使用 PowerShell 跟踪 Microsoft 365 中的离队用户活动

随着组织越来越依赖 Microsoft 365 进行日常运营，离职在维护企业安全和数据治理方面发挥着重要作用。 Microsoft 365 注销不仅仅是停用电子邮件帐户，还涉及删除用户对各种 Microsoft 365 应用程序和服务（例如 SharePoint、OneDrive、Teams 等）的访问权限。

管理员必须遵循 Office 365 离职最佳实践，并应利用 Microsoft 365 离职工具来避免组织中与数据相关的风险。管理员还可以使用生命周期工作流程自动执行 M365 用户离职操作，这与 Power Automate 一样简化了用户管理任务。离职完成后，管理员验证离职员工是否不再有权访问公司资源也至关重要。确保这一点的一种方法是彻底审核 Microsoft 365 离线用户活动的日志。

为什么管理员应该审核离队的用户活动？

出于安全性、合规性和数据保护等多种原因，审核 Microsoft 365 中的离线用户活动至关重要。

1. 安全原因：审核有助于检测和防止凭据受损的访问尝试，即使在停用用户帐户后也是如此。
2. 数据保护：管理员可以跟踪离线用户，以确保他们不会尝试访问或下载敏感数据，从而防止潜在的违规行为。
3. 合规性要求：为了满足行业法规，审核提供了清晰的数据访问记录，有助于合规性验证并证明对标准的遵守。
4. 法律和调查目的：如果发生安全事件或数据泄露，监控离线用户的活动有助于了解事件的范围。此外，下线用户的审核日志可以为未来的法律参考和调查提供有用的备份。
5. 防止内部威胁： 审核离线用户活动有助于识别任何可能表明恶意意图的异常或可疑行为，从而防止对组织造成潜在损害。

使用 PowerShell 审核离队用户活动

鉴于 Microsoft 365 管理门户和用户界面的动态特性，许多管理员发现使用 PowerShell 来完成任务更加方便。虽然 Microsoft Purview 审核日志搜索和 Search-UnifiedAuditLog cmdlet 在这方面提供了一些功能，但它可能无法提供全面的视图或允许广泛的自定义。如果数据检索过程执行不准确，则存在潜在数据丢失的风险。

为了应对这一挑战：选择动态 PowerShell 脚本来无缝审核离线用户活动并轻松克服挑战。

脚本亮点

1. 该脚本使用现代身份验证连接到 Exchange Online。
2. 该脚本也可以使用启用 MFA 的帐户执行。
3. 将报告结果导出到 CSV 文件。
4. 该脚本默认导出 180 天的审核日志。
5. 允许您跟踪自定义时间段的审核日志报告。
6. 在您确认后自动安装 EXO 模块（如果尚未安装）。
7. 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。
8. 该脚本支持基于证书的身份验证 (CBA)。

脚本下载：TrackOffboardedM365UserActivities.ps1

Microsoft 365 离线用户活动报告 - 脚本执行步骤：

1. 下载脚本并启动 Windows PowerShell。
2. 选择提供的任何方法来执行脚本。

方法 1：您可以使用 MFA 和非 MFA 帐户运行脚本。

./TrackOffboardedM365UserActivities.ps1 -UserId <OffboardingUserUPN>

注意 - 您必须输入离职员工的用户名。

方法 2：使用显式凭据执行脚本（调度程序友好）。

./TrackOffboardedM365UserActivities.ps1 -UserId <OffboardingUserUPN> -AdminName <ExecutingAdminUPN> -Password <Password>

虽然该方法与调度程序兼容，但必须强调它仅对非 MFA 帐户有效。要为单个用户禁用 MFA 并执行脚本，请利用条件访问策略。

方法 3：您还可以选择使用基于证书的身份验证来运行脚本，这对于调度程序来说是友好的。

./TrackOffboardedM365UserActivities.ps1 -UserId <OffboardingUserUPN> -ClientId <ClientId> -CertificateThumbprint <Certthumbprint> -Organization <Organization>

