使用 PowerShell 审计 Office 365 外部用户活动

组织通常涉及共享文档或与外部人员（例如供应商、合作伙伴或客户）协作。允许外部用户访问资源可能会导致敏感数据泄露、安全威胁和攻击。因此，管理员必须跟踪组织中的外部用户活动，以识别可疑事件并取得所需的进展。

如何跟踪 Microsoft 365 中的外部用户活动？

外部用户的 UPN 中有 #EXT#。例如，假设来自 fabrikam.com 的 Bob 作为来宾用户添加到 contoso.com。那么 Bob 具有以下 UPN：Bob_fabrikam.com#EXT#@contoso.com。

您可以生成外部用户报告以了解组织中可用的外部/来宾用户。如果您发现任何可疑帐户，您可以通过审核日志搜索来跟踪谁创建了该外部用户。

要审核外部用户活动，管理员可以使用审核日志搜索或 PowerShell。

审核日志搜索：审核日志包含过多噪音，并且没有过滤选项来检索外部用户活动。因此，管理员可以使用 PowerShell。

PowerShell：PowerShell cmdlet Search-UnifiedAuditLog 可帮助管理员获取外部用户的活动，但它有一些限制。此外，如果您没有正确检索审核数据，您最终将获得部分数据。

为了简化您的工作，我们创建了一个 PowerShell 脚本，其中包含针对所有本机审核日志限制的解决方案。我们的脚本有助于识别外部用户的活动，例如

• 下载敏感文件
• 非法文档/文件修改
• 机密文件访问，
• 非法资源共享（即外部用户共享资源）等

脚本下载：AuditExternalUserActivity.ps1

脚本亮点：

• 该脚本使用新式身份验证来连接到 Exchange Online。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出到 CSV 文件。
• 该脚本根据输入跟踪所有外部用户或特定用户活动。
• 允许您生成自定义时间段的活动报告。
• 在您确认后自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

Office 365 外部用户活动报告 - 示例输出：

导出的用户活动报告包含以下属性：活动时间、外部用户名、操作、访问的资源、资源类型、工作负载和详细的审核数据。

脚本执行步骤：

要运行此脚本，您可以选择以下任意一种方法。

方法 1：使用 MFA 和非 MFA 帐户执行脚本

.\AuditExternalUserActivity.ps1

方法 2：通过明确提及凭据来执行脚本（调度程序友好）。

.\AuditExternalUserActivity.ps1 -UserName [email protected] -Password XXX

注意：如果管理员帐户具有 MFA，则您需要根据条件访问策略禁用 MFA 才能使其正常工作。

“审核外部用户活动”PowerShell 脚本的更多用例：

默认情况下，我们的脚本支持多个内置过滤参数来生成细粒度的审核报告。使用该脚本，您可以

• 审计所有外部用户的活动

• 监控自定义时间段内的外部用户活动

• 跟踪特定外部用户的活动

• 安排外部用户活动报告

• 获取外部用户活动的月度报告

审核过去 90 天内所有外部用户的活动：

要跟踪外部用户执行的所有活动，请运行以下脚本。

.\AuditExternalUserActivity.ps1

导出的报告包含外部用户最近 90 天的审核日志。

监控自定义时间段内的外部用户活动：

您可以通过提及-开始日期 和 -EndDate 参数。

使用这些参数，您可以生成过去 7 天、30 天、90 天或任何所需时间段内 Office 365 用户的审核报告。

.\AuditExternalUserActivity.ps1 -StartDate 01/13/22 -EndDate 02/10/22

上面的示例检索 2022 年 1 月 13 日到 2022 年 2 月 10 日的外部用户活动。

跟踪特定外部用户的活动：

如果您想审核可疑的外部用户，可以使用 -ExternalUserId param 运行脚本，如下所示。

.\AuditExternalUserActivity.ps1 -ExternalUserId John_fabrikam.com#ext#@contoso.com

结果包含外部用户 John 执行的活动。您还可以组合 -StartDate 和 -EndDate 参数来检索特定时间间隔内的操作。

安排外部用户活动报告：

由于“Search-UnifiedAuditLog”可以检索过去 90 天内的外部用户活动，因此您可能需要旧数据进行分析。在这种情况下，安排时间将帮助您将审核日志保留 90 天以上。

要从任务计划程序运行 PowerShell 脚本，您可以使用以下格式：

.\AuditExternalUserActivity.ps1 -UserName [email protected] -Password XXX

注意：如果管理员帐户具有 MFA，您需要根据条件访问政策禁用 MFA 才能使其正常工作。

获取有关外部用户活动的月度报告：

当您想要定期监视和控制外部访问及相关活动时，月度报告会很有帮助。

要获取有关外部用户活动的月度报告，您可以按如下方式运行脚本：

.\AuditExternalUserActivity.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date)

导出的报告包含外部用户过去 30 天的审核数据。

获取有关外部用户活动的更详细报告：

如果您想通过点击几下鼠标获得更详细的外部用户审核报告，您可以看看 AdminDroid Microsoft 365 审核工具。它提供以下有关外部用户的报告。

• 外部用户活动

• 对外部用户的管理操作

  • 审核外部用户创建
• 外部用户修改
• 许可证分配
• 已删除的外部用户
• 团体成员变更

• Microsoft Teams 文件传输

  • 外部用户在频道中共享的文件
• 在私人聊天中共享给外部用户的文件
• 最近创建的共享邮箱

此外，AdminDroid 还针对各种 Office 365 服务（例如 Azure AD、Exchange Online、SharePoint Online、Microsoft Teams 等）提供1500 多个预构建报告。审计需求，

每份报告都提供人工智能驱动的图形分析，以具有视觉吸引力的方式获得见解并更好地理解数据。

此外，AdminDroid 完全免费提供超过100 多个报告和一些仪表板。它包括有关用户、许可证、组、组成员、设备、登录活动、密码更改、许可证更改等的报告。您可以进行定制、安排和导出。您可以下载 AdminDroid 提供的免费 Office 365 报告工具，看看它如何为您提供帮助。

有必要识别外部用户的活动以保护组织的数据。此外，此报告还可以帮助您找到不活动的外部用户，并且您可以根据需要将其删除。在评论部分向其他管理员和我们展示您管理外部用户的想法和技巧