易宝典文章——玩转Office 365中的Exchange Online服务 之五十 如何知道微软管理员进行了哪些操作

在企业中的管理员进行操作已经能够监控和跟踪的情况下。很多Office 365的用户企业,都非常关心微软的Office 365管理员,会不会对其使用的Exchange Online进行一下突发性的修改配置,或者微软的管理员对Exchange Online进行修改后怎样才能跟踪到。

在Office 365的Exchange Online中提供了一种叫做外部管理员的审核机制,该审核机制的作用就是审核微软的Office 365系统管理员,或微软授权委派的合作方Office 365系统管理员在Exchange Online的配置操作。

与管理员审核日志相同,外部管理员审核日志也可以通过两种方式获取,分别为直接检索查看日志和导出日志到XML文件。

一、检索查看外部管理员审核日志

检索查看外部管理员审核日志可以通过Exchange管理中心(EAC)和PowerShell都能完成。

1、使用EAC检索和查看外部管理员审核日志

在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“运行外部管理员审核日志报告”。

clip_image002

在“搜索以查看外部管理员配置更改”窗口中,指定要检索的日志的起始日期和终止日期,如果不进行定义则会默认筛选近15日的日志。点击“搜索”进行检索,其结果将会显示在下方。

clip_image004

2、使用PowerShell检索外部管理员审核日志

在PowerShell可以使用Search-AdminAuditLog命令检索管理员审核日志,如果在运行该命令时加入ExternalAccess参数,那么将检索到微软Office 365系统(数据中心)管理员和委派管理员执行的操作。

Search-AdminAuditLog -ExternalAccess $true

clip_image006

也可以指定条件进行筛选检索的结果,比如指定一定时间范围内的日志被检索出来。

Search-AdminAuditLog -ExternalAccess $true -StartDate 03/06/2019 -EndDate 03/07/2019

clip_image008

二、导出外部管理员审核日志

与导出管理员审核日志相同,可以通过PowerShell方式导出外部管理员审核日志,但是暂时不能通过EAC导出外部管理员审核日志。

使用New-AdminAuditLogSearch加入ExternalAccess参数可以导出外部管理员审核日志,其语法和导出管理员审核日志相同。

New-AdminAuditLogSearch -ExternalAccess $true -StartDate 03/06/2019 -EndDate 03/07/2019 -StatusMailRecipients [email protected] -Name “External admin audit 20190308”

clip_image010

同样,该操作Exchange Online在执行完成后,将会把符合筛选条件的日志条目以XML文件附件方式发送到指定的邮箱中,时间同样为24小时内。因此需要较长的等待,并且XML文件的大小会被限制在10MB以内。

如果需要查看现有的日志导出任务,可以通过Get-AuditLogSearch来完成。

Get-AuditLogSearch | Format-List

clip_image012