在企業中的管理員進行操作已經能夠監控和跟蹤的情況下。很多Office 365的用戶企業,都非常關心微軟的Office 365管理員,會不會對其使用的Exchange Online進行一下突發性的修改配置,或者微軟的管理員對Exchange Online進行修改後怎樣才能跟蹤到。
在Office 365的Exchange Online中提供了一種叫做外部管理員的審覈機制,該審覈機制的作用就是審覈微軟的Office 365系統管理員,或微軟授權委派的合作方Office 365系統管理員在Exchange Online的配置操作。
與管理員審覈日誌相同,外部管理員審覈日誌也可以通過兩種方式獲取,分別爲直接檢索查看日誌和導出日誌到XML文件。
一、檢索查看外部管理員審覈日誌
檢索查看外部管理員審覈日誌可以通過Exchange管理中心(EAC)和PowerShell都能完成。
1、使用EAC檢索和查看外部管理員審覈日誌
在EAC中導航到“合規性管理”,在右側選擇“審覈”,點擊“運行外部管理員審覈日誌報告”。
在“搜索以查看外部管理員配置更改”窗口中,指定要檢索的日誌的起始日期和終止日期,如果不進行定義則會默認篩選近15日的日誌。點擊“搜索”進行檢索,其結果將會顯示在下方。
2、使用PowerShell檢索外部管理員審覈日誌
在PowerShell可以使用Search-AdminAuditLog命令檢索管理員審覈日誌,如果在運行該命令時加入ExternalAccess參數,那麼將檢索到微軟Office 365系統(數據中心)管理員和委派管理員執行的操作。
Search-AdminAuditLog -ExternalAccess $true
也可以指定條件進行篩選檢索的結果,比如指定一定時間範圍內的日誌被檢索出來。
Search-AdminAuditLog -ExternalAccess $true -StartDate 03/06/2019 -EndDate 03/07/2019
二、導出外部管理員審覈日誌
與導出管理員審覈日誌相同,可以通過PowerShell方式導出外部管理員審覈日誌,但是暫時不能通過EAC導出外部管理員審覈日誌。
使用New-AdminAuditLogSearch加入ExternalAccess參數可以導出外部管理員審覈日誌,其語法和導出管理員審覈日誌相同。
New-AdminAuditLogSearch -ExternalAccess $true -StartDate 03/06/2019 -EndDate 03/07/2019 -StatusMailRecipients [email protected] -Name "External admin audit 20190308"
同樣,該操作Exchange Online在執行完成後,將會把符合篩選條件的日誌條目以XML文件附件方式發送到指定的郵箱中,時間同樣爲24小時內。因此需要較長的等待,並且XML文件的大小會被限制在10MB以內。
如果需要查看現有的日誌導出任務,可以通過Get-AuditLogSearch來完成。
Get-AuditLogSearch | Format-List
