查找谁在 Microsoft 365 中创建了用户帐户 |审核用户创建

在 Microsoft 365 中，用户帐户充当访问资源的网关。未经授权或可疑的用户创建可能会导致严重后果，例如数据泄露和敏感信息泄露。管理员通过努力跟踪和监控 Microsoft 365 中的用户创建，在保护组织数据方面发挥着关键作用。

如何查找 Microsoft 365 中用户帐户的创建者？

确定用户帐户的创建时间及其上次在 Microsoft 365 中的登录活动相对容易。但是，识别用户帐户的创建者需要利用审核日志。为此，您有两种选择：使用 Microsoft Purview 门户或 PowerShell 中的审核日志搜索。

Microsoft Purview 门户：要访问审核日志，请导航到 Microsoft Purview 门户。从那里，您可以通过活动“添加用户”来过滤审核日志。此操作将显示您组织中新创建的用户的列表。然而，给出的信息是基本信息，仅提供过去 90 天的数据。此外，没有可用的调度选项。

PowerShell：另一种方法涉及在 PowerShell 中使用“Search-UnifiedAuditLog” cmdlet 来查明用户帐户的创建者和时间。但这个过程可能需要多个步骤才能将数据转换为可读或用户友好的格式，这需要更多的努力。

为了简化您的工作，我们开发了一个 PowerShell 脚本，它提供了最基本的属性，以用户友好的方式跟踪 Entra ID 用户。

脚本亮点：

• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用 MFA 的帐户执行。
• 将报告结果导出到 CSV 文件。
• 标识Azure AD 来宾用户的创建者。
• 帮助查找最近创建的用户。例如，过去 30 天内创建的用户。
• 允许您生成自定义时间段的用户创建审核报告。
• 在您确认后自动安装 EXO 模块（如果尚未安装）。
• 该脚本调度程序友好。 即，凭证可以作为参数传递，而不是保存在脚本内。

脚本下载：AuditM365UserCreations.ps1

检测谁在 Microsoft 365 中创建了用户帐户 - 脚本执行方法：

您可以根据您的要求选择以下任意一种方法。

方法 1： 使用 MFA 和非 MFA 帐户执行脚本

.\AuditM365UserCreations.ps1

导出的报告包含过去 90 天内创建的用户列表。

注意：根据 Microsoft 最近的更新，您可以检索自 2023 年 9 月起超过 90 天（即 180 天）的 M365 审核日志。

方法 2： 通过显式提及凭据来执行脚本。

.\AuditM365UserCreations.ps1 -UserName [email protected] -Password XXX

您还可以使用此方法在无人值守的情况下运行脚本。计划仅适用于非 MFA 帐户。如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

审核用户创建报告 - 示例输出：

导出的报告可帮助管理员识别谁在 Office 365 中创建了用户帐户，其中包含用户创建时间、显示名称、UPN、分配的许可证、帐户状态、用户类型、结果状态和其他详细信息。

从问题到解决方案：脚本如何适应各种场景？

我们的“审核 Microsoft 365 用户创建”脚本支持多个内置过滤器，可根据各种用例生成审核报告。让我们详细看看它们。

• 查找最近创建的用户
• 确定谁创建了访客用户
• 获取最近创建的访客用户的列表（即过去 30 天内创建的访客用户）
• 查找在自定义时间段内创建的用户
• 安排脚本在无人值守的情况下运行

查找最近创建的 M365 用户：

此报告对于掌握 Microsoft 365 用户添加情况、为你提供帐户创建的实时视图以及帮助你及时解决任何未经授权的访问至关重要。要跟踪 Microsoft 365 环境中最近创建的用户，请通过传递 no 来运行脚本。 “RecentlyCreatedDays”参数中的天数。例如，

.\AuditM365UserCreations.ps1 -RecentlyCreatedDays 30

导出的报告显示过去 30 天内创建的用户列表以及必要的详细信息。如果您发现任何可疑帐户，您可以监控用户活动，以保护您的组织免受潜在威胁。

确定谁在 Microsoft 365 中创建了来宾用户：

管理组织中的来宾用户很重要，但确定来宾用户的创建者对于增强组织的安全性至关重要。此重要报告使您能够监控和验证访客帐户的来源，确保只有授权且受信任的用户才能邀请访客。要检查谁在 Microsoft Entra ID 中创建了来宾用户，请使用“GuestUsersOnly”开关参数执行脚本。

