Ativando a auditoria de acesso à caixa de correio no Office 365 com o MFA

1

Segurança e & O centro de conformidade com o Microsoft Secure Score tem uma longa lista de recomendações de segurança boas, excelentes e não relevantes. Às vezes eles parecem um pouco incompatíveis juntos ...

Considere uma situação em que isso já está feito:

  1. Ativar funções privilegiadas do MFA para o Azure AD
  2. Ativar MFA para (todos) usuários

Em seguida: Ativar auditoria de caixa de correio para todos os usuários
usando o O365-InvestigationTooling / EnableMailboxAuditing.ps1 :

#This script will enable non-owner mailbox access auditing on every mailbox in your tenancy
#First, let's get us a cred!
$userCredential = Get-Credential

#This gets us connected to an Exchange remote powershell service
$ExoSession = New-PSSession -ConfigurationName Microsoft.Exchange '
    -ConnectionUri https://outlook.office365.com/powershell-liveid/ '
    -Credential $userCredential -Authentication Basic -AllowRedirection
Import-PSSession $ExoSession

#Enable global audit logging
Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox" '
    -or RecipientTypeDetails -eq "SharedMailbox" -or RecipientTypeDetails '
    -eq "RoomMailbox" -or RecipientTypeDetails -eq "DiscoveryMailbox"} '
    | Set-Mailbox -AuditEnabled $true -AuditLogAgeLimit 180 -AuditAdmin Update, '
        MoveToDeletedItems, SoftDelete, HardDelete, SendAs, SendOnBehalf, Create, '
        UpdateFolderPermission -AuditDelegate Update, SoftDelete, HardDelete, SendAs, '
        Create, UpdateFolderPermissions, MoveToDeletedItems, SendOnBehalf '
        -AuditOwner UpdateFolderPermission, MailboxLogin, Create, '
        SoftDelete, HardDelete, Update, MoveToDeletedItems 

#Double-Check It!
Get-Mailbox -ResultSize Unlimited '
    | Select Name, AuditEnabled, AuditLogAgeLimit '
    | Out-Gridview

No entanto, New-PSSession falha com uma conta de administrador global:

New-PSSession : [outlook.office365.com] Connecting to remote server 
outlook.office365.com failed with the following error message : 
Access is denied.

Acredito que isso ocorre porque o Get-Credential ou New-PSSession não suporta o MFA. A documentação para AuthenticationMechanism Enum não parece ter essa autenticação: alterar Basic para Default não ajuda. Estou errado?

Existe alguma outra maneira de ativar a auditoria de acesso à caixa de correio para todos os usuários / verificar seu status?

    
por Esa Jokinen 12.10.2018 / 11:02

1 resposta

1

Eu estava certo de que o culpado era o MFA sozinho. Eu desativou temporariamente o MFA para uma conta de Administrador Global e o script funcionou bem. Afinal, você só precisa fazer isso uma vez, ou talvez ocasionalmente, apenas para atualizá-lo para novas caixas de correio. Desativando & A ativação do MFA acontece imediatamente e, para a segurança máxima (ou seja, o papel alumínio), você pode até mesmo alterar a senha logo antes de executar o script.

ATUALIZAÇÃO: Uma Senha de aplicativo funciona também! Não tenho certeza se essa é realmente uma opção segura da Microsoft, considerando as informações que você poderia obter e as configurações que você poderia alterar, ignorando totalmente o MFA.

    
por 12.10.2018 / 12:51