使用 PowerShell 审核 Microsoft Teams 成员资格更改

Microsoft Teams 在促进组织内的协作和沟通方面发挥着至关重要的作用。由于团队所有者可以在 MS Teams 中添加或删除成员，因此管理员跟踪成员资格更改以确保授权个人有权访问敏感信息非常重要。虽然网上有许多脚本可用于获取团队成员资格详细信息，但很少有脚本可以审核团队成员资格更改，而这一点至关重要。

当您有审核日志搜索时，为什么要使用 PowerShell 脚本？

虽然 Microsoft Purview 中的 Microsoft 审核日志搜索也可用于监视成员资格更改，但它的自定义选项有限，并且可能无法一目了然地提供所有必要的详细信息。此问题的一种解决方案是使用 PowerShell 脚本来监视 Teams 成员身份更改。因此，我决定编写一个具有一些高级功能的脚本。

脚本亮点：

• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用了 MFA 的帐户来执行。
• 将报告结果导出至 CSV 文件。
• 导出所有团队的成员资格更改
• 该脚本有一个过滤器来跟踪私人频道成员资格更改。
• 该脚本有一个过滤器来监视共享频道成员资格更改。
• 允许您生成自定义期间的审核报告。
• 在您确认后自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

脚本下载：AuditTeamMembershipChanges.ps1

如何执行审核脚本：

您可以根据您的要求选择以下任意一种方法。

方法 1： 使用 MFA 和非 MFA 帐户执行脚本

导出的报告包含过去 90 天的外部用户文件访问情况。

.\AuditTeamMembershipChanges.ps1

方法 2：通过明确提及凭据来执行脚本。

.\AuditTeamMembershipChanges.ps1 -UserName [email protected] -Password XXX

注意： 安排仅适用于非 MFA 帐户。如果管理员帐户具有 MFA，则您需要根据条件访问政策禁用 MFA 才能使其正常工作。

审核团队成员变更报告 - 示例输出：

输出文件包含以下属性：事件时间、执行者、操作、团队/频道类型、团队名称、频道名称、用户名、角色和更多审核数据。

释放团队成员变更脚本的全部潜力：

您可以使用高级过滤参数来生成更精细的审核报告。我在下面列出了一些用例。

• 跟踪自定义期间内的 Teams 成员资格变化
• 审核私人频道成员资格变更
• 确定共享频道成员资格变更
• 监控 MS 团队中的团队成员变化
• 安排审核报告

跟踪自定义期间的团队成员变更：

默认情况下，该脚本检索过去 90 天的审核日志。您可以使用 StartDate 和 EndDate 参数用于检索自定义时间段内的审核数据。此外，您还可以通过修改脚本来检索 365 天的审核日志。 （如果您需要的话，请在评论区告诉我，我会帮助您）。

.\AuditTeamMembershipChanges.ps1 -StartDate 12/1/2022 -EndDate 12/10/2022

上述示例将导出 2022 年 12 月 1 日至 2022 年 12 月 10 日之间执行的所有 MS Teams 成员资格更改（包括标准、私人和共享频道成员资格）。

审核私人频道成员资格变更：

作为管理员，您可以快速生成私人频道成员报告。但追踪私人频道成员的变化是一项挑战。使用 PrivateChannelMembershipChangesOnly 参数运行此脚本以导出私人频道成员资格修改报告。

.\AuditTeamMembershipChanges.ps1 -PrivateChannelMembershipChangesOnly

此示例检索过去 90 天内的私人频道成员资格和所有权更改。

确定共享频道成员资格变更：

通过引入共享渠道，人们可以在组织内部和外部进行协作，而不会影响根团队的成员资格。即，可以将成员添加到共享频道，而无需将其添加到团队。因此，团队所有者和 MS Teams 管理员应跟踪成员资格更改以防止安全漏洞。

