导出 Office 365 来宾用户报告及其成员资格

来宾用户是允许使用 Office 365 租户资源的外部用户帐户。来宾用户可以访问 Microsoft Teams、SharePoint、Planner、Yammer、OneDrive、Microsoft 365 组等。

如何将访客用户添加到 Office 365？

可以通过多种方式将来宾用户添加到 Office 365 组织。一般来说，

• 您可以通过邀请来宾用户加入 Microsoft 365 群组、Microsoft 团队来添加他们。
• 您可以通过 SharePoint Online 或 OneDrive 与外部用户共享文件/文件夹来添加来宾用户。

来宾用户的 UPN 中有#EXT#。

例如，来自 contoso.com 的 Bob 作为来宾用户添加到 fabrikam.com。那么 Bob 有以下 UPN：Bob_contoso.com#EXT#@fabrikam.com
您可以使用 PowerShell 或审核日志搜索来查找谁在 Azure AD 中创建了来宾用户。审核日志保留期限取决于您使用的许可证计划

如何获取Office 365租户中的所有来宾用户？

由于访客用户可以由管理员、群组所有者创建。和最终用户，有必要识别组织中的来宾用户帐户。管理员可以通过 Microsoft 365 管理中心或 Azure AD 管理中心查看组织中的来宾用户。

但是，管理中心无法显示访客帐户创建时间、帐户年龄以及访客帐户创建者等必要的属性。此外，微软还没有提供任何选项来下载带有会员资格的访客用户报告以进行进一步分析。

那么，列出 Office 365 租户中所有来宾用户的最佳方法是什么？与往常一样，PowerShell 是最佳选择。

使用 PowerShell 导出 Office 365 访客用户报告

PowerShell cmdlet“Get-AzureADUser”用于检索租户中的来宾用户。要列出所有访客帐户，请运行以下命令。

Get-AzureADUser -All $true -Filter "UserType -eq 'Guest'"

结果将提供大量可能不必要的属性，并且不会显示来宾用户的组成员身份信息。要查找来宾用户的成员资格，您需要使用“Get-AzureADUSerMembership”cmdlet。

注意：由于 Azure AD 和 Msol PowerShell 模块已弃用，因此您可以使用 Microsoft Graph PowerShell cmdlet，例如 Get-MgUser。

要使用 MS Graph 查看所有来宾用户，请运行以下 cmdlet。

Get-MgUser -All -Filter "UserType eq 'Guest'"

为了简化您的工作，我们创建了一个 PowerShell 脚本来导出来宾用户及其最需要的属性。

注意：我们已更新脚本以使用 MS Graph PowerShell

下载脚本：GuestUserReport.ps1

脚本亮点：

• 该脚本使用 MS Graph PowerShell，并在您确认后安装 MS Graph PowerShell SDK（如果尚未安装）。
• 它也可以通过基于证书的身份验证 (CBA) 来执行。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出为 CSV 文件。
• 允许使用过滤器获取过时的访客帐户。
• 允许使用过滤器获取最近创建的访客用户。
• 该脚本调度程序友好。

Office 365 来宾用户报告 - 示例输出

导出的访客用户及其会员报告如下图所示：

来宾用户/外部用户报告包含以下属性：

• 访客用户名（即显示名称）
• 用户主体名称
• 电子邮件地址
• 公司
• 创建时间
• 账户年龄
• 创作类型
• 邀请接受状态
• 团体会员

如何导出 Azure AD 访客用户报告？

第 1 步：下载脚本。

步骤 2：以管理员身份启动 Windows PowerShell。

第 3 步：要查看所有访客用户及其信息，请运行以下脚本。

./GuestUserReport.ps1

您可以使用上述语法通过 MFA 和非 MFA 帐户执行脚本。

Office 365 访客用户报告的更多用例：

该脚本支持高级过滤参数，可帮助您根据需要获取报告。

获取过时的访客用户帐户报告：

作为管理员，如果旧来宾用户离开组织或不再需要，这是清理他们的好方法。这将有助于撤销授予的访问权限。根据您组织的要求，您可以根据帐户创建时间获取过时的访客帐户列表。

要获取旧的访客帐户，请使用 -StaleGuests 运行脚本参数，它将返回早于给定天数的访客帐户。

./GuestUserReport.ps1 -StaleGuests 365

这将导出超过一年（即 365 天）的来宾用户。通过参考此报告，管理员可以删除旧的访客帐户。

最近创建的访客用户报告：

Office 365 没有提供任何选项来查看谁创建了访客帐户。因此，管理员需要监控新创建的访客帐户。

要查看新创建的来宾帐户，请使用 -RecentlyCreatedGuests 参数，该参数将返回在指定天内创建的访客帐户。

./GuestUserReport.ps1 -RecentlyCreatedGuests 7

上述代码将导出过去 7 天内创建的所有访客用户。

安排定期运行 Azure 来宾用户报告：

如前所述，该脚本对于调度程序是友好的。要自动执行脚本，您可以通过按以下格式指定 TenantId、ClientId 和 CertificateThumbprint 参数来使用基于证书的身份验证 (CBA)：

./GuestUserReport.ps1 -TenantId <TenantId> -ClientId <ClientId> -CertificateThumbprint <Certthumbprint>

要使用基于证书的身份验证，必须在 Azure AD 中注册应用程序。对于应用程序身份验证，您可以选择使用证书颁发机构 (CA) 或创建自签名证书，这更具成本效益。

获取更详细的访客用户报告：

获取详细的访客用户报告

• 访客用户类型

  • 外部访客用户
• 内部访客用户
• SharePoint 网站中的来宾用户
• 团队和私人频道中的访客用户

您可以查看AdminDroid Microsoft 365 报告和审核工具。

AdminDroid 完全免费提供120 多个报告和仪表板。它包括有关用户、许可证、组、组成员、设备、登录活动、密码更改、许可证更改等的报告。免费的 Azure AD Reporter 版本在自定义、计划和导出等报告功能方面没有任何限制。

此外，AdminDroid 还提供1800 多个预构建报告和30 多个智能仪表板，让您一目了然地了解您的 Office 365 环境。该工具提供有关 Office 365 报告、审核、分析、使用统计、安全性和合规性等的报告以及有关关键 M365 活动的警报。下载 AdminDroid Microsoft 365 报告软件，看看它如何为您提供帮助。

我希望此博客能够帮助您管理和报告组织中的访客帐户。如果您有任何疑问，请通过评论部分与我们联系。