Просматривая мои журналы аудита Azure и видя, как кто-то удалил кучу служб. Я вижу в разделе «Инициировано» является идентификатор объекта (GUID). Документация говорит, что это также упоминается в JSON как «вызывающий».
абонент: адрес электронной почты пользователя, который выполнил операцию, запрос UPN или запрос SPN в зависимости от доступности.
Итак, теперь попробовали эти команды CLI без удачи:
Ищу ПОЛЬЗОВАТЕЛЯ
sdistefa@Azure:~$ az ad user show --upn-or-object-id 5e9a4129-c335-4dcb-84d0-488531e7b026
Но получите:
Resource '5e9a4129-c335-4dcb-84d0-488531e7b026' does not exist or one of its queried reference-property objects are not present.
Ищем принципала:
sdistefa@Azure:~$ az ad sp list --subscription 9350e6db-d02d-4db7-baee-76f9498dfd13 --spn 5e9a4129-c335-4dcb-84d0-488531e7b026
[]
Мне нужно выяснить, как запросить претензию UPN или претензию принципала службы …… Я думаю?
Я переключился на Powershell. Я попросил себя увидеть мой ObjectId, а затем попробовал команду найти себя по действительному идентификатору. PS Azure:> Get-AzureADUser -ObjectId "sdistefa@itron.com"
ObjectId DisplayName UserPrincipalName UserType
-------- ----------- ----------------- --------
f9f1560e-ecba-461d-a811-c0f923a7895a ДиСтефано, Стив sdistefa@itron.com Участник
Azure: /
PS Azure:> Get-AzureADObjectByObjectId -objectid f9f1560e-ecba-461d-a811-c0f923a7895a
ObjectId DisplayName UserPrincipalName UserType
-------- ----------- ----------------- --------
f9f1560e-ecba-461d-a811-c0f923a7895a ДиСтефано, Стив sdistefa@itron.com Участник
Теперь я пытаюсь использовать ObjectId из журнала активности, и он возвращает пустое значение:
Azure: /
PS Azure:> Get-AzureADObjectByObjectId -objectid 5e9a4129-c335-4dcb-84d0-488531e7b026
Azure: /
PS Azure:>