Sdílet prostřednictvím

Návod: Přizpůsobené sestavy v Azure Data Exploreru pomocí dat z Microsoft Entra ID

  • Článek

V tomto kurzu se dozvíte, jak vytvářet přizpůsobené sestavy v Azure Data Explorer (ADX) pomocí dat ze služeb Microsoft Entra ID a Microsoft Entra ID Governance. Tento kurz doplňuje další možnosti vytváření sestav, jako je Archiv & sestavy se službou Azure Monitor apro správu nároků, které se zaměřují na export protokolu auditu do služby Azure Monitor pro účely uchovávání a analýzy. Ve srovnání s tím export dat Microsoft Entra ID do Azure Data Exploreru umožňuje flexibilitu při vytváření vlastních sestav o objektech Microsoft Entra, včetně historických a odstraněných objektů. Použití Azure Data Exploreru navíc umožňuje agregaci dat z dalších zdrojů s masivní škálovatelností, flexibilním schématem a zásadami uchovávání informací. Azure Data Explorer je zvlášť užitečný v případě, že potřebujete uchovávat přístupová data po dobu let, provádět ad hoc šetření nebo potřebujete spouštět vlastní dotazy na data přístupu uživatelů.

Tento článek ukazuje, jak zobrazit konfigurační, uživatele a přístupová práva exportovaná z Microsoft Entra spolu s daty exportovanými z jiných zdrojů, jako jsou aplikace s databázemi SQL. Potom můžete pomocí dotazovacího jazyka Kusto (KQL) v Azure Data Exploreru vytvářet vlastní sestavy na základě požadavků vaší organizace.

K vytvoření těchto sestav použijete následující kroky:

  1. Nastavte službu Azure Data Explorer v předplatném Azure nebo vytvořte bezplatný cluster.
  2. Extrahujte data z databází nebo aplikací microsoft Entra a třetích stran pomocí skriptů PowerShellu a MS Graphu.
  3. Naimportujte data do Azure Data Exploreru, rychlé a škálovatelné služby pro analýzu dat.
  4. Vytvořte vlastní dotaz pomocí dotazovací jazyk Kusto.

Na konci tohoto kurzu budete mít vytvořené dovednosti pro vývoj přizpůsobených zobrazení přístupových práv a oprávnění uživatelů v různých aplikacích pomocí podporovaných nástrojů Microsoftu.

Požadavky

Pokud s Azure Data Explorerem začínáte a chcete zjistit scénáře uvedené v tomto článku, můžete získat bezplatný cluster Azure Data Exploreru. V případě podpory produkčního prostředí se smlouvou o úrovni služeb pro Azure Data Explorer budete potřebovat předplatné Azure k hostování celého clusteru Azure Data Exploreru.

Určete, jaká data chcete zahrnout do sestav. Skripty v tomto článku poskytují ukázky s konkrétními daty od uživatelů, skupin a aplikací z Entra. Tyto ukázky mají ilustrovat typy sestav, které můžete pomocí tohoto přístupu vygenerovat, ale vaše konkrétní potřeby vytváření sestav se mohou lišit a vyžadovat různá nebo další data. Můžete začít s těmito objekty a v průběhu času přenést další druhy objektů Microsoft Entra.

