Entra Exporter Tool - 轻松备份 Microsoft Entra ID 配置

在身份和访问管理方面，毫无疑问 Entra 和 Azure AD B2C 占据中心舞台?。这些守护者可以对威胁进行整体防御，增强 Microsoft 365 的安全性。顺便说一句，这些防御的关键在于它们的配置。

因此，这些设置中的任何错误配置都可能为潜在攻击者打开大门。因此，定期监控 Entra 设置对于组织至关重要。

为了深入了解 Entra 设置，您可能最初考虑过 Azure AD Exporter。但是，它已从 PowerShell 库中弃用。那么，获得这些见解的下一步是什么?？不用担心！ Entra Exporter 模块填补了这一空白。此 PowerShell 模块导出 Entra 和 B2C 设置配置的本地副本，类似于 Azure AD 导出器。

让我们了解如何使用 Entra Exporter PowerShell 模块有效管理 Entra 和 Azure B2C 设置。

使用 Entra Exporter 工具的重要性

由于 Entra Exporter 模块导出 B2C 和 Entra 设置的 JSON 文件，因此成为管理员保留备份的理想解决方案。以下列出了 Entra Exporter 成为值得考虑的引人注目的工具的具体原因：

• 备份和版本控制：Entra Exporter 将 Entra 设置导出到 JSON 文件的功能可作为强大的备份机制 。这在数据丢失或意外更改的情况下变得很有价值。通过此功能，您可以将配置恢复到以前的状态，确保数据完整性。
• 夜间计划任务：Entra Exporter 模块可以与任务计划程序无缝集成。这消除了手动操作的需要，因为它有助于按计划的时间间隔执行 cmdlet。
• 与 DevOps 管道集成：Entra Exporter 与 DevOps 管道无缝集成，维护设置更改的审核跟踪 ，增强透明度和问责制。此外，此历史配置视图简化了故障排除和调试，使您能够查明可能导致意外行为的更改。
• 复制设置：利用导出的 JSON 文件，您可以轻松跨不同租户迁移或复制配置设置 。这简化了创建具有一致配置的新环境的过程，减少了出现错误和不一致的可能性。
• 文档目的：Entra Exporter 导出的 JSON 文件用作配置设置文档。该文档对于新管理员来说特别有价值，他们可以快速掌握 Entra 配置并可以根据需要修改更改。

因此，配备调度功能和集成功能的 Entra Exporter 模块使您能够不间断地关注 Azure 设置。

现在，让我们开始安装 Entra Exporter PowerShell 模块的步骤。

安装 Entra Exporter PowerShell 模块

要导出 Entra 和 B2C 设置，您需要先下载并安装 Entra Exporter。您可以在管理员模式下打开 Windows PowerShell，并可以使用以下 cmdlet 安装该模块。顺便说一下，建议使用PowerShell 7或以上版本以达到最佳输出。

Install-Module EntraExporter

确认提示后，模块的安装过程将在几秒钟内完成。

使用 Entra Exporter 连接您的 Microsoft 365 帐户

模块安装完成后，后续步骤涉及连接 M365 环境。您可以通过执行以下 cmdlet 来建立此连接。

Connect-EntraExporter

执行上述 cmdlet 后，系统会提示您提供必要的同意。通过授予同意，您可以访问您的 Microsoft Entra。

注意：您可以使用具有以下范围的 Connect-MgGraph 进行身份验证，而不是使用 Connect-EntraExporter 。通过 Connect-MgGraph 成功进行身份验证后，您可以无缝地继续为您的任务使用导出 cmdlet。

Connect-MgGraph -Scopes 'Directory.Read.All', 'Policy.Read.All', 'IdentityProvider.Read.All', 'Organization.Read.All', 'User.Read.All', 'EntitlementManagement.Read.All', 'UserAuthenticationMethod.Read.All', 'IdentityUserFlow.Read.All', 'APIConnectors.Read.All', 'AccessReview.Read.All', 'Agreement.Read.All', 'Policy.Read.PermissionGrant', 'PrivilegedAccess.Read.AzureResources', 'PrivilegedAccess.Read.AzureAD', 'Application.Read.All’

通过 Entra Exporter 导出 Entra 设置和对象

与租户成功建立连接后，您可以使用以下 cmdlet 导出 Entra 和 B2C 设置。但是，需要注意的是，给定的 cmdlet 仅导出基本的 Entra 设置。因为下面的默认 cmdlet 是有意设计的，旨在优先考虑管理员最常使用的设置和对象。因此，此默认 cmdlet 不会导出有关静态组、组成员身份、应用程序、服务主体、用户、PIM 的详细信息。

