使用 PowerShell 审核 Microsoft 365 管理员活动

作为 Microsoft 365 管理员，您是否想过您的子管理员如何行使他们的特权？我们明白了——管理多个管理员并不是一件小事。 Microsoft 365 管理员承担着重要的职责，例如让用户加入、处理密码、监督各种用户活动、用户下线等等。尽管他们的作用至关重要，但滥用如此广泛权力的可能性始终令人担忧。

不要担心，审核 Microsoft 365 管理活动可以帮助您！这种做法使您可以密切监控每项管理活动。在本博客中，我们将探讨审核的重要性以及 Microsoft 365 中审核管理活动的各种方法。但这还不是全部 - 为了使您的 Microsoft 365 管理审核过程变得轻而易举，我们制作了一个方便的 PowerShell 脚本并对其进行了讨论您的方便。

为什么要审核 Microsoft 365 中的管理员活动？

由于以下几个关键原因，审核 Microsoft 365 中的管理活动势在必行：

1. 安全监控： Microsoft 365 中的管理员帐户具有提升的权限，需要警惕的监控。这对于快速检测和响应可能危及 Microsoft 365 安全的潜在安全威胁或未经授权的操作至关重要。
2. 风险缓解：管理员拥有更改配置、管理权限和访问敏感信息的权限。定期审核在识别和减轻潜在风险、确保管理员帐户不受到损害以及管理员遵守既定的安全最佳实践方面发挥着关键作用。
3. 事件响应：在发生安全事件或数据泄露的不幸事件时，审核管理活动日志可以为事件响应工作提供宝贵的见解。这些信息对于确定根本原因、确定范围和评估事件的影响至关重要。
4. 合规性要求：许多行业和组织都受到合规性要求和法规的约束，因此需要对管理活动进行持续监控和审核。因此，持续审核 Microsoft 365 管理活动非常重要。

如何审核 Microsoft 365 中的管理员活动？

可以从两个主要位置审核 Microsoft 365 中的管理活动：

1. Microsoft Entra 管理中心（Azure AD 审核日志）：

Microsoft Entra 管理中心内的 Azure AD 审核日志提供了一种集中监控 Microsoft 365 用户和管理活动的方法。 Microsoft Entra (Azure AD) 审核日志专门帮助跟踪 M365 管理员的 Azure AD 活动，提供详细的操作记录，例如 用户添加、密码重置、策略更新、组成员添加和许可证更改。

仅监视管理员的 Azure AD 活动可能还不够，特别是考虑到跨各种工作负载的大量 Microsoft 365 管理员角色。此外，如果您希望调查组织中管理员权限的分配情况，可以利用此 PowerShell 脚本导出 Office 365 管理员及其角色。

2. Microsoft 365 Purview Portal（统一审核日志）：

除了 Azure AD 活动之外，Microsoft 365 Purview 门户中的统一审核日志还提供了所有工作负载的管理活动。该门户允许您观察管理员在整个 Office 365 中的活动，甚至可以将审核日志搜索结果下载到 CSV 文件。然而，需要注意的是，这种方法并不用户友好，因为它需要重复进行多次搜索才能获得所需的结果。

使用 PowerShell 审核 Microsoft 365 中的管理活动

Microsoft 365 管理员经常求助于 PowerShell，因为它具有精细控制、自动化功能、本地控制和离线访问以及处理批量操作的效率。在此背景下，Search-UnifiedAuditLog cmdlet 在捕获跨各种工作负载的活动方面发挥着至关重要的作用，这些工作负载包括 Exchange Online、Microsoft Teams、SharePoint Online、Microsoft Entra ID (Azure AD) ) 和其他 M365 服务。

但是，使用此 cmdlet 获取审核日志会带来挑战，并且数据检索不当可能会导致潜在的数据丢失。为了解决这个问题，我们引入了 AdminActivityReport PowerShell 脚本，旨在将 Office 365 管理活动导出到 CSV文件。您可以从此处下载该脚本并在以下部分中探索其功能。

