使用 PowerShell 审核 Office 365 中的邮箱权限更改

Office 365 管理员可以配置权限来委派对其他邮箱的访问权限。由于邮箱中包含敏感数据，需要监控邮箱权限变化，保证安全，防止数据泄露。

如何审核 Exchange Online 中的邮箱权限更改：

可以通过以下方式授予邮箱权限。

• 完全访问权限：委托人可以读取、修改和删除委托邮箱中的内容。
• 发送方式： 代理人可以从委托邮箱发送电子邮件，该邮箱似乎是由邮箱所有者发送的。
• 代表发送：代理人可以代表邮箱所有者从受委托的邮箱发送电子邮件。

要检测邮箱权限更改，您可以使用“审核日志搜索”或 PowerShell cmdlet“Search-UnifiedAuditLog”。由于应单独跟踪每个邮箱权限，因此很难通过 UI 执行。此外，您无法通过审核日志搜索过滤掉代表发送权限更改。

如何使用 PowerShell 跟踪邮箱权限更改：

使用 PowerShell，管理员可以轻松跟踪 Exchange 邮箱权限更改。但是，很难过滤掉代表发送权限更改，因为它伴随着其他属性更改。不用担心！我们创建了一个 PowerShell 脚本来轻松监控权限更改。该脚本允许您生成有关所有权限更改或特定权限更改的审核报告。让我们深入了解一下！

已知限制：对于“代表发送”权限删除，Microsoft 不会提供访问权限被删除的委托人的姓名。相反，它将显示最新修改后的当前代表。我们已经在脚本中处理了这种特殊情况。

此外，管理员可以配置警报策略，以便在管理员分配邮箱权限时收到通知。

脚本下载：AuditMailboxPermissionChanges.ps1

脚本亮点：

• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用了 MFA 的帐户来执行。
• 将报告结果导出至 CSV 文件。
• 默认情况下排除系统生成的权限更改。
• 帮助检测谁修改了邮箱权限。
• 分别跟踪谁授予了完全访问权限、发送权限、代表发送权限。
• 允许您生成自定义时间段的邮箱权限更改审核报告。
• 在您确认后，自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

示例输出：

导出的报告将包含以下属性：事件时间、操作、执行者、邮箱名称、代表名称和其他审核数据。

脚本执行方法：

要运行该脚本，您可以选择以下任意一种方法。

方法1：使用MFA和非MFA帐户执行脚本

.\ AuditMailboxPermissionChanges.ps1

导出的审核报告包含过去 90 天内的所有邮箱权限更改。

方法 2：通过显式提及凭据来执行脚本（调度程序友好）。

.\ AuditMailboxPermissionChanges.ps1 -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

“审核邮箱权限更改脚本”的更多用例：

我们的脚本支持内置过滤参数，可根据您的要求生成更精细的审核报告。我们在下面列出了一些用例。

• 跟踪邮箱权限更改
• 自定义周期的邮箱权限审核
• 检测谁授予了完全访问权限
• 检测邮箱发送权限变化
• 查找代表发送权限更改
• 获取邮箱权限修改月度报告
• 安排邮箱权限审核报告
• 跟踪对外部用户的邮箱委托

跟踪邮箱权限更改：

该脚本将列出过去 90 天内所有邮箱权限更改，例如添加和删除完全访问权限、作为权限发送、代表发送权限。

.\ AuditMailboxPermissionChanges.ps1

自定义期间的邮箱权限审核：

通过使用 -StartDate 和 -EndDate 参数，管理员可以生成自定义时间段（例如最近 7 天、30 天或任何自定义时间段）的邮箱权限审核报告。

.\ AuditMailboxPermissionChanges.ps1 -StartDate 6/15/22 -EndDate 6/30/22

上面的示例检索 2022 年 6 月 15 日至 2022 年 6 月 30 日之间的所有邮箱权限更改。

检测谁授予了完全访问权限：

要检测谁授予了编辑、修改、删除其他人邮箱中的内容的完全访问权限，您可以使用 -FullAccessOnly 参数运行脚本。它还将跟踪完全访问权限的删除。

.\ AuditMailboxPermissionChanges.ps1 -FullAccessOnly

导出的报告将包含过去 90 天内发生的完整访问权限更改。您还可以使用 -StartDate 和 -EndDate 参数生成自定义期间的报告。

监控邮箱的发送权限变化：

当用户被授予发送权限时，他们可以作为委托邮箱发送电子邮件 - 即使邮箱所有者不知情。因此，跟踪电子邮件发送是一项挑战。因此，管理员需要密切关注权限更改时的发送。要查找谁授予和删除了作为发送权限，请使用 -SendAsOnly 开关参数运行脚本。

.\ AuditMailboxPermissionChanges.ps1 -SendAsOnly

查找代表发送权限更改：

必须以不同的方式跟踪“代表发送”权限更改。此外，在这种情况下，Microsoft 不会直接提供委托名称。它将显示最近一次权限更改后拥有“代表发送”权限的所有代表的姓名。