  • Tento článek demonstruje načítání dat z Microsoft Entra jako přihlášeného uživatele. Abyste to mohli udělat, ujistěte se, že máte požadovaná přiřazení rolí k načtení dat z Microsoft Entra. Abyste mohli exportovat typ dat Entra, se kterými chcete pracovat, budete potřebovat role se správnými oprávněními.
    • Uživatelská data: globální správce, správce privilegovaných rolí, správce uživatelů
    • Data skupin: globální správce, správce privilegovaných rolí, správce skupin
    • Aplikace /Přiřazení rolí aplikací: globální správce, správce privilegovaných rolí, správce aplikací, správce cloudových aplikací
  • Microsoft Graph PowerShell musí být odsouhlasený, aby bylo možné načíst objekty Microsoft Entra prostřednictvím Microsoft Graphu. Příklady v tomto kurzu vyžadují delegovaná oprávnění User.Read.All, Group.Read.All, Application.Read.All a Directory.Read.All. Pokud plánujete načítat data pomocí automatizace bez přihlášeného uživatele, odsouhlaste místo toho odpovídající oprávnění aplikace. Další informace najdete v referenčních informacích k oprávněním Microsoft Graphu. Pokud jste k těmto oprávněním ještě nepovolili Microsoft Graph PowerShell, musíte být globálním správcem, abyste mohli tuto operaci souhlasu provést.
  • Tento návod neobsahuje vlastní atributy zabezpečení. Globální správce a další role správců ve výchozím nastavení nezahrnují oprávnění ke čtení vlastních atributů zabezpečení od uživatelů Microsoft Entra. Pokud plánujete načíst vlastní atributy zabezpečení, pak může být zapotřebí více rolí a oprávnění.
  • Na počítači, na kterém je nainstalovaný Microsoft Graph PowerShell, se ujistěte, že máte přístup k zápisu do adresáře systému souborů, do kterého nainstalujete požadované moduly MS Graph PowerShellu a kam se exportovaná data Entra uloží.
  • Ujistěte se, že máte oprávnění k načtení dat z jiných zdrojů dat mimo Microsoft Entra.

1: Nastavení Azure Data Exploreru

Pokud jste azure Data Explorer ještě nepoužívali, musíte ho nejdřív nastavit. Můžete vytvořit bezplatný cluster bez předplatného Azure nebo platební karty, nebo můžete vytvořit plný cluster, který vyžaduje předplatné Azure. Viz Rychlý start: Vytvoření clusteru a databáze Azure Data Exploreru, abyste mohli začít.

2: Připojení k MS Graphu a extrakce dat Entra pomocí PowerShellu

V této části nainstalujete moduly MS Graph PowerShellu a Connect k MS Graph.

Při prvním použití těchto modulů pro tento scénář musíte být v roli globálního správce, abyste ve vašem tenantovi povolili používání Microsoft Graph PowerShell. Následné interakce můžou používat méně privilegovanou roli.

  1. Otevřete PowerShell.
  2. Pokud ještě nemáte nainstalované všechny moduly Microsoft Graph PowerShellu , nainstalujte požadované moduly MS Graphu. Pro tento kurz jsou vyžadovány následující moduly: Microsoft.Graph.Authentication, Microsoft.Graph.Users, Microsoft.Graph.Groups, Microsoft.Graph.Applications, Microsoft.Graph.DirectoryObjects.
   $modules = @('Microsoft.Graph.Users', 'Microsoft.Graph.Groups', 'Microsoft.Graph.Applications', 'Microsoft.Graph.DirectoryObjects') 
   foreach ($module in $modules) { 
   Install-Module -Name $module -Scope CurrentUser -AllowClobber -Force
   }
  1. Importujte moduly do aktuální relace PowerShellu.
  $modules = @('Microsoft.Graph.Users', 'Microsoft.Graph.Groups', 'Microsoft.Graph.Applications', 'Microsoft.Graph.DirectoryObjects') 
  foreach ($module in $modules) { 
  Import-Module -Name $module 
  }
  1. Připojte se k Microsoft Graphu.
  Connect-MgGraph -Scopes "User.Read.All", "Group.Read.All", "Application.Read.All", "Directory.Read.All" -ContextScope Process

Tento příkaz vás vyzve k přihlášení pomocí přihlašovacích údajů Microsoft Entra. Po přihlášení možná budete muset udělit souhlas s požadovanými oprávněními, pokud se jedná o první připojení nebo pokud jsou vyžadována nová oprávnění.

Dotazy PowerShellu pro extrahování dat potřebných k vytváření vlastních sestav v Azure Data Exploreru

Následující dotazy extrahují data Entra z MS Graphu pomocí PowerShellu a exportují data do souborů JSON, které se naimportují do Azure Data Exploreru v následující části 3. Pro generování sestav s tímto typem dat může existovat několik scénářů:

  • Auditor by chtěl zobrazit sestavu se seznamem členů skupiny pro 10 skupin uspořádaných oddělením členů.
  • Auditor by chtěl zobrazit sestavu všech uživatelů, kteří měli přístup k aplikaci mezi dvěma daty.
  • Správce chce zobrazit všechny uživatele přidané do aplikace z Microsoft Entra ID a databází SQL.