.\AuditM365UserCreations.ps1 -GuestUsersOnly

上述格式会导出过去 90 天内创建的 Microsoft 365 来宾用户以及创建者。

获取最近在 Azure AD 中创建的来宾用户的列表：

此报告显示过去“n”天内创建的来宾用户，使您能够主动管理来宾权限、查看来宾帐户并确保来宾用户的组成员身份详细信息。要跟踪最近创建的外部用户，请运行以下脚本。

.\AuditM365UserCreations.ps1 -GuestUsersOnly -RecentlyCreatedUsers 60

它将列出过去 60 天内创建的 Azure AD 来宾用户。通过参考最近创建的访客用户报告，您可以密切关注组织中的访客用户活动。

注意： 请注意，基本许可证计划的审核日志保留期限仅限于 90 天（持续时间可能会因具体许可证计划而异）。因此，您只能检索自执行之日起最近 90 天内的审计数据。

查找在自定义期间创建的 Office 365 用户：

该报告非常适合在特定事件期间进行审核，例如新员工入职或跟踪特定项目期间的用户创建。要查找在特定日期范围内创建的用户，请使用“StartDate”和“EndDate' 参数如下所示。

.\AuditM365UserCreations.ps1 -StartDate 7/1/23 -EndDate 7/15/23

上面的示例检索从 2023 年 7 月 1 日到 2023 年 7 月 15 日创建的用户。

安排脚本在无人值守的情况下运行：

您可以安排脚本通过使用“UserName”和“密码'参数。此功能对于按指定时间间隔运行无人值守的脚本以及获取有关 Microsoft 365 用户创建的全面报告非常有用。

要安排脚本，请使用以下格式：

.\AuditM365UserCreations.ps1 -UserName [email protected] -Password XXX

您可以利用任务计划程序来创建计划任务。

注意： 计划适用于非 MFA 帐户。如果您有 MFA 帐户，您可以通过条件访问策略禁用 MFA 以实现顺利调度。

AdminDroid：导出、安排和接收警报 - 全部免费！

使用本机方法，在 Microsoft 365 中创建新用户时安排审核报告或接收警报可能是一项繁琐的任务。但使用 AdminDroid，您只需点击几下鼠标即可实现所有这些以及更多功能。最重要的是，它完全免费！是的，你没听错！

使用 AdminDroid，您可以访问更详细的 Microsoft 365 用户报告，提供以下功能：

• 获取用户的创建日期：轻松查看所有 Microsoft 365 用户及其创建日期。
• 查看最近创建的用户：访问最近创建的用户，没有任何时间限制。
• 将报告导出为不同格式：通过将用户审核报告导出为各种格式（如 CSV、PDF、HTML、XLS 等）来自定义用户审核报告。
• 计划报告：设置计划报告，以所需格式直接发送到您的电子邮件。
• 获取新用户创建提醒：配置 M365 提醒，以便在组织中创建新用户时接收通知。
• 创建自定义报告：利用“视图”根据您的具体要求定制报告，包括列自定义、过滤器等。

除了这些功能之外，AdminDroid 还提供全面的120 多个免费报告和众多仪表板，提供高效的 Microsoft 365 管理。这些报告涵盖用户、组、许可证、组成员身份、管理员、用户登录、密码更改、管理员角色更改等等。

此外，AdminDroid 还提供广泛的1800 多个预构建报告和30+ 智能仪表板，为您提供强大的见解和增强的控制您的 Microsoft 365 环境。立即下载 AdminDroid Microsoft 365 管理工具，确保为您的组织提供无缝管理和高效报告。

不要等到安全漏洞发生才这样做；通过我们全面的用户创建审核报告主动保护您的组织。我希望该博客能够帮助您找到谁在 Microsoft 365 中创建了用户帐户。如果您有任何疑问，请通过评论部分与我们联系。