用于审核 Office 365 活动的 15 个有用的 PowerShell 脚本

审核在监控 Microsoft 365 组织中执行的活动中发挥着至关重要的作用。 Office 365 审核报告将有助于识别安全事件、监控用户活动、跟踪文件共享、调查取证事件等。

由于 PowerShell 的速度和可定制性，大多数管理员更喜欢 PowerShell 而不是审核日志搜索。如果您是其中之一，此博客将帮助您使用 PowerShell 有效监控您的 Office 365 环境。

“Search-UnifiedAuditLog”cmdlet 用于检索审核日志，但您在使用它时可能会遇到一些挑战。

• 该 cmdlet 将列出大量结果。如果你是新手，很难得到所需的结果。
• 对于每个 Search-UnifiedAuditLog 调用，您最多可以获得 5000 条审核记录。它可以通过使用“ResultSize”参数来实现。如果特定时间范围内的数据超过5000条，则需要通过'SessionId'反复调用Search-UnifiedAuditLog，直到获取全部记录。
• 即使您使用“SessionId”，您也可以获得给定时间段内的 50,000 条记录。如果超过限制，您将无法检索所有记录。这会导致部分数据检索。
• 检索到的数据为 JSON 格式。您必须转换它们才能进一步进行。

通过考虑这些挑战，我们为 Office 365 管理员创建了 15 个最需要的脚本来监控其组织。让我们详细看看它们。

监控用户活动：

• Office 365 用户登录历史记录报告 - 帮助监控 Office 365 用户的登录活动并识别异常登录模式。
• 用户活动报告 - 列出特定用户或管理员执行的所有活动，以跟踪任何可疑活动。
• 审核外部用户活动报告 - 帮助检查外部用户的活动，以防止安全威胁和数据泄露。
• 团队会议出席报告 - 将所有团队会议和参与者列表导出到 CSV 文件

审核邮箱和电子邮件活动：

• 非所有者邮箱访问报告 - 帮助跟踪谁访问了其他用户的邮箱以及何时访问。
• 邮件流量报告 - 显示用户一天发送和接收的电子邮件数量。
• 审核电子邮件删除报告 - 导出谁删除了哪些邮件以及何时删除的邮件。它有助于跟踪意外和故意的电子邮件删除。
• 审核 SendAs 电子邮件 - 帮助跟踪代表使用 SendAs 权限发送的电子邮件。
• 审核谁从共享邮箱发送电子邮件 - 识别谁使用 SendAs 和 SendOnBehalf 权限从共享邮箱发送电子邮件。
• 审核邮箱权限更改 - 检测谁修改了邮箱权限更改以及何时修改。

跟踪 SharePoint 文件共享和访问：

• 外部用户文件访问报告 - 显示外部用户访问的文件列表以及访问时间。
• 审核外部共享报告 - 帮助获取与外部用户共享的文件和文件夹列表，以监控敏感信息泄漏。
• 匿名链接共享和访问报告 - 审核 SharePoint Online 和 OneDrive 中的匿名链接创建、修改、删除和访问。
• 审核文件删除报告 - 从 SharePoint Online 和 OneDrive 导出谁删除了什么文件以及何时删除
• 审核 SPO 组成员身份更改 - 监视 SharePoint Online 组中成员的添加和删除。

如何安排审核报告：

使用基本 Office 365 许可，您只能检索过去 90 天的审核日志。要获取超过 90 天的审核数据，您将需要高级审核许可证，例如 E5、A5、G5 等。几个月前，管理员可以检索所有许可证类型的一年的审核数据。我们不确定这是 Microsoft 的功能还是错误。尽管如此，它仍然适用于一些租户（幸运的是，我的就是其中之一！）。您也可以检查您的租户。

如果它在您的租户中不起作用，您可以安排 PowerShell 脚本定期运行以保留旧数据。我们所有的脚本都是调度程序友好的，这有助于存储审计数据超过 90 天。

使用 AdminDroid 更长时间地保留 Office 365 审核日志：

Office 365 审核日志会生成大量审核数据，这些数据很难手动分析且过程耗时。这就是审核工具的用武之地。AdminDroid 提供了 Office 365 审核工具，可以简化审核流程，并为您提供有关组织活动的宝贵见解。

AdminDroid 提供有关各种 Office 365 服务的 800 多份审核报告，其中包括：

• Azure AD 审核报告：通过这些报告，管理员可以监控用户登录、用户活动、组活动、许可证更改、密码更改、应用程序活动等，并且其他 120 多个报告免费提供。
• Exchange Online 审核报告：这些报告有助于监视 Office 365 邮箱活动、访问权限、管理操作和配置更改。
• 电子邮件监控报告：电子邮件报告有助于跟踪电子邮件活动、电子邮件流量、非活动用户、高峰期、淡季、垃圾邮件、恶意软件、网络钓鱼电子邮件等，以减轻组织中的电子邮件威胁。
• SharePoint 审核报告：SPO 审核报告提供有关网站内容的用户权限、共享和访问、文件活动、外部共享和访问以及 DLP 操作的详细信息，以保护组织的数据。
• OneDrive 审核报告：这些报告有助于审核文件/文件夹活动的执行时间、方式和人员、OneDrive 链接的创建和删除以及外部共享到 防止用户机密信息泄露。
• MS Teams 审核报告：Teams 报告提供对 Teams 使用情况各个方面的深入了解，包括登录活动、专用频道和成员资格更改、配置更改以及 Teams 文件传输，以帮助组织更好地了解其 Teams 使用情况。
• Yammer 审核报告：提供有关非活动用户、非活动组、设备使用情况和每日 Yammer 活动的报告。
• Power BI 审核报告：帮助关注 Power BI 仪表板、报告、应用、数据集和数据流上的活动，以规范 Power BI 使用情况。
• 流媒体审核报告：使管理员能够跟踪各种视频活动，例如创建、修改、删除、恢复和上传。

此外，管理员可以配置 Microsoft 365 警报，以通过电子邮件警报实时跟踪 Microsoft 365 租户中发生的关键活动。借助 AdminDroid，管理员可以收到有关 1400 多项活动的电子邮件警报。这使他们能够快速响应潜在的安全威胁并采取必要的措施来防止任何数据泄露。

使用 AdminDroid Microsoft 365 报告器获得宝贵的见解，以确保组织的安全性和合规性。现在就尝试一下，发现数据可视化和分析的好处。

我希望此博客对审核您的 Office 365 组织有用。如果您有什么需求，可以在评论区分享。审核愉快！