Tyto typy sestav nejsou integrované v Microsoft Entra ID, ale tyto sestavy můžete vytvořit sami tak, že extrahujete data z Entra a zkombinujete je pomocí vlastních dotazů v Azure Data Exploreru.

V tomto kurzu extrahujeme data Entra z několika oblastí:

  • Informace o uživateli, jako jsou zobrazované jméno, hlavní název uživatele (UPN) a podrobnosti o úloze
  • Informace o skupině
  • Přiřazení aplikací a rolí

Tato datová sada nám umožní provádět širokou sadu dotazů obejdoucích se tím, kdo získal přístup k aplikaci, informacím o rolích a přidruženému časovému rámci. Všimněte si, že se jedná o ukázkové dotazy a vaše data a konkrétní požadavky se můžou lišit od toho, co vidíte tady.

Poznámka:

U větších tenantů může docházet k omezování / 429 chyb, které bude zpracovávat modul MS Graph.

V těchto skriptech PowerShellu exportujeme vybrané vlastnosti z objektů Entra do souborů JSON. Data z těchto exportovaných vlastností se pak použijí k vygenerování vlastních sestav v Azure Data Exploreru. Níže uvedené konkrétní vlastnosti byly zahrnuty v těchto příkladech, protože tato data používáme k ilustraci typů sestav, které můžete vytvořit v Azure Data Exploreru. Vzhledem k tomu, že se vaše konkrétní potřeby vytváření sestav budou pravděpodobně lišit od toho, co je zobrazeno níže, měli byste do těchto skriptů zahrnout konkrétní vlastnosti, které vás zajímají, ale můžete postupovat podle stejného vzoru, který vidíte níže, abyste mohli vytvářet skripty.

Dále jsme zahrnuli pevně zakódované datum snímku, které identifikuje data v souboru JSON s konkrétním datem a umožní nám sledovat podobné datové sady v průběhu času v Azure Data Exploreru. Datum snímku je také užitečné při porovnávání změn dat mezi dvěma daty snímků.

Získání uživatelských dat Entra

Tento skript exportuje vybrané vlastnosti z objektu uživatele Entra do souboru JSON. Tato data naimportujeme do Azure Data Exploreru v následující části tohoto kurzu.

  function Export-EntraUsersToJson { 

  # Define a hash table for property mappings 
   $propertyMappings = @{ 
    "Id" = "ObjectID" 
    "DisplayName" = "DisplayName" 
    "UserPrincipalName" = "UserPrincipalName" 
    "EmployeeId" = "EmployeeId" 
    "UserType" = "UserType" 
    "CreatedDateTime" = "CreatedDateTime" 
    "JobTitle" = "JobTitle" 
    "Department" = "Department" 
    "AccountEnabled" = "AccountEnabled" 

   # Add custom properties as needed 
    "custom_extension" = "CustomExtension" 
   } 
  # Retrieve users with specified properties and create custom objects directly 
   $users = Get-MgUser -Select ($propertyMappings.Keys) -All | ForEach-Object { 
      $userObject = @{} 
      foreach ($key in $propertyMappings.Keys) { 
        if ($key -eq "CreatedDateTime") { 
          # Convert date string directly to DateTime and format it 
          $date = [datetime]::Parse($_.$key) 
          $userObject[$propertyMappings[$key]] = $date.ToString("yyyy-MM-dd") 
        } else { 
          $userObject[$propertyMappings[$key]] = $_.$key 
        } 
      } 
      # Additional properties or transformations 
      $userObject["SnapshotDate"] = "2024-01-11" 
      [pscustomobject]$userObject 
    } 
    # Convert the user data to JSON and save it to a file 
    $users | ConvertTo-Json -Depth 2 | Set-Content ".\EntraUsers.json" 
  } 
  # Execute the function 
  Export-EntraUsersToJson

Získání dat skupiny

Vygenerujte soubor JSON s názvy skupin a ID, které se použijí k vytváření vlastních zobrazení v Azure Data Exploreru. Ukázka bude obsahovat všechny skupiny, ale v případě potřeby je možné zahrnout další filtrování. Pokud filtrujete tak, aby zahrnovaly jenom určité skupiny, můžete do skriptu zahrnout logiku, která kontroluje vnořené skupiny.