我们的脚本处理一些过滤器并检索分配了权限的委托名称。但在删除代表发送期间无法检索委托名称。

要跟踪代表发送权限更改，请使用 -SendOnBehalfOnly 开关参数执行脚本。

.\ AuditMailboxPermissionChanges.ps1 -SendOnBehalfOnly

安排邮箱权限审核报告：

由于“Search-UnifiedAuditLog”可以将审核日志保留 90 天（对于 E3 许可证），因此您可能需要旧数据进行分析。在这种情况下，安排将帮助您将审核日志保留更长时间。

要自动执行 PowerShell 脚本，您可以在 Windows 任务计划程序中使用以下格式。

.\ AuditMailboxPermissionChanges.ps1 -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

获取有关邮箱权限更改的月度报告：

要获取已删除电子邮件的月度报告，请运行以下脚本，

.\ AuditMailboxPermissionChanges.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date) -UserName [email protected] -Password XXX

您还可以使用上述格式获取预定的月度报告。

跟踪对外部用户的邮箱委托：

在某些情况下，管理员需要向外部用户授予邮箱访问权限。因此，确定谁将邮箱访问权限委托给了谁是一项关键任务。要跟踪外部用户的邮箱权限更改，请使用 Excel 打开报告并筛选包含“#EXT#”的“代表名称”列。

使用 AdminDroid 高效审核邮箱权限更改

授予邮箱权限是不可避免的情况，但有时可能会导致权限提升、配置错误等。虽然使用 PowerShell 审核这些权限可以提供有价值的见解，但它可能并不总是最有效的！例如，使用 PowerShell 审核邮箱权限更改通常需要复杂且冗长的命令，这使得它非常耗时。此外，在审核大量邮箱时，该过程可能资源密集型。

因此，如果您正在寻求改进邮箱权限管理，请查看 AdminDroid 提供的 Exchange Online 邮箱权限报告，您肯定会感到惊讶！全面的报告提供了宝贵的见解和指标，有助于简化您的邮箱权限监控和审核流程。

想知道为什么 AdminDroid 是 Exchange Online 管理的首选？

• 以任何格式导出到任何地方！ 您只需点击一下即可以各种格式（例如 CSV、HTML 和 PDF）导出每个 Exchange Online 报告，从而更加灵活地进行分析。
• 安排并坐下来 - 轻松设置自动安排日常监控报告（例如邮箱使用情况、垃圾邮件和恶意软件检测）并接收实时报告直接发送到您的收件箱。您无需再手动检查报告！
• 智能优化数据 - 现在，您可以合并多个报告并应用其他过滤器、排序和列，以获得更有效的邮箱流量分析。
• 委派和分担负载 -委派对报表、仪表板、租户等的访问权限，并协同工作。以便多个团队成员可以分担管理 Exchange Online 环境的负担。
• 不要只处理表中的数据；在图表中可视化！ 使用我们的图形 AI 图表，将报告可视化为数字和表格之外的内容。 （地理地图和热图可视化）。这使得识别组织内的邮箱使用模式和趋势比以往任何时候都更加容易。
• 租户管理变得轻松 - 管理多个 M365 租户并在单个门户中鸟瞰所有内容。
  

AdminDroid Exchange Online 报告工具涵盖170 多个 Exchange Online 报告，有助于跟踪邮箱权限更改、具有委派访问权限的邮箱、来宾对邮箱的访问权限等。通过这些报告，管理员可以快速识别谁有权访问敏感信息并立即采取行动。快速查看 AdminDroid 的不同邮箱委派权限报告：

邮箱权限报告。

• 邮箱权限汇总
• 具有发送权限的邮箱
• 具有代发权限的邮箱
• 具有完全权限的邮箱
• 具有读取权限的邮箱
• 访问其他邮箱报告

邮箱权限更改

• 邮箱权限变更
• 邮箱文件夹权限更改
• 公用文件夹权限更改
• 发送为权限更改

管理员邮箱访问

• 管理员邮箱访问其他邮箱
• 具有“代理发送”权限的管理员邮箱
• 具有代表发送权限的管理员邮箱
• 具有完全访问权限的管理员邮箱

访客邮箱权限

• 客人邮箱权限汇总
• 访客访问其他邮箱

总体而言，AdminDroid Exchange Online 管理工具是一个功能强大的报告解决方案，可为组织提供对其 Exchange Online 环境的详细见解。此外，免费的 Azure AD 报告工具包含120 多个报告，提供组织组、组成员身份更改、用户、许可证、用户登录、密码更改、等等。当涉及到审计和报告时，您可以确信，AdminDroid 可以满足您的要求。

想实时体验 AdminDroid 的强大功能吗？立即尝试 AdminDroid15 天免费试用！

结论：

确定谁可以访问其他邮箱是邮箱权限管理的重要任务之一。要获取所有邮箱的邮箱权限，您可以生成邮箱权限报告。或者，您可以使用我们的专用脚本获取用户有权访问的邮箱列表。

我希望这篇博客对管理 Exchange Online 中的邮箱权限有所帮助。如果您有任何疑问，请通过评论部分与我们联系。