要跟踪共享频道成员身份更改以及添加者，请使用 SharedChannelMembershipChangesOnly 参数运行脚本。

.\AuditTeamMembershipChanges.ps1 - SharedChannelMembershipChangesOnly

上面的示例有助于查找过去 90 天内谁将成员添加到共享频道。

监控团队成员变更：

MS Teams 支持向团队批量添加用户以实现高效协作。因此，管理员必须密切关注成员的添加和删除，以确保团队中有合适的成员。要跟踪添加和删除团队成员，请使用 TeamsMembershipChangesOnly 参数执行脚本。

.\AuditTeamMembershipChanges.ps1 -TeamsMembershipChangesOnly

您还可以使用上述格式来查找标准频道会员资格的变化。

安排审核报告：

Microsoft 根据订阅类型在有限的时间内保留审核日志。要无限期存储审核日志，您可以计划审核报告并将其保存在本地计算机上。要安排 PowerShell 脚本，您可以在 Windows 任务计划程序中使用以下格式。

<ScriptPath>AuditTeamMembershipChanges.ps1 -UserName [email protected] -Password XXX

使用上述格式，您可以安排脚本并审核团队成员资格更改。

要安排每月报告，您可以使用以下格式并将其设置为每月 1 日运行。

<ScriptPath>AuditTeamMembershipChanges.ps1 -UserName [email protected] -Password XXX -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date)

注意：如果管理员帐户具有 MFA，则必须通过条件访问策略禁用 MFA 才能发挥作用。

审计日志的缺点：

该脚本使用“Search-UnifiedAuditLog”检索审核日志并筛选操作以生成团队成员资格更改报告。我在检查生成的审核日志时注意到一些错误。

• 将所有者降级为成员时，审核日志显示不正确的“角色”。
• 在少数情况下，“MemberAdded” 操作在成员列中显示为空值。

我希望微软能够尽快解决这些问题。

使用 AdminDroid 跟踪团队成员变更

使用 PowerShell 审核 Microsoft Teams 成员资格更改可能是一个耗时的过程，尤其是在需要跟踪许多更改的情况下。 AdminDroid 凭借其高级功能和用户友好的框架，消除了监控 Teams 成员资格变更的麻烦。凭借直观的过滤、快速的调度和令人惊叹的数据可视化，找到您需要的数据比以往更容易。您还可以触发关键事件的警报，例如成员删除、所有权降级等。

您可以全面了解 Teams 成员资格报告和审核，让您随时了解情况。查找 AdminDroid 提供的团队成员变更报告：

• 团队成员添加 - 监控添加到团队的新成员。
• 团队成员删除 - 当成员从您的团队中删除时，请随时了解情况。
• 团队所有者添加 - 跟踪添加到团队的新所有者。
• 团队所有者删除 - 当团队所有者被删除时接收通知。
• 团队所有权晋升 - 跟踪所有权层次结构和晋升的变化。
• 团队所有权降级 - 接收有关所有权转让和成员降级的警报。

AdminDroid 团队成员仪表板

AdminDroid 为 Teams 成员资格和所有权提供了专属仪表板，为管理员提供了宝贵的见解。

• 通过此仪表板，管理员可以根据成员数量、所有者数量和来宾数量等各种标准快速识别前 10 个团队。
• 但这还不是全部 - 仪表板还根据成员数量、所有者数量和访客数量显示排名前 5 的私人频道。
• 这一重要信息使管理员能够了解哪些渠道最受欢迎并确保私人渠道得到适当使用。

简而言之，凭借宝贵的见解、报告和仪表板，AdminDroid 将在管理组织中的 Teams 成员资格方面发挥重要作用。

除了 Teams 管理报告之外，AdminDroid 还为各种 Office 365 服务提供超过 1800 个预构建报告，包括 Azure AD、Security Exchange Online、SharePoint Online 等。此工具可以帮助您轻松生成有关 Microsoft 365 环境各个方面的警报、计划和导出报告。

下载 AdminDroid 提供的 Microsoft Teams 报告和审核工具并了解其工作原理。