    # Get all groups and select Id and DisplayName 
    $groups = Get-MgGroup -All | Select-Object Id,DisplayName 
    # Export the groups to a JSON file 
    $groups | ConvertTo-Json | Set-Content ".\EntraGroups.json"

Získání dat členství ve skupině

Vygenerujte soubor JSON s členstvím ve skupině, který se použije k vytváření vlastních zobrazení v Azure Data Exploreru.

    # Retrieve all groups from Microsoft Entra (Azure AD) 
    $groups = Get-MgGroup -All 
    # Initialize an array to store results 
    $results = @() 
    # Iterate over each group 
    foreach ($group in $groups) { 
      # Extract the group ID 
      $groupId = $group.Id 
      # Get members of the current group and select their IDs 
      $members = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id 
      # Add a custom object with group ID and member IDs to the results array 
      $results += [PSCustomObject]@{ 
        GroupId = $groupId 
        Members = $members 
      } 
      # Pause for a short time to avoid rate limits 
      Start-Sleep -Milliseconds 200 
    } 
    # Convert the results array to JSON format and save it to a file 
    $results | ConvertTo-Json | Set-Content "EntraGroupMembership.json"

Získání dat aplikace a instančního objektu

Vygeneruje soubor JSON se všemi aplikacemi a odpovídajícími instančními objekty v tenantovi. Tato data naimportujeme do služby Azure Data Explorer v následující části tohoto kurzu, což nám umožní generovat vlastní sestavy související s aplikacemi na základě těchto dat.

    # Fetch applications and their corresponding service principals, then export to JSON 
    Get-MgApplication -All | ForEach-Object { 
      $app = $_ 
      $sp = Get-MgServicePrincipal -Filter "appId eq '$($app.AppId)'" 
      [pscustomobject]@{ 
        Name        = $app.DisplayName 
        ApplicationId   = $app.AppId 
        ServicePrincipalId = $sp.Id 
      } 
    } | ConvertTo-Json -Depth 10 | Set-Content "Applications.json"

Získání dat AppRole

Vygenerujte soubor JSON všech aplikací appRoles pro podnikové aplikace v Entra. Po importu do Azure Data Exploreru použijeme tato data k vygenerování sestav zahrnujících přiřazení rolí aplikací pro uživatele.

    # Get a list of all applications, handle pagination manually if necessary 
    $apps = Get-MgApplication -All 
    # Loop through each application to gather the desired information 
    $results = foreach ($app in $apps) { 
      # Get the service principal for the application using its appId 
      $spFilter = "appId eq '$($app.AppId)'" 
      $sp = Get-MgServicePrincipal -Filter $spFilter | Select-Object -First 1 
      # Process AppRoles, if any, for the application 
      $appRoles = if ($app.AppRoles) { 
        $app.AppRoles | Where-Object { $_.AllowedMemberTypes -contains "User" } | 
        Select-Object Id, Value, DisplayName 
      } 
      # Construct a custom object with application and service principal details 
      [PSCustomObject]@{ 
        ApplicationId    = $app.AppId 
        DisplayName     = $app.DisplayName 
        ServicePrincipalId = $sp.Id 
        AppRoles      = $appRoles 
      } 
    } 
    # Export the results to a JSON file 
    $results | ConvertTo-Json -Depth 4 | Out-File 'AppRoles.json'

Získání dat přiřazení AppRole

Vygenerujte soubor JSON všech přiřazení rolí aplikace v tenantovi.

    $users = Get-MgUser -All 
    $result = @() 
    foreach ($user in $users) { 
      Get-MgUserAppRoleAssignment -UserId $user.Id | ForEach-Object { 
        # Use the same date formatting approach 
        $createdDateTime = $_.CreatedDateTime -replace "\\/Date\((\d+)\)\\/", '$1' 
        # Convert the milliseconds timestamp to a readable date format if needed 
        $result += [PSCustomObject]@{ 
          AppRoleId      = $_.AppRoleId 
          CreatedDateTime   = $createdDateTime 
          PrincipalDisplayName = $_.PrincipalDisplayName 
          PrincipalId     = $_.PrincipalId 
          ResourceDisplayName = $_.ResourceDisplayName 
          ResourceId      = $_.ResourceId 
          SnapshotDate     = "2024-03-13" # Hard-coded date 
        } 
      } 
    } 
    $result | ConvertTo-Json -Depth 10 | Out-File "AppRoleAssignments.json"

3: Import dat souboru JSON do Azure Data Exploreru

V této části naimportujeme nově vytvořené soubory JSON pro další analýzu.

