我有理由怀疑用户可能使用 Microsoft Outlook(或者可能是其他电子邮件客户端)从个人设备访问公司电子邮件,以窃取数据。我已经排除了他们使用 ActiveSync(Get-ActiveSyncDeviceStatistics -Mailbox [username] | ft DeviceType, DeviceUserAgent, LastSuccessSync在 powershell 中使用)访问其帐户的可能性,但我似乎找不到排除 Outlook 桌面应用程序的方法。
根据公司政策,该用户的 IMAP、POP3 和 OWA 均被禁用,因此我也可以排除这些。
有没有办法判断哪些 MAPI 客户端已经通过了特定用户的 Exchange 身份验证?(这是 Office 365 租户上的托管 Exchange,我拥有完全的管理员权限。)
答案1
执行此操作的一种方法是导航到 Office 365 租户中的“安全与合规中心”,导航到“搜索”,然后导航到“审核日志搜索”,然后搜索“用户登录邮箱”(在“活动”>“Exchange 邮箱活动”下)并将搜索重点放在您的用户上。查找用户登录的 IP 地址。如果您已禁用除 Outlook 桌面(MAPI)之外的所有 IP 地址,那么您看到的任何登录都只能来自 Outlook 客户端。如果您看到的 IP 地址不是您的公司 IP 地址,则表明用户正在使用 Outlook 从公司网络以外的位置访问他们的邮箱。
另一种方法是导航到 Azure AD 管理中心,导航到“用户”,然后导航到“登录”,然后筛选用户和客户端应用程序的登录日志。您可以筛选多个现代身份验证和旧式身份验证客户端,以缩小范围,找到您要查找的内容。找到活动后,再次查看与该活动关联的 IP 地址并从那里推断。
答案2
同意乔奎蒂,你可以使用审计日志搜索office 365 中的功能用于搜索有关登录记录的条目。
此外,也许邮箱审核日志也可以帮助您跟踪客户端访问,您可以运行以下命令来启用它,然后运行非所有者邮箱访问报告来查看邮箱操作(这里有一个关于邮箱审计日志的指南供您参考,它也适用于 Exchange Online:Exchange 2016 中的邮箱审核日志记录):
Set-Mailbox -Identity "<Mailbox Name>" -AuditEnabled $true
希望以上信息对您有帮助。