注意 - 根据您的要求，您可以创建自签名证书。在采用基于证书的身份验证之前，在 Azure AD 中注册应用程序至关重要。

Microsoft 365 离队用户报告 - 示例输出

导出的 Microsoft 365 离队用户活动报告显示以下属性：

• 活动时间
• 用户名
• 手术
• 结果
• 工作量
• 详细的审核数据

以下是 PowerShell 脚本生成的示例输出图像：

注意 - 对于某些缺少“结果状态”列的工作负载，该列会显示为空。

充分利用 Microsoft 365 离板用户活动 PowerShell 脚本

该脚本根据您的需要提供了一些内置的过滤参数，下面列出了其用例。

• 导出过去 180 天的 Microsoft 365 离线用户活动历史记录
• 审核特定时间间隔内的 Microsoft 365 下线用户活动
• 安排离线用户活动报告
• 获取每月离线用户活动报告

导出 180 天内 Microsoft 365 离队用户活动

管理员通常使用 PowerShell cmdlet Search-UnifiedAuditLog 生成跨度 90 天的报告。值得注意的是，由于最近将审核日志保留期限延长至 180 天，管理员现在能够提取涵盖更长时间范围的审核日志。利用提供的脚本导出 180 天内离线用户活动的审核日志。

./TrackOffboardedM365UserActivities.ps1 -UserId [email protected]

上面的示例将导出已注销用户 lisa 在过去 180 天内执行的活动。

跟踪自定义时间间隔内的 Microsoft 365 离队用户活动

管理员还可以通过使用 -StartDate 和 -EndDate指定所需的时间范围来创建自定义活动报告> 参数。通过这些参数，您可以根据需要灵活地生成 Office 365 用户过去 7 天、30 天、90 天或任何其他特定时间段的审核报告。

./TrackOffboardedM365UserActivities.ps1 -UserId [email protected] -StartDate 12/21/23 -EndDate 12/31/23

上面的示例提供了关于已下线的 Lisa 在 2023 年 12 月 21 日至 2023 年 12 月 31 日期间的活动的报告。

安排离队用户活动报告

在 Microsoft 365 中安排离线用户活动报告可确保及时识别和缓解潜在的安全风险。例如，如果前员工的帐户在离职后被访问，定期报告安排使管理员能够及时撤销访问并保护敏感数据，从而维护组织的网络安全态势。利用提供的格式从任务计划程序无缝运行 PowerShell 脚本。

./TrackOffboardedM365UserActivities.ps1 -UserId [email protected] -AdminName [email protected] -Password XXX

获取每月离线用户活动报告

要获取离线用户活动的每月摘要，只需运行以下脚本：

./TrackOffboardedM365UserActivities.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate(Get-Date) -UserId [email protected]

例如，当员工（例如本例中的丽莎）离开公司时，跟踪和记录用户的活动至关重要。它是一种主动措施，可以识别任何异常或可疑活动，防止离职员工未经授权下载官方文件。

使用 AdminDroid 获得有关 Microsoft 365 用户活动的无缝见解和详细信息

我们探索了如何使用 PowerShell 脚本和相应的用例来跟踪离线用户活动。但是，如果我说有一种更简单的方法可以在不使用 PowerShell 的情况下获取所有 Microsoft 365 用户活动，您相信吗？

AdminDroid 通过动态用户活动报告简化了 Microsoft 365 用户活动监控。以下是您可以跟踪的一些内容：

用户登录：

• 所有成功和失败的登录尝试
• 用户未能通过 MFA 挑战
• 禁用用户登录尝试
• 用户密码修改

用户邮箱活动：

• 发送和接收的所有电子邮件
• 发送到外部域和从外部域接收的电子邮件
• 发送和接收的垃圾邮件/网络钓鱼/恶意软件
• 批量删除邮件
• 收件箱规则创建

文件传输活动：

• SharePoint文件/文件夹/页面外部共享
• SharePoint 文件删除和恢复活动
• OneDrive 文件/文件夹访问活动
• OneDrive 文件删除和恢复活动
• Teams 聊天中的文件/文件夹共享

AdminDroid 提供的不仅仅是报告；它提供了一个全面的仪表板，可详细概述 Microsoft 365 中的用户活动。

此外，AdminDroid 还提供广泛的功能，包括1800 多个预构建报告和30 多个 Office 365 仪表板。这些报告提供全面的见解，涵盖报告、审计、分析、使用统计、安全性和合规性等领域。

此外，AdminDroid 还提供免费的 Azure AD 报告工具，其中包括 120 多个涵盖各个类别的报告和仪表板。这些报告具有导出、通过电子邮件发送报告和计划等功能。

立即下载 AdminDroid Microsoft 365 管理工具，体验简化管理的强大功能！

我希望此博客对于审核组织中的 Microsoft 365 离板用户活动有用。如果您有任何疑问，可以通过评论部分联系我们。