
     ]
    
  6. Teď můžete získat přístupový token pro ms Graph API pomocí tohoto certifikátu. Použijte rutinu Get-MSCloudIdMSGraphAccessTokenFromCert z modulu MSCloudIdUtils PowerShell a předá ID aplikace a kryptografický otisk, který jste získali z předchozího kroku.

    Screenshot shows a PowerShell window with a command that creates an access token.

  7. K dotazování Graph API použijte přístupový token ve skriptu PowerShellu. Použijte rutinu Invoke-MSCloudIdMSGraphQuery z MSCloudIDUtils k vytvoření výčtu signins a koncového bodu DirectoryAudits. Tato rutina zpracovává vícestránkové výsledky a odesílá tyto výsledky do kanálu PowerShellu.

  8. Zadejte dotaz na koncový bod directoryAudits a načtěte protokoly auditu.

    Screenshot shows a PowerShell window with a command to query the directoryAudits endpoint using the access token from earlier in this procedure.

  9. Zadejte dotaz na koncový bod signins a načtěte protokoly přihlášení.

    Screenshot shows a PowerShell window with a command to query the signins endpoint using the access token from earlier in this procedure.

  10. Teď můžete tato data exportovat do souboru CSV a uložit je do systému SIEM. Můžete také zabalit váš skript do naplánované úlohy, abyste získávali data Azure AD z vašeho klienta pravidelně bez nutnosti ukládat klíče aplikace ve zdrojovém kódu.

Další kroky