使用 PowerShell 将非所有者邮箱访问报告导出到 CSV

由于邮箱包含敏感数据，向多个用户授予访问权限会增加安全漏洞的风险。您可以使用审核日志来检测和防止此类安全漏洞。使用审核日志，您可以跟踪谁访问了邮箱以及他们执行了哪些操作。

在某些组织/租户中，默认情况下不启用邮箱审核。因此，您需要启用邮箱审核。否则你最终会得到空的审计记录。

注意：默认的审核操作对于大多数组织来说已经足够了。但是，如果您确定不是，则需要手动配置。您可以使用 PowerShell 脚本为所有邮箱操作启用邮箱审核。

如何检测谁访问了其他用户的邮箱？

Office 365 非所有者邮箱访问报告列出了非邮箱所有者的人员访问过的邮箱。您可以使用非所有者邮箱权限报告了解谁对其他人的邮箱拥有权限。

您可以使用 Exchange 管理中心 (EAC) 运行非所有者邮箱访问报告，但无法导出它们，并且需要单击每个邮箱才能查看其非所有者访问权限。这就是 PowerShell 发挥作用的地方。但是，获取所有审核日志并对其进行分析是一项艰巨的任务。不用担心！我来帮你！

我创建了一个 PowerShell 脚本来将 Office 365 非所有者邮箱报告导出到 CSV。

使用 PowerShell 导出非所有者邮箱访问报告：

非所有者访问报告显示管理员和代理人执行的操作。该报告提供以下信息。

1. 非所有者访问的邮箱列表，
2. 谁访问了邮箱以及何时访问，
3. 非所有者执行的操作，
4. 结果是操作成功还是失败。

下载脚本：NonOwnerMBAccessReport.ps1

脚本亮点：

• 允许您过滤掉外部用户的访问。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告导出为 CSV
• 此脚本适合调度程序。即，凭证可以作为参数传递，而不是保存在脚本内。
• 您可以缩小特定日期范围的审核搜索范围。

示例输出 - Office 365 非所有者邮箱访问报告：

导出的报告包含以下属性：访问时间、登录类型、访问者（非所有者）、执行的操作、访问的邮箱（委托邮箱）、结果和外部访问。

脚本执行：

该脚本可以使用启用 MFA 的帐户和非 MFA 帐户执行。您可以根据账户类型选择以下任意一种方式。

导出非所有者邮箱访问报告：

对于非 MFA 帐户，请运行以下脚本。

./NonOwnerMBAccessReport.ps1

默认情况下，该脚本排除外部用户访问。即系统生成的事件。

使用 MFA 导出非所有者邮箱访问报告：

要审核启用了 MFA 的帐户的非所有者邮箱访问，请使用 -MFA 开关执行脚本。

./NonOwnerMBAccessReport.ps1 -MFA

要详细了解如何使用 MFA 连接 Exchange Online PowerShell，请参阅我们的博客：使用 MFA 连接到 Exchange Online PowerShell。

“非所有者邮箱访问报告”脚本的更多用例：

审核过去 90 天的非所有者邮箱访问报告：

默认情况下，该脚本会审核过去 90 天内的非所有者邮箱访问。要导出过去 90 天的 Office 365 非所有者邮箱审核报告，请运行以下脚本。

./NonOwnerMBAccessReport.ps1

导出给定时间间隔内的非所有者邮箱访问报告：

要导出特定时间段的 Office 365 委托访问报告，请使用 -StartDate 和 -EndDate 参数。

./NonOwnerMBAccessreport.ps1 -StartDate 01/15/20 -EndDate 1/30/20

日期应采用 MM/DD/YY 格式。上述脚本将导出2020年1月15日至2020年1月30日的非所有者邮箱访问权限。

审核代表和管理员的邮箱访问：

一般来说，非所有者邮箱访问包括管理员、代理人和外部用户。在 Exchange Online 中，外部用户引用 Microsoft 数据中心管理员的访问权限。

要导出代理人和管理员（不包括外部用户）的邮箱访问权限，请运行以下脚本。

./NonOwnerMBAccessreport.ps1

导出非所有者邮箱活动报告，包括外部访问：

您可以导出组织内管理员和委派用户执行的所有非所有者访问以及外部用户（Exchange Online 中的 Microsoft 数据中心管理员）的访问。

要审核非所有者邮箱对外部用户活动的访问，请使用 -IncludeExternalAccess 运行脚本 参数设置为 $True。

./NonOwnerMBAccessReport.ps1 -IncludeExternalAccess $True

安排非所有者邮箱活动报告：

由于Search-UnifiedAuditLog拥有过去 90 天的数据，因此您可能需要旧的审核日志进行分析。在这种情况下，安排将帮助您将审核日志保留 90 天以上。

您可以在任务计划程序中计划非所有者邮箱操作报告。如果您将脚本安排为每 90 天运行一次，则您可以随时审核非所有者邮箱访问。因此，您可以对存储多年的审核日志进行进一步分析。

./NonOwnerMBAccessReport.ps1 -UserName admin@contoso.com -Password XXXX

您可以使用任务计划程序来运行 PowerShell 脚本。

使用 AdminDroid 轻松克服安全问题

上述报告提供了有关代表、管理员和外部用户的非所有者邮箱访问的信息，甚至提取特定时间间隔的数据。但我们只需要这些报告吗？不，您必须密切关注的不仅仅是这个，其中一些是：

1. 通过可疑 IP 进行访问：如果非所有者邮箱访问来自不熟悉/可疑的 IP 地址，则可能是恶意活动的迹象。

1. 同一用户的多次访问：如果单个用户在短时间内多次访问非所有者邮箱，则可能是潜在数据泄露或未经授权访问的迹象。

这样的列表不胜枚举，例如监控非工作时间的访问、仅审核特定邮箱等。因此，如果您希望将所有内容都放在一个仪表板中，AdminDroid Exchange Online 监控工具是正确的选择。

通过非所有者邮箱访问更进一步

AdminDroid 的非所有者邮箱访问报告为管理员提供了邮箱访问时间的高级概述、每个非所有者邮箱的失败访问尝试、查找下班时间的用户活动等。还不止于此！您可以进一步分析 IP 登录信息并立即发现可疑活动，而无需做太多工作。

此外，AdminDroid Exchange Online 审核工具附带了多达170 多个 Exchange Online 报告，用于跟踪、安排每项活动并接收警报。立即开始体验 AdminDroid Exchange Online 管理工具的全部潜力。最棒的是 AdminDroid Microsoft 365 报告器提供了 120 多个关于 Azure AD 管理的免费报告！

不要让 Office 365 管理的复杂性让您失望 - 让 AdminDroid 掌控一切！

AdminDroid 具有 1800 多个报告和 30 多个富有洞察力的仪表板 在 Exchange Online、SharePoint Online、Microsoft Teams、OneDrive for Business 和所有其他 Office 365 服务上，通过易于使用、直观的界面和时尚的图形仪表板进行操作。立即下载 AdminDroid 并通过 15 天免费试用探索其功能！

我希望这篇博客将帮助您检测谁访问了其他用户的邮箱，并识别非所有者执行的意外或恶意操作。该报告将帮助您满足合规和诉讼要求。