Назад | Перейти на главную страницу

Журналы подключений клиента Office 365 Exchange

Мы используем Office 365 в нашей компании, и мне было интересно, можно ли где-нибудь увидеть журналы подключения клиента Exchange в панели администратора? Я хочу определить, с каких IP-адресов подключались клиенты Outlook.

У @blaughw есть правильный ответ для прямой имплантации O365. Однако вам могут быть доступны некоторые варианты.

если вы используете единый вход с ADFS или другой платформой идентификации, вы можете записать информацию для входа в систему, которая будет включать IP-адрес, с которого подключается пользователь. Если вы не используете ADFS - вы можете рассмотреть это, поскольку вы можете использовать элементы управления политикой для ограничения доступа в зависимости от местоположения.

Если все ваши пользователи получают доступ через корпоративную локальную сеть или VPN, вы можете захватывать исходящие запросы на пограничных устройствах.

Если у вас есть контроль над своими устройствами, и они время от времени проверяют домен, вы можете отправить небольшой скрипт, который записывает адреса для локального компьютера. Вы можете либо сообщить вам об этом, либо просто сохранить работающий файл TXT, который вы захватываете, когда они регистрируются.

Регистрация IP-адреса:

Вы не можете видеть IP-адреса подключения, но вы можете увидеть типы подключения с помощью следующих команд:

Get-ConnectionByClientTypeReport
Get-ConnectionByClientTypeDetailReport

Стандартный отчет разбивает это по протоколам, а подробный отчет разбивается по пользователям, по протоколам.


Другая информация, недоступная на платформе O365:

  • Строки пользовательского агента EWS. Вы не знаете, какие типы подключений веб-служб Exchange обслуживаются вашим клиентом O365. Это может быть проблемой, поскольку EWS довольно открыт, и есть несколько гнусных приложений, которые используют EWS для очистки данных компании.
  • Расположение почтовых ящиков. Перемещение почтовых ящиков внутри арендатора запрещено администраторами арендатