开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

正在为Intune/ Microsoft Graph查找POwershell脚本以拉取上次用户登录，字段似乎不存在

Intune是微软的一款企业移动设备管理（EMM）解决方案，用于管理和保护组织中的移动设备和应用程序。Microsoft Graph是微软提供的一组API，用于访问和集成多个微软产品和服务的数据。

根据您的需求，您正在寻找一个PowerShell脚本，以拉取用户的上次登录信息。在Intune和Microsoft Graph中，没有直接提供获取用户上次登录信息的API或属性。但是，您可以通过以下步骤间接获取该信息：

使用Microsoft Graph API获取用户的登录历史记录：您可以使用Microsoft Graph的/auditLogs/signIns终结点来获取用户的登录历史记录。这个终结点返回用户的登录活动列表，包括登录时间、登录位置等信息。您可以使用PowerShell脚本调用Microsoft Graph API来获取这些数据。
解析登录历史记录以获取上次登录信息：通过解析登录历史记录，您可以找到用户的上次登录信息。根据您的需求，您可以选择最后一个登录活动作为用户的上次登录。

下面是一个示例的PowerShell脚本，用于通过Microsoft Graph API获取用户的登录历史记录并解析出上次登录信息：

# 安装所需的 PowerShell 模块
Install-Module -Name Microsoft.Graph.Authentication -Force
Install-Module -Name Microsoft.Graph.Users -Force

# 导入所需的 PowerShell 模块
Import-Module -Name Microsoft.Graph.Authentication
Import-Module -Name Microsoft.Graph.Users

# 配置 Microsoft Graph API 认证
$clientId = "YourClientId"
$tenantId = "YourTenantId"
$certificateThumbprint = "YourCertificateThumbprint"
Connect-Graph -ClientId $clientId -TenantId $tenantId -CertificateThumbprint $certificateThumbprint

# 获取用户的登录历史记录
$userId = "UserId"
$signIns = Get-GraphAuditSignInLogs -UserId $userId

# 解析登录历史记录以获取上次登录信息
$lastSignIn = $signIns.value | Sort-Object -Property createdDateTime -Descending | Select-Object -First 1
$lastSignInDateTime = $lastSignIn.createdDateTime
$lastSignInLocation = $lastSignIn.location.displayName

# 输出上次登录信息
Write-Host "用户的上次登录时间：$lastSignInDateTime"
Write-Host "用户的上次登录位置：$lastSignInLocation"

请注意，上述示例中的YourClientId、YourTenantId、YourCertificateThumbprint和UserId需要替换为实际的值。此外，您需要在Azure AD中注册应用程序并配置应用程序的权限以访问Microsoft Graph API。

推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云移动设备管理（MDM）：https://cloud.tencent.com/product/mdm
腾讯云API网关：https://cloud.tencent.com/product/apigateway
腾讯云云审计：https://cloud.tencent.com/product/cloudaudit

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

从上而下的死亡：从 Azure 到 On-Prem AD 的横向移动

许多组织的管理员希望使用同一系统 Azure 来管理用户登录和访问公司资源的系统。...接下来，以激活“全局管理员”或“Intune 管理员”角色的用户身份登录 Azure Web 门户（我们将在稍后的帖子中讨论如何升级到这些角色。）...最有趣的是，将第一个选项保持为“否”将导致脚本以 SYSTEM 用户身份运行： image.png 单击下一步，您将看到允许您确定此脚本将针对哪些系统和用户执行的页面： image.png...查找所有已解析 Intune MDM 注册 URL 的系统。...查找存在 Intune 服务日志文件夹/文件的所有系统。

2.5K1 0

SPN服务主体名称

如果服务实例的登录帐户发生更改，则必须在新帐户下重新注册 SPN。当客户端想要连接到某个服务时，它将查找该服务的实例，然后连接到该服务并显示该服务的 SPN 以进行身份验证。...如果指定域不存在，则默认切换到查找本域的SPN setspn -T xie.com -Q */* #查找本域内重复的SPN setspn -X #删除指定SPN： setspn -D MySQL/...其中一些只需要PowerShell v2.0的环境，而有一些则需要PowerShell v3.0环境。...如下是PowerShellery下不同脚本的使用： #Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用...PowerShell-AD-Recon 该工具包提供了一些发现指定SPN的脚本，例如指定Exchange，Microsoft SQLServer等服务的SPN。

5332 0

常规安全检查阶段 | Windows 应急响应

查找隐藏账户直接打开 powershell 窗口或在 cmd 窗口中输入 powershell 进入 powershell 命令行 Get-WmiObject -Class Win32_UserAccount...\StartUp 该目录下存在的程序会在用户登录时，以登录用户的权限自动执行程序【 Windows Server 2016 】默认情况 3....注销成功 4647 用户启动的注销 4672 使用超级用户（如管理员）进行登录 4720 创建用户 4722 启用用户 4726 删除用户 1102 清理日志其中每个登录事件日志中，还会有登录类型字段...，该字段代表为所使用的登录方式为哪种，如下表：登录类型描述说明 2 交互式登录（Interactive）用户在本地进行登录 3 网络（Network）最常见的情况就是连接到共享文件夹或共享打印机时...true为倒序false为正序 /rd:false 正序查找，从最近开始 /epl 导出日志 /epl System xxx.evtx 将System日志导出到xxx.evtx 根据常用查询参数，编写了部分查询命令

1.2K1 0

渗透测试 | 内网信息收集

存在域，并且当前用户是域用户，如下图所示： ? 当前网络环境为工作组，不存在域，如图 2-37 所示： ? ##探测域内存活主机内网存活主机的探测是内网渗透中不可或缺的一个环节。...4、pveFindADUser pveFindADUser.exe 可用于查找 Active Directory 用户登录的位置，枚举域用户，以及查找在特定计算机上登录的用户，包括本地用户、通过RDP...如果指定了用户名（DOMAIN\Username），则显示具有此用户账户作为上次登录的计算机，根据网络的策略，可能会隐藏最后一个登录用户名，且该工具可能无法得到该用户名。...枚举登录的用户。...Invoke-UserHunter：用于获取域用户登录计算机及该用户是否有本地管理权限。 Invoke-ProcessHunter：查找域内所有机器进程用于找到某特定用户。

3.1K2 0

凭据收集总结

通过带有 /netonly的runas 凭据登录 #注，这里的用户并不是有效的用户，任意的用户即可 #尽管以用户的身份登录，但是日志中登录类型为9，表示源自新进程的任何网络连接都使用下凭据 ?...Microsoft-Windows-PowerShell/Operational Microsoft-Windows-Sysmon/Operational 10.10 .10 .129 :9200 "...spotless.offense\appdata\local\Google\Chrome\User Data\Default\Login Data" # 调用 CryptUnprotectData API #解密错误 #内存中查找用户对应的...gpresult Get-GPOReport #默认是本地的 #or "0day.org" "OWA2010SP3" "C:\Users\jerry.0day\GPOReportsAll.html" #推荐前者，拉取本地内容...大概解释下：在目标Web 应用程序的HTML中选择类型为password的输入字段使用一个函数绑定到onkeypress事件，该函数在用户登录到目标应用程序时，捕获用户在密码字段中输入的按键处于演示的目的

6.1K3 0

《内网安全攻防》学习笔记，第二章-域内信息收集

如果不存在就会显示一个：WORKGROUP ? 3、查询当前登录域及登录用户信息执行命令如果存在域那么就会显示工作站域和工作站域DNS等信息： net config workstation ?...4：使用PowerScript的Invoke-portscan.ps1脚本以无文件形式扫描，命令如下： powershell.exe -nop -exec bypass -c "IEX (New-Object...2.2：PVEFindADUser.exe PVEFindADUser.exe这款工具可用于查找活动目录用户登录的位置、枚举域用户，以及查找在特定计算机上登陆的用户，包括本地用户、通过RDP登陆的用户、...如果指定了用户名（DOMAIN\Username），则显示具有此用户账户作为上次登录的计算机。根据网络的策略，可能会隐藏最后一个登录用户名，且该工具可能无法得到该用户名。...Invoke-UserHunter：用于获取域用户登录计算机及该用户是否有本地管理权限。 Invoke-ProcessHunter：查找域内所有机器进程用于找到某特定用户。

5.2K4 3

内网渗透 | 浅谈域渗透中的组策略及gpp运用

用ps1脚本上线同理，也是拿到了一个system权限 ? ? ? ?...此外，域控机器之间因为要自动同步域数据，SYSVOL文档允许该域内的所有DC机之间进行复制，并且所有的AD用户都可以访问它在域中，用户登录（计算机）时，会首先在SYSVOL文件查找GPO和启动脚本。...，但是如果打补丁或者高版本的话，GPP服务是不能输入密码的了，这个漏洞也就相应不存在了。...导入Get-GPPPassword.ps1 powershell Get-GPPPassword 加载该函数这个powershell脚本会自动遍历SYSVOL下的敏感文件,并且将密码解密 3.针对性用户查找...2.查看域用户信息 powershell Get-DomainUser -identity gpptest 可以看到该用户属于GPPVuln的OU组 ?

2.8K2 0

浅谈域渗透中的组策略及gpp运用

SYSVOL包括登录脚本，组策略数据，以及其他域控所需要的域数据，这是因为SYSVOL能在所有域控里进行自动同步和共享。...此外，域控机器之间因为要自动同步域数据，SYSVOL文档允许该域内的所有DC机之间进行复制，并且所有的AD用户都可以访问它在域中，用户登录（计算机）时，会首先在SYSVOL文件查找GPO和启动脚本。...，但是如果打补丁或者高版本的话，GPP服务是不能输入密码的了，这个漏洞也就相应不存在了。...下的敏感文件,并且将密码解密 3.针对性用户查找,这里我们可以使用powerview 这里我们以de1ctf中的wp中的思路自己走一遍那个流程我们在指定的GPPVuln这个OU中添加个账户下面我们演示如何在域中根据该用户名称来进行针对性的...GPP搜索简单的信息收集: 1.查看域内共享 powershell get-domaincomputer|get-netshare 2.查看域用户信息 powershell Get-DomainUser

1.6K1 0

Android 渗透测试学习手册第六章玩转 SQLite

现在，在我们更深入地探讨 SQLite 漏洞之前，我们应该清楚地了解 SQLite 语句和一些基本的命令分析使用 SQLite 的简单应用在这里，我们有一个基本的 Android 应用程序，它支持用户的登录和注册...这会自动将之后的 SQL 查询的输出保存到指定的文件，我们可以稍后拉取，而不是在屏幕上显示。...在SQLite中，.dump将创建一个列表，包含从数据库创建到现在为止所执行的所有 SQL 操作。...前面的 SQL 查询用于验证用户的登录凭据，然后显示其在注册期间使用的信息。所以，这里的 SQL 引擎检查用户名和密码是否匹配在一行，如果是这样，它返回一个布尔值TRUE。...这将闭合用户名字段，并且我们的其余输入将解释为 SQL 查询。你可以从http://attify.com/lpfa/sqlite.apk下载漏洞应用程序。

8442 0

攻击本地主机漏洞（下）

图10-11注册表中未引用的服务路径权限较低的用户将无法修改服务；但是，用户仍然可以搜索服务。我们可以使用WMIC命令查找具有无引号可执行路径的服务。...在为基于密钥的登录配置SSH并用于良好的安全实践时，必须了解以下文件和文件夹权限： Metasploit有几个模块来帮助SSH劫持和利用SSH进行攻击。...R特性将告诉Metasploit使用服务表中的主机填充当前模块中的RHOSTS字段。当您运行ssh_login模块时，它将尝试使用您配置模块要使用的用户名和ssh密码登录到远程主机。...因此，凭证收集过程似乎取得了成效，为我们带来了另一个有用的外壳。图10-24显示了Metasploit中的SSH凭据另一种劫持用户SSH身份验证的方法是利用SSH代理转发的好处。...假设您想要更改用户登录脚本的内容，甚至更改指向管理员主目录中名为“script.ps1”的PowerShell文件的计划任务，并向该文件添加一些任意代码以帮助持久化。

3.3K1 0

Linux与Windows服务器操作系统安全防御实践指南

(建议一台主机拉取好之后将WSUSList.json和WSUSListId.json拷贝到当前脚本同级目录下) .NOTES 注意:不同的版本操作系统以下某些关键项可能会不存在会有一些警告(需要大家提交...(启用)"} # - 交互式登录: 不显示上次登录用户名值(启用) DontDisplayLastUserName = @{operator="eq";value="MACHINE\Software...\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1";msg="交互式登录-不显示上次登录用户名值...(启用)"} # - 交互式登录: 不显示上次登录用户名值(启用) DontDisplayLastUserName = @{operator="eq";value="MACHINE\Software...\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1";msg="交互式登录-不显示上次登录用户名值

4.6K1 0

千万级支付对账系统怎么玩（上篇）？

数据平台上次文章中提到，千万级数据需要使用 Hive，Spark等相关大数据技术，这就离不开大数据平台的技术支持。...初始化对账定时任务将会查找核对规则表中所有的生效的配置规则，依次生成当天的对账任务记录：对账任务记录部分字段与核对规则表含义一样，不再赘述，其他字段含义如下： bill_date 账期，一般 D 日对账任务核对...对账系统获取这些支付数据，一般有两种方式：查询，对账系统主动拉取推送，对账系统监听获取数据查询数据方式上篇文章也聊到过，数据量小的情况下，没什么问题。一旦数据量变大，查询效率就会变低。...download_param 下载的配置参数，比如 ftp 的地址，登录密码，下载地址等。...对端数据收集阶段，由于拉取三方渠道的对账文件，那有时候渠道端存在异常，将会导致对账文件下载延迟，从而导致其他任务也出现的相应的延迟。这一点是整个对账流程中，相对不可控的问题。

1.4K2 0

IntelliJ IDEA 2023.1 最新变化

8.重新配置 Microsoft Defender 设置以获得更好性能的新建议 IntelliJ IDEA 2023.1 包含一个新通知，会在启用 Microsoft Defender 实时保护时触发。...分析器 1.针对 Flame Graph（火焰图）标签页改进了 UI Ultimate 我们更新了 Flame Graph（火焰图）标签页，为调用引入了颜色编码的高亮显示。...被修改对象的名称现在为蓝色，新添加对象的名称在工具窗口中高亮显示为绿色。 2....针对 GitHub 改进了代码审查工作流为了简化在 IDE 中审查代码的过程，我们重做了 Pull Request（拉取请求）工具窗口。它现在为您打开的每个拉取请求提供一个专用标签页。...现在，可以通过一个新增的专属按钮轻松执行拉取请求当前状态下最相关的操作。 3. 改进了 Branches（分支）弹出窗口我们改进了 Branches（分支）弹出窗口的实用性。

1921 0

4-MYSQL容备与入坑

*注意中文导入乱码*/ WeiyiGeek.outfile与infile 1.6 细说–master-data=1|2 的异同 #--master-data = 1 # 常常在主从同步中使用，从机中拉取主机中的...Start-Process ftp -ArgumentList "-i -s:ftp.tmp" Remove-Item -Path ftp.tmp } } # 调用MySQLDump函数执行下载(指定数据库拉取...1045：不能连接数据库，用户名或密码错误 1048：字段不能为空 1049：数据库不存在 1050：数据表已存在 1051：数据表不存在 1054：字段不存在 1062：字段值重复，入库失败 1065...1141：当前用户无权访问数据库 1142：当前用户无权访问数据表 1143：当前用户无权访问数据表中的字段 1146：数据表不存在 1147：未定义用户对数据表的访问权限 1149：SQL语句语法错误...2022：指定的命名颜色索引在配置文件中不存在。 2108：网络连接已成功，但需要提示用户输入一个不同于原始指定的密码。 2202：指定的用户名无效。 2250：网络连接不存在。

1.8K3 0

我所了解的内网渗透 - 内网渗透知识大总结

DC似乎被这个混淆了，所以它放弃了用户发送的不含PAC的TGT，创建一个新的TGT，并将伪造的PAC插入到它自己的授权数据中，并将这个TGT发送给用户。...域控制器（KDC）检查用户信息（登录限制，组成员身份等）并创建票证授予票证（TGT）。 TGT被加密，签名并交付给用户（AS-REP）。...大多数Active Directory管理员使用用户帐户登录到其工作站，然后使用RunAs（将其管理凭据放置在本地工作站上）或RDP连接到服务器运行Mimikatz读取密码，收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了...防：管理员不应该拿着域用户去登录web服务器或者邮件服务器一但这些被攻破抓取的密码就是域了地址解析协议最后才是ARP欺骗不到最后不要拿出来。...系统默认不存在DSRMAdminLogonBehavior，请手动添加。 ? 使用HASH远程登录域控 ? DSRM账户是域控的本地管理员账户，并非域的管理员帐户。