Jakmile nastavíte databázi v clusteru Azure Data Exploreru nebo v bezplatném clusteru, jak je popsáno v první části tohoto dokumentu, přejděte do této databáze.

  1. Přihlaste se k webovému uživatelskému rozhraní azure Data Exploreru .
  2. V nabídce vlevo vyberte dotaz.

Dále postupujte podle těchto kroků pro každý exportovaný soubor JSON a získejte exportovaná data do databáze Azure Data Exploreru.

  1. Pravým tlačítkem myši klikněte na název databáze, do které chcete data ingestovat. Vyberte Načíst data.

    Snímek obrazovky s kartou dotazování, kde je na databázi kliknuto pravým tlačítkem myši a otevřeno dialogové okno s možnostmi získání.

  2. Vyberte zdroj dat z dostupného seznamu. V tomto kurzu importujete data z místního souboru .

  3. Vyberte + Nová tabulka a zadejte název tabulky na základě názvu souboru JSON, který importujete, například pokud importujete EntraUsers.json, pojmenujte tabulku EntraUsers. Po prvním importu už tabulka existuje a můžete ji vybrat jako cílovou tabulku pro následný import.

  4. Vyberte Vyhledat soubory, vyberte soubor JSON a vyberte Další.

  5. Azure Data Explorer automaticky rozpozná schéma a na kartě Prohlédnout zobrazí náhled. Kliknutím na Dokončit vytvoříte tabulku a importujete data z daného souboru.

  6. Opakujte každý z předchozích kroků pro každý ze souborů JSON, které jste vygenerovali v první části.

4: Vytváření vlastních sestav pomocí Azure Data Exploreru

S daty, která jsou teď dostupná v Azure Data Exploreru, jste připraveni začít vytvářet přizpůsobené sestavy na základě vašich obchodních požadavků.

Azure Data Explorer je výkonný nástroj pro analýzu dat, který je vysoce škálovatelný a flexibilní a poskytuje ideální prostředí pro generování přizpůsobených sestav přístupu uživatelů. Azure Data Explorer používá dotazovací jazyk Kusto (KQL).

Následující dotazy poskytují příklady běžných sestav, ale tyto sestavy můžete přizpůsobit tak, aby vyhovovaly vašim potřebám, a vytvářet další sestavy.

Příklad 1: Generování přiřazení rolí aplikace pro přímá přiřazení a přiřazení skupin pro konkrétní datum snímku

Tato sestava poskytuje přehled o tom, kdo měl k cílové aplikaci přístup a kdy a kdy se dá použít pro audity zabezpečení, ověření dodržování předpisů a pochopení vzorů přístupu v organizaci.

Tento dotaz cílí na konkrétní aplikaci v rámci služby Entra AD a analyzuje přiřazení rolí k určitému datu. Dotaz načte přímé i skupinové přiřazení rolí a slučuje tato data s podrobnostmi o uživateli z tabulky EntraUsers a informací o rolích z tabulky AppRoles.

/// Define constants 
let targetServicePrincipalId = "<your service principal-id>"; // Target Service Principal ID 
let targetSnapshotDate = datetime("2024-01-13"); // Target Snapshot Date for the data 

// Extract role assignments for the target Service Principal and Snapshot Date 
let roleAssignments = AppRoleAssignments 
    | where ResourceId == targetServicePrincipalId and startofday(SnapshotDate) == targetSnapshotDate 
    | extend AppRoleIdStr = tostring(AppRoleId); // Convert AppRoleId to string for easier comparison 

// Prepare user data from EntraUsers table 
let users = EntraUsers 
    | project ObjectID, UserPrincipalName, DisplayName, ObjectIDStr = tostring(ObjectID); // Include ObjectID as string for joining 