Export-Entra -Path '<JSONfilePath>'

此 cmdlet 将导出下面屏幕截图中显示的设置和对象列表。

要检索其他 Entra 设置，您需要使用“All”参数运行 Export-Entra cmdlet。

Export-Entra -Path '<JSONfilePath>' -All

在这里您可以查看其他设置，例如特权访问、组、身份管理等。

注意：此模块导出可通过 Microsoft Graph API 访问的所有设置，但特定设置和对象除外，例如企业状态漫游以及 Graph API 当前不支持的其他一些设置和对象。

使用 Entra Exporter 深入了解特定的 Entra 设置和对象

由于该模块包含过滤功能，因此您可以利用它生成包含特定 Entra 对象（例如组、PIM 配置）的 JSON 文件。您无需在大量 Entra 设置中进行搜索，只需专注于您需要的设置即可。

要获取特定设置/对象的详细信息，您可以使用“Type”参数运行给定的 cmdlet，如下所示。

Export-Entra -Path '<JSONfilePath>' -Type <SpecificObjectorSetting>

注意：目前该模块仅支持少数有效的“类型”。要了解有效类型，您可以运行以下 cmdlet。

(Get-Command Export-Entra | Select-Object -Expand Parameters)['Type'].Attributes.ValidValues

我们通过展示几种有效类型的执行来说明 cmdlet 的使用，旨在为您提供一个清晰的示例。

• 通过 Entra Exporter 获取服务主体信息
• 使用 Entra Exporter 模块导出应用程序注册详细信息
• 使用 Entra Exporter 监视目录角色
• 将 M365 许可证详细信息导出到 JSON 文件
• 使用 Entra Exporter 查看租户政策
• 使用 Entra Exporter 模块导出 M365 用户
• 使用 Entra Exporter 查看 Microsoft 365 组
• 将条件访问策略详细信息提取到 JSON 文件
• 使用 Entra Exporter 获取 PIM 设置的详细信息

通过 Entra Exporter 获取服务主体详细信息

服务主体是应用程序和服务用于验证和访问 Entra 的安全身份。因此，您需要定期监控服务主体设置，以防止组织中的恶意攻击。

要获取在 Microsoft 365 环境中创建的服务主体的详细信息，您可以使用下面的 cmdlet。

Export-Entra -Path '<JSONfilepath>' -Type "ServicePrincipals"

这将以 JSON 格式导出服务主体的所有详细信息。除此之外，您还可以有效地监控服务主体登录，以跟踪组织中的日常应用程序使用情况和资源访问。通过观察这一点，您可以轻松识别组织中异常的登录活动。

示例 JSON 格式：

使用 Entra Exporter 模块导出应用程序注册详细信息

要检索 Azure AD 应用程序注册的详细信息，只需运行默认导出 cmdlet，输入“应用程序”类型，如下所示。这会将所有注册的应用程序以及应用程序 ID、应用程序创建时间、OAuth2Permissions、令牌发行等详细信息导出到您的租户。

Export-Entra -Path '<JSONfilepath>' -Type "Applications"

示例 JSON 格式：

使用 Entra Exporter PowerShell 模块监控 Entra 角色

由于角色分配中可能存在配置错误，因此审查具有 Entra 角色的 O365 用户至关重要。此类错误配置可能会导致 Microsoft 365 中出现安全漏洞。因此，你可以使用以下 cmdlet 来检查组织中的 Azure AD 角色分配。

Export-Entra -Path '<JSONfilepath>' -Type "Roles"

示例 JSON 文件：

给定的 cmdlet 主要提供与指定 Azure AD 角色关联的用户 ID。然而，仅通过 ID 来识别用户可能不是快速识别的最佳选择。为了解决这个问题，您可以使用博客中提供的 PS 脚本导出 Office 365 管理员角色报告。导出的报告将显示具有 Entra 角色的用户的姓名、电子邮件地址和其他相关信息。

使用 PowerShell 将 M365 许可证详细信息导出到 JSON 文件

通过导出许可证数据，您可以清晰、全面地了解组织的许可证详细信息。这将帮助您检查组织中的许可证可用性。

您可以使用以下 PowerShell cmdlet 使用“SKU”类型导出许可证详细信息。

Export-Entra -Path '<JSONfilepath>' -Type “SKUs”

示例 JSON 文件：

顺便说一句，您可以使用 PowerShell 脚本获取详细的 Microsoft 365 许可证报告，其中包含订阅名称、订阅日期、订阅类型、许可证到期日期、订阅状态等。这些全面的见解可帮助您及时续订许可证。