下载脚本：AdminActivityReport.ps1

脚本亮点

1. 该脚本使用现代身份验证连接到 Exchange Online。
2. 该脚本可以使用启用 MFA 的帐户执行。
3. 它将报告结果导出到 CSV 文件。
4. 默认情况下，脚本会导出180 天的审核日志。
5. 您可以生成自定义时间段的管理活动报告。
6. 脚本在确认后安装 EXO 模块（如果尚未安装）。
7. 该脚本调度程序友好；凭证可以作为参数传递。
8. 最后，该脚本还支持基于证书的身份验证 (CBA)。

Microsoft 365 管理活动报告 - 示例输出：

导出的 Microsoft 365 管理活动报告显示以下属性：

• 活动时间
• 管理员名称
• 手术
• 结果
• 工作量
• 详细的审核数据

以下是 PowerShell 脚本生成的示例输出图像：

注意：对于某些缺少结果状态列的工作负载，该列会显示为空。

如何执行脚本？

1. 下载提供的 PowerShell 脚本并在 Windows PowerShell 中打开它。
2. 使用以下方法之一执行脚本：

方法 1：您可以使用 MFA 和非 MFA 帐户运行脚本。

./AdminActivityReport.ps1 -AdminId <AdminUPN>

注意：如果未提供“-AdminId”，脚本将通过询问管理员的 UPN（用户主体名称）来提示用户并显示消息“输入管理员 UPN”。

方法 2： 使用显式凭据执行脚本（调度程序友好）。

./AdminActivityReport.ps1 -AdminId <TargetAdminUPN> -AdminName <ExecutingAdminUPN> -Password <Password>

注意：虽然该方法与调度程序兼容，但必须强调它仅对非 MFA 帐户有效。要为单个用户禁用 MFA 并执行脚本，请利用条件访问。

方法 3： 您还可以使用基于证书的身份验证来执行脚本（调度程序友好）：

根据您的需要，使用证书颁发机构 (CA) 或创建自签名证书。

./AdminActivityReport.ps1 -AdminId <AdminUPN> -ClientId <ClientId> -CertificateThumbprint <Certthumbprint> -Organization <Organization>

注意：最重要的是，在使用基于证书的身份验证方法之前，您应该在 Azure AD 中注册应用。

使用 PowerShell 脚本审核 Microsoft 365 管理活动

使用此 PowerShell 脚本，您可以

• 导出过去 180 天的 Microsoft 365 管理员活动历史记录
• 审核特定时间间隔内的 Microsoft 365 管理活动
• 安排管理活动报告
• 获取每月 Microsoft 365 管理活动报告

跟踪过去 180 天内的 Microsoft 365 管理员活动

管理员通常使用 PowerShell cmdletSearch-UnifiedAuditLog 导出 Microsoft 365 审核日志的90 天报告，以帮助进行威胁检测、模式识别和取证调查。不过，随着最近将审核日志保留期限延长至 180 天，管理员现在可以在更长的时间内检索审核日志。执行提供的脚本以导出延长的 180 天期间的管理活动历史记录。

./AdminActivityReport.ps1 -AdminId [email protected]

上面的示例将导出管理员 lisa 在过去 180 天内执行的活动。

如果管理员不幸成为暴力破解或网络钓鱼攻击的受害者，从而导致妥协，那么导出管理活动就成为一项关键措施。如果您发现管理员帐户遭到泄露，可以通过为管理员帐户启用 MFA 来增强安全性。

审核自定义期间的 Microsoft 365 管理活动

虽然监控管理员在过去 180 天内的活动可以提供全面的概览，但在某些情况下，有必要专门识别并关注较短时间内发生的事件。

在管理员参与可疑活动的情况下，例如将自己添加为其他人邮箱的代理人并访问特定时期的电子邮件，检索此类信息的整个日志可能会很麻烦。为了解决这个问题，-StartDate 和 -EndDate 等参数会派上用场，让您可以生成目标活动自定义期间的报告。