// Prepare role data from AppRoles table 
let roles = AppRoles 
    | mvexpand AppRoles // Expand AppRoles to handle multiple roles 
    | extend RoleName = AppRoles.DisplayName, RoleId = tostring(AppRoles.Id) // Extract Role Name and ID 
    | project RoleId, RoleName; 
// Process direct assignments 
let directAssignments = roleAssignments 
    | join kind=inner users on $left.PrincipalId == $right.ObjectID // Join with EntraUsers on PrincipalId 
    | join kind=inner roles on $left.AppRoleIdStr == $right.RoleId // Join with roles to get Role Names 
    | project UserPrincipalName, DisplayName, CreatedDateTime, RoleName, AssignmentType = "Direct", SnapshotDate; 

// Process group-based assignments 

let groupAssignments = roleAssignments 
    | join kind=inner EntraGroupMembership on $left.PrincipalId == $right.GroupId // Join with Group Membership 
    | mvexpand Members // Expand group members 
    | extend MembersStr = tostring(Members) // Convert member ID to string 
    | distinct MembersStr, CreatedDateTime, AppRoleIdStr, SnapshotDate // Get distinct values 
    | join kind=inner users on $left.MembersStr == $right.ObjectIDStr // Join with EntraUsers for user details 
    | join kind=inner roles on $left.AppRoleIdStr == $right.RoleId // Join with roles for role names 
    | project UserPrincipalName, DisplayName, CreatedDateTime, RoleName, AssignmentType = "Group", SnapshotDate; 

// Combine results from direct and group-based assignments 
directAssignments 
| union groupAssignments

Příklad 2: Sestavení základní sestavy auditora s daty Entra zobrazující, kdo měl přístup k aplikaci mezi těmito dvěma daty

Tato sestava poskytuje přehled o tom, kdo měl přístup k cílové aplikaci mezi dvěma daty a který je možné použít pro audity zabezpečení, ověření dodržování předpisů a pochopení vzorů přístupu v organizaci.

Tento dotaz cílí na konkrétní aplikaci v rámci ID Microsoft Entra a analyzuje přiřazení rolí mezi dvěma daty. Dotaz načte přímé přiřazení rolí z tabulky AppRoleAssignments a sloučí tato data s podrobnostmi o uživateli z tabulky EntraUsers a informací o rolích z tabulky AppRoles.

// Set the date range and service principal ID for the query 
let startDate = datetime('2024-01-01'); 
let endDate = datetime('2024-03-14'); 
let servicePrincipalId = "<your service principal-id>"; 

// Query AppRoleAssignments for the specified service principal within the date range 
AppRoleAssignments 
| where ResourceId == servicePrincipalId and 
    todatetime(CreatedDateTime) between (startDate .. endDate) 

// Extend AppRoleId to a string for joining 
| extend AppRoleIdStr = tostring(AppRoleId) 

// Project the necessary fields for the join with EntraUsers and AppRoles 
| project PrincipalId, AppRoleIdStr, CreatedDateTime 

// Join with EntraUsers to get user details 
| join kind=inner (EntraUsers | project UserPrincipalName, DisplayName, ObjectID) on $left.PrincipalId == $right.ObjectID 

// Join with AppRoles to get the role display names 
| join kind=inner ( 
  AppRoles | mvexpand AppRoles | project RoleIdStr = tostring(AppRoles.Id), RoleDisplayName = tostring(AppRoles.DisplayName) 
) on $left.AppRoleIdStr == $right.RoleIdStr 

// Final projection of the report with the current date and time 
| project UserPrincipalName, DisplayName, RoleDisplayName, CreatedDateTime, ReportDate = now()

Příklad 3: Přidání uživatelů do aplikace mezi dvěma daty snímků dat

Tyto sestavy poskytují zobrazení, kterým uživatelům bylo přiřazeno přiřazení role aplikace cílové aplikaci mezi dvěma daty. Tyto sestavy se dají použít ke sledování změn v přístupu k aplikacím v průběhu času.

Tento dotaz cílí na konkrétní aplikaci v rámci ID Microsoft Entra a změní přiřazení rolí mezi počátečním a koncovým datem.

