¿Quien añadió a ese invitado?

Si habéis leído mis posts anteriores, habéis podido ver la solución de Smart Lockout, cómo monitorizarla y en este post, podréis ver que soy un fan de Log Analytics y siempre que puedo, lo utilizo en mi día a día.

En este post vamos a ver que pasa muy a menudo, se invitan a nuevas personas a colaborar en el tenant, ya sea en Azure o O365, pero nadie sabe quien fue o con qué propósito, por lo que al cabo del tiempo termina siendo un problema, y siempre podemos añadir esta parte a nuestra gobernanza de la identidad. Así que vamos a ello:

En este caso, vamos a necesitar los Audit Logs del AAD, si no sabes como habilitarlos, repásate mi post de Smart Lockout con Log Analytics, ya que ahí indico como hacerlo.

Una vez habilitados los AuditLogs, podremos ejecutar lo siguiente:

AuditLogs
| where OperationName == 'Invite external user' and Result == 'success'

con lo que obtendremos la siguiente info:

InviteExternalUsers

bien, como podemos ver en la imagen, tenemos cierta información básica del usuario al que se ha invitado, por lo que ya está bien, pero ahora con la siguiente consulta, vamos a hilar un poco más fino…

AuditLogs | where OperationName == 'Invite external user' and Result == 'success' | extend InvitationId = tostring(AdditionalDetails[0].value)

Y como vemos en la siguiente imagen, esto nos da muuucha más visibilidad, siendo posible customizarlo más si es posible:

A partir de aquí, es incluir la información que creáis necesaria en el plan de gobierno para la Identidad

@albandrod
Cloud Solutions Architect