使用 Entra Exporter 查看租户策略

您可以使用 Entra Exporter 深入了解身份验证方法政策、令牌颁发政策、令牌生命周期政策等政策。

要导出租户策略配置，您可以使用以下 cmdlet。

Export-Entra -Path '<JSONfilepath>' -Type “Policies”

示例 JSON 文件：

将 M365 用户导出到 JSON 文件

查看 Microsoft 365 用户详细信息对于维护组织内的安全性和合规性至关重要。但手动浏览管理中心的用户帐户以查找特定数据非常耗时。但是，您可以通过使用 Entra Exporter 将所有用户帐户详细信息导出为 JSON 格式来显着减少这项工作。

为此，您可以使用以下 PowerShell cmdlet。

Export-Entra -Path '<JSONfilepath>' -Type “Users”

示例 JSON 文件：

使用 Entra Exporter 查看 Microsoft 365 组

监视 Microsoft 365 组的详细信息和配置对于增强数据安全性和访问控制至关重要。您可以使用以下 Entra Exporter cmdlet 导出 Microsoft 365 组。

Export-Entra -Path '<JSONfilepath>' -Type “Groups”

导出的 JSON 格式包含组 ID、组成员类型、邮箱状态、来宾用户访问权限、组到期日期和各种其他相关信息等详细信息。

示例 JSON 文件：

此外，您可以利用博客中提供的 PowerShell 脚本导出更详细的 Microsoft 365 组报告。此脚本使您能够深入了解组成员身份、组大小、每个组内的成员计数、空组的标识等。

将条件访问策略详细信息提取到 JSON 文件

要跟踪条件访问策略和命名位置的更改，您可以利用 Entra Exporter PowerShell 模块的强大功能。

下面的 Entra Exporter cmdlet 使您能够将条件访问策略详细信息导出到 JSON 文件中。这些文件是随着时间的推移检查和审核安全设置的宝贵资源。

Export-Entra -Path '<JSONfilepath>' -Type “ConditionalAccess”

示例 JSON 文件：

使用 Entra Exporter 获取 PIM 设置详细信息

PIM 使您能够管理对组织中关键资源的访问。因此，需要经常检查 PIM 设置以实现有效的访问控制。

因此，您只需运行以下 cmdlet 即可随时获取 PIM 设置的副本。

Export-Entra -Path '<JSONfilepath>' -Type “PIM”

示例 JSON 文件：

将导出的 Entra JSON 文件与 GitHub 集成

与任务调度程序一起，该模块为不断检查 Entra 设置铺平了道路。然而，更好的方法是将模块与 DevOps 管道集成。这种方法保留了 Entra 设置更改的全面历史记录。此外，它还增强了管理 Entra 和 Azure AD B2C 配置设置的组织性和效率。

此外，您可以使用 Git 命令，而不是花费精力和时间手动导出文件并将其推送到存储库。这将通过自动化流程来节省您的时间，从而有效地维护设置更改的历史记录。

为此，请按照以下步骤满足将更改推送到远程存储库的先决条件。

• 在本地设备上安装Git，确认同意后打开Git CMD。
• 使用命令 mkdir 创建存储库文件夹。
• 使用 cd LocalGit 导航到此文件夹。
• 使用 mkdir 创建 Git 存储库。

现在，运行以下代码将 JSON 文件与 Git 集成。

$LocalRepo = '<PathofyourlocalRepository>'  
$tenantId = '<tenantId>'  
$remoteRepoUrl = '<remoteRepositoryUrl>'  
Write-Host 'git checkout main...'  
git config --global core.longpaths true # needed for Windows  
git checkout main  
Write-Host 'Clean git folder...'  
Remove-Item $tenantPath -Force -Recurse  
Write-Host 'Installing modules...'  
Install-Module Microsoft.Graph.Authentication -Scope CurrentUser -Force  
Install-Module EntraExporter -Scope CurrentUser -Force  
Write-Host 'ConnectingtoAzureAD...'  
Connect-EntraExporter -TenantId $tenantId  
Write-Host 'StartingBackup...'  
Export-Entra $tenantPath -All  
Write-Host 'Updating repo...'  
git config user.email "<email>"  
git config user.name "<name>"  
git add -u  
git add -A  
git commit -m "AzureAD Update"  
git remote add origin $remoteRepoUrl  
git push -u origin main  
Write-Host 'Done!'

我希望您已经了解了有用的 PowerShell 模块，该模块将帮助您仅使用简单的 cmdlet 即可导出 Entra 和 Azure AD B2C 设置。此外，请随时在评论部分联系我们寻求帮助。