在企业中的管理员进行操作已经能够监控和跟踪的情况下。很多Office 365的用户企业,都非常关心微软的Office 365管理员,会不会对其使用的Exchange Online进行一下突发性的修改配置,或者微软的管理员对Exchange Online进行修改后怎样才能跟踪到。
在Office 365的Exchange Online中提供了一种叫做外部管理员的审核机制,该审核机制的作用就是审核微软的Office 365系统管理员,或微软授权委派的合作方Office 365系统管理员在Exchange Online的配置操作。
与管理员审核日志相同,外部管理员审核日志也可以通过两种方式获取,分别为直接检索查看日志和导出日志到XML文件。
一、检索查看外部管理员审核日志
检索查看外部管理员审核日志可以通过Exchange管理中心(EAC)和PowerShell都能完成。
1、使用EAC检索和查看外部管理员审核日志
在EAC中导航到“合规性管理”,在右侧选择“审核”,点击“运行外部管理员审核日志报告”。
在“搜索以查看外部管理员配置更改”窗口中,指定要检索的日志的起始日期和终止日期,如果不进行定义则会默认筛选近15日的日志。点击“搜索”进行检索,其结果将会显示在下方。
2、使用PowerShell检索外部管理员审核日志
在PowerShell可以使用Search-AdminAuditLog命令检索管理员审核日志,如果在运行该命令时加入ExternalAccess参数,那么将检索到微软Office 365系统(数据中心)管理员和委派管理员执行的操作。
Search-AdminAuditLog -ExternalAccess $true
也可以指定条件进行筛选检索的结果,比如指定一定时间范围内的日志被检索出来。
Search-AdminAuditLog -ExternalAccess $true -StartDate 03/06/2019 -EndDate 03/07/2019
二、导出外部管理员审核日志
与导出管理员审核日志相同,可以通过PowerShell方式导出外部管理员审核日志,但是暂时不能通过EAC导出外部管理员审核日志。
使用New-AdminAuditLogSearch加入ExternalAccess参数可以导出外部管理员审核日志,其语法和导出管理员审核日志相同。
New-AdminAuditLogSearch -ExternalAccess $true -StartDate 03/06/2019 -EndDate 03/07/2019 -StatusMailRecipients [email protected] -Name “External admin audit 20190308”
同样,该操作Exchange Online在执行完成后,将会把符合筛选条件的日志条目以XML文件附件方式发送到指定的邮箱中,时间同样为24小时内。因此需要较长的等待,并且XML文件的大小会被限制在10MB以内。
如果需要查看现有的日志导出任务,可以通过Get-AuditLogSearch来完成。
Get-AuditLogSearch | Format-List