Jas*_*son 11 security powershell exchange microsoft-office-365
我有理由怀疑用户可能正在使用 Microsoft Outlook(或可能是其他电子邮件客户端)的副本从个人设备访问他们的公司电子邮件,以进行数据泄露。我已经排除了他们使用 ActiveSync(Get-ActiveSyncDeviceStatistics -Mailbox [username] | ft DeviceType, DeviceUserAgent, LastSuccessSync在 powershell 中使用)访问他们的帐户的可能性,但我似乎找不到排除 Outlook 桌面应用程序的方法。
根据公司政策,此用户的 IMAP、POP3 和 OWA 被禁用,因此我也可以排除这些。
有没有办法告诉特定用户的哪些 MAPI 客户端正在或已经通过 Exchange 进行身份验证?(这是 Office 365 租户上的托管交换,我拥有完整的管理员权限。)
joe*_*rty 11
执行此操作的一种方法是导航到 Office 365 租户中的安全与合规中心,导航到搜索,然后导航到审核日志搜索,然后搜索“用户登录邮箱”(在活动> Exchange 邮箱活动下)并将搜索重点放在您的用户上。查找您的用户登录的 IP 地址。如果您禁用了除 Outlook 桌面 (MAPI) 以外的所有功能,那么您看到的任何登录信息都只能来自 Outlook 客户端。如果您看到的 ip 地址不是您公司的 ip 地址,则表明用户正在使用 Outlook 从公司网络以外的位置访问其邮箱。
另一种方法是导航到 Azure AD 管理中心,导航到用户,然后登录,然后筛选用户和客户端应用程序的登录日志。您可以筛选多个现代身份验证和旧身份验证客户端,以将其范围缩小到您要查找的内容。找到活动后,再次查看与活动关联的 IP 地址并从中推断。