Segurança e & O centro de conformidade com o Microsoft Secure Score tem uma longa lista de recomendações de segurança boas, excelentes e não relevantes. Às vezes eles parecem um pouco incompatíveis juntos ...
Considere uma situação em que isso já está feito:
- Ativar funções privilegiadas do MFA para o Azure AD
- Ativar MFA para (todos) usuários
Em seguida: Ativar auditoria de caixa de correio para todos os usuários
usando o O365-InvestigationTooling / EnableMailboxAuditing.ps1 :
#This script will enable non-owner mailbox access auditing on every mailbox in your tenancy
#First, let's get us a cred!
$userCredential = Get-Credential
#This gets us connected to an Exchange remote powershell service
$ExoSession = New-PSSession -ConfigurationName Microsoft.Exchange '
-ConnectionUri https://outlook.office365.com/powershell-liveid/ '
-Credential $userCredential -Authentication Basic -AllowRedirection
Import-PSSession $ExoSession
#Enable global audit logging
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox" '
-or RecipientTypeDetails -eq "SharedMailbox" -or RecipientTypeDetails '
-eq "RoomMailbox" -or RecipientTypeDetails -eq "DiscoveryMailbox"} '
| Set-Mailbox -AuditEnabled $true -AuditLogAgeLimit 180 -AuditAdmin Update, '
MoveToDeletedItems, SoftDelete, HardDelete, SendAs, SendOnBehalf, Create, '
UpdateFolderPermission -AuditDelegate Update, SoftDelete, HardDelete, SendAs, '
Create, UpdateFolderPermissions, MoveToDeletedItems, SendOnBehalf '
-AuditOwner UpdateFolderPermission, MailboxLogin, Create, '
SoftDelete, HardDelete, Update, MoveToDeletedItems
#Double-Check It!
Get-Mailbox -ResultSize Unlimited '
| Select Name, AuditEnabled, AuditLogAgeLimit '
| Out-Gridview
No entanto, New-PSSession
falha com uma conta de administrador global:
New-PSSession : [outlook.office365.com] Connecting to remote server
outlook.office365.com failed with the following error message :
Access is denied.
Acredito que isso ocorre porque o Get-Credential
ou New-PSSession
não suporta o MFA. A documentação para AuthenticationMechanism Enum não parece ter essa autenticação: alterar Basic
para Default
não ajuda. Estou errado?
Existe alguma outra maneira de ativar a auditoria de acesso à caixa de correio para todos os usuários / verificar seu status?