./AdminActivityReport.ps1 -AdminId [email protected] -StartDate 11/25/23 -EndDate 12/13/23

上面的示例提供了 2023 年 11 月 25 日至 2023 年 12 月 13 日期间管理员 lisa 的活动报告。利用这些参数，您可以生成 Office 365 管理员过去 7 天、30 天、90 天的审核报告天、180 天或任何其他所需的持续时间。

安排管理员活动报告

安排报告不仅仅是日常监控和审查；这对于保存历史审计数据至关重要。配置定期计划以更长时间地保留审核数据，因为 Search-UnifiedAuditLog cmdlet 仅在此 180 天的窗口内检索数据。使用提供的格式无缝地从任务计划程序运行 PowerShell 脚本。

./AdminActivityReport.ps1 -AdminId [email protected] -AdminName [email protected] -Password XXX

此外，可以分析管理活动日志，以识别可能导致系统不稳定的任何更改或更新。这有助于快速解决性能问题并维护健康的 IT 环境。

查看每月 Microsoft 365 管理员活动报告

想象这样一个场景：用户在没有适当权限或通知的情况下转换为管理员角色或添加新用户。这些可疑的管理活动对组织的安全造成的潜在危害可能令人震惊。因此，定期监控管理活动至关重要。运行以下脚本对 Microsoft 365 管理活动进行每月审核。

以下示例检索管理员 [email protected] 在过去 30 天内的审核数据。

./AdminActivityReport.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date) -AdminId [email protected]

您可以利用上述格式安排脚本在每月的第一天执行，确保它检索上个月的审核数据。

到目前为止，我们的重点一直是探索通过 PowerShell 审核 Microsoft 365 管理活动的方法。然而，如果与 PowerShell 的斗争让您感到疲劳，那么是时候考虑一个更简单的解决方案了。

隆重推出 AdminDroid Microsoft 365 Reporter，这是您简化 Microsoft 365 管理审核的轻松解决方案。

使用 AdminDroid 报告简化您的 Microsoft 365 管理审核！

AdminDroid 通过 80 多个详细的管理报告简化了 Microsoft 365 管理监控，涵盖管理活动、登录详细信息、许可证、角色更改、密码设置、MFA 设置等方面。报告包括，

• 管理报告

  • 所有管理员
• 所有全局管理员
• 具有管理角色的管理员
• 许可/未许可管理员
• 最近创建的管理员

AdminDroid 不仅提供报告，还提供全面的仪表板，用于详细概述 Microsoft 365 管理活动。这样可以确保对所有管理员进行全面监控，不留任何痕迹！

AdminDroid 的免费 Azure AD 报告工具提供广泛的 190 多个免费报告，提供 Azure 环境的 360 度视图，包括用于增强 Azure AD 管理的 Azure AD 审核报告。

AdminDroid 是一款专用解决方案，可解决 IT 管理员面临的挑战，提供丰富的1800 多个综合报告?和 30 多个具有视觉吸引力的仪表板。这些资源涵盖各种服务，包括 Exchange Online、Microsoft Teams、OneDrive、SharePoint Online、Power BI、Stream 和 Viva Engage。

此外，AdminDroid 还提供了让您惊叹不已的卓越功能！他们是，

1. AdminDroid 警报
2. 快速排班
3. 细粒度访问授权
4. 高级自定义过滤器

不要犹豫！立即下载 AdminDroid，亲身体验 Microsoft 365 报告的强大功能，获得令人惊叹的实践体验。

总之，审核 Microsoft 365 管理活动以获得安全且管理良好的环境。此外，为了增强安全态势，Microsoft 已开始推出条件访问策略，要求管理员通过 MFA 访问管理门户。我们相信此博客已为您简化了 Microsoft 365 管理审核流程。请随时在评论部分分享任何疑虑或问题。感谢您的阅读！