上文刚刚介绍了如何用脚本批量把用户的MFA状态导出来,详见下文
Azure脚本分享,批量导出用户MFA状态
这篇算是一个额外的补充,即使对用户设置了MFA,但是用户最终是不是MFA登录的,还是要看最终的登录log的,所以这篇主要就是来介绍下如何在登录的log里筛选出来不是用MFA登录的用户
查询sign in log是不需要用PowerShell的,但是会用到Kusto, 语法基本是类SQL的,想通过Kusto查询log,需要借助于log analytics
首先需要先把Azure AD的log 发送到Log Analytics中去,方法比较简单,直接在Azure AD里找到Diagnostic settings, 新建一个diagnostic setting,然后把log发送到log analytics
然后需要等一段时间,不需要太久,有个1小时就差不多了
然后找到Log analytics workspace,尝试跑下以下query
SigninLogs
| where AuthenticationRequirement contains "single"
| where UserDisplayName != 'On-Premises Directory Synchronization Service Account'
可以看到还是有一些single factor authentication的,这种的就需要好好看看是不是正常的了