// Define the date range and service principal ID for the query 

let startDate = datetime("2024-03-01"); 
let endDate = datetime("2024-03-14"); 
let servicePrincipalId = "<your service principal-id>"; 
let earlierDate = startDate; // Update this to your specific earlier date 

AppRoleAssignments 
| where SnapshotDate < endDate and ResourceId == servicePrincipalId
| project PrincipalId, AppRoleId2 = tostring(AppRoleId), CreatedDateTime 
| join kind=anti ( 
    AppRoleAssignments 
    | where SnapshotDate < earlierDate and ResourceId == servicePrincipalId 
    | project PrincipalId, AppRoleId1 = tostring(AppRoleId) 
) on PrincipalId 
| join kind=inner (EntraUsers) on $left.PrincipalId == $right.ObjectID 
| join kind=inner (AppRoles 
                   | mvexpand AppRoles 
                   | project AppRoleId=tostring(AppRoles.Id), RoleDisplayName=tostring(AppRoles.DisplayName) 
                  ) on $left.AppRoleId2 == $right.AppRoleId 
| project UserPrincipalName, DisplayName, RoleDisplayName, CreatedDateTime, PrincipalId, Change = "Added"

Příklad 4: Kombinování přiřazení aplikací z Entra a druhého zdroje (například export SQL) k vytvoření sestavy všech uživatelů (přiřazení Entra a místních přiřazení), kteří měli přístup k Salesforce mezi dvěma daty

Tato zpráva předvádí, jak lze kombinovat data ze dvou samostatných systémů k vytvoření vlastních sestav v Azure Data Exploreru. Agreguje data o uživatelích, jejich rolích a dalších atributech ze dvou systémů do sjednoceného formátu pro analýzu nebo vytváření sestav.

// Define the date range and service principal ID for the query 

let startDate = datetime("2023-06-01"); 
let endDate = datetime("2024-03-13"); 
let servicePrincipalId = "<your service principal-id>"; 

// Pre-process AppRoleAssignments with specific filters and projections 
let processedAppRoleAssignments = AppRoleAssignments 
    | where ResourceId == servicePrincipalId and todatetime(CreatedDateTime) between (startDate .. endDate) 
    | extend AppRoleId = tostring(AppRoleId) 
    | project PrincipalId, AppRoleId, CreatedDateTime, ResourceDisplayName; // Exclude DeletedDateTime and keep ResourceDisplayName 

// Pre-process AppRoles to get RoleDisplayName for each role 
let processedAppRoles = AppRoles 
    | mvexpand AppRoles 
    | project AppRoleId = tostring(AppRoles.Id), RoleDisplayName = tostring(AppRoles.DisplayName); 

// Main query: Process EntraUsers by joining with processed role assignments and roles 
EntraUsers 
    | join kind=inner processedAppRoleAssignments on $left.ObjectID == $right.PrincipalId // Join with role assignments 
    | join kind=inner processedAppRoles on $left.AppRoleId == $right.AppRoleId // Join with roles to get display names 

    // Summarize to get the latest record for each unique combination of user and role attributes 
    | summarize arg_max(AccountEnabled, *) by UserPrincipalName, DisplayName, tostring(EmployeeId), Department, JobTitle, ResourceDisplayName, RoleDisplayName, CreatedDateTime 

    // Final projection of relevant fields including source indicator and report date 
    | project UserPrincipalName, DisplayName, EmployeeId=tostring(EmployeeId), Department, JobTitle, AccountEnabled=tostring(AccountEnabled), ResourceDisplayName, RoleDisplayName, CreatedDateTime, Source="EntraUsers", ReportDate = now() 

// Union with processed salesforceAssignments to create a combined report 
| union ( 
    salesforceAssignments 

    // Project fields from salesforceAssignments to align with the EntraUsers data structure 
    | project UserPrincipalName = UserName, DisplayName = Name, EmployeeId = tostring(EmployeeId), Department, JobTitle, AccountEnabled = "N/A", ResourceDisplayName = AppName, RoleDisplayName = Role, CreatedDateTime, Source = "salesforceAssignments", ReportDate = now() 
)

Další kroky