4.2K5 0

APT29分析报告

2015年4月卡巴斯基首次发布关于“舒适熊”黑客活动的公告，指出该组织正有目的地对美国部分国家机关发动网络攻击，其中可能包括美国白宫和国务院。...他们同时出现在民主党全国委员会的服务器中但是他们似乎没有意识到对方的存在，并且各自独立地窃取了相同的密码。...流量似乎将流向y域，但是CDN会将其路由到x域。...Microsoft将事件定义为“系统或程序中任何需要通知用户或将条目添加到日志的重大事件”。有三个系统定义的事件源：系统，应用程序和安全性。...注册表被用于存储 LSA Secrets ，在用户在本地用户账户或者域用户账户的环境下运行服务的时候，其密码将储存在注册表中。用户是否启用了自动登录的信息也会储存在注册表中。

1.9K2 0

横向移动与域控权限维持方法总汇

PACTYPE包含的是 cBuffers,版本以及缓冲区。 PAC_INFO_BUFFER是key-value型的。PAC_INFO_BUFFER的key有很多 0x00000001 登录信息。...但返回的似乎不是域控？ kerberoast Kerberoast攻击原理: 攻击者从 TGS-REP 中提取加密的服务票证。...2.Empire框架与 ASREPRoast.ps1 使用Empire框架下的powerview.ps1查找域中设置了 “不需要kerberos预身份验证” 的用户 Import-Module ....tscon横向若一个机器上有多个用户登录，则在任务管理器可以看见如下场面其中，我们可以右键其他用户选择链接，输入其密码后就能进入其桌面但是对于system用户来说，要链接到其他用户是不需要输入密码的...可以用刚刚提到的VSS方法获取，也可以直接用以下命令从注册表中拉取. reg save hklm\system c:\system.hive Impacket impacket框架集成了许多好玩的东西，

1.6K2 0

2024年Q1 APT趋势报告

然而，该威胁行为者似乎自2013年便消声觅迹。从那以后，关于Careto活动的任何信息都没有公布。...最终，攻击者植入恶意软件窃取浏览器存储的数据，包括cookie和登录凭据等。根据遥测技术，研究人员在韩国加密货币领域确定了两名受害者。...其中，大多数攻击都是从一封鱼叉式网络钓鱼邮件开始的，邮件中包含Microsoft Word文档或包含LNK文件的ZIP归档文件。...通过调查攻击者使用的命令和控制（C2）资源，研究人员发现包含恶意JavaScript代码的NPM包可以在不通知用户的情况下发送恶意软件。...然而，需要记住的是，在我们努力改进的同时，其他复杂的攻击可能正以我们未知的状态「悄然生长」。

1950 0

创建一个分布式网络爬虫的故事

fields 字段定义了要从页面抓取的数据。在Gravatar的用户配置文件里，我想抓取用户的全名和位置信息。...我在 MongoDB 上启用了 SSL 身份验证，因此只有拥有适当证书的用户才能登录。我在所有虚拟机上都使用了加密的磁盘。我在每个虚拟机上都启用了fail2ban，以阻止多次失败的登录请求。...设计我可能会把处理 robots.txt 文件和上次爬取日期的缓存去中心话来提高总体爬取速度。这意味着，对于每个爬虫过程，将 MongoDB 服务器 #2 替换为在每个主控制器上的缓存。...总结: 在每个主控制器节点上，每个爬虫程序进程都将有自己的 robots.txt 文件和上次爬取的日期缓存;这将替换集中式缓存 (MongoDB 服务器 #2)。...这似乎与3之前版本相反，据MongoDB的文档和这个Stackoverflow答案。

1.2K8 0

IM开发基础知识补课(四)：正确理解HTTP短连接中的Cookie、Session和Token

《一种Android端IM智能心跳算法的设计与实现探讨（含样例代码）》《移动端IM登录时拉取数据如何作到省流量？》...当你下次访问时，Cookie 会带有这个字符串，然后浏览器就知道你是上次访问过的某某某，然后从服务器的存储中取出上次记录在你身上的数据。...Token的身份认证逻辑：对比一：如果两个 token 值相同，说明用户登录成功过!当前用户处于登录状态！...对比二：如果没有这个 token 值, 则说明没有登录成功；对比三：如果 token 值不同: 说明原来的登录信息已经失效,让用户重新登录。...《谈谈移动端 IM 开发中登录请求的优化》《移动端IM登录时拉取数据如何作到省流量？》《浅谈移动端IM的多点登陆和消息漫游原理》《完全自已开发的IM该如何设计“失败重试”机制？》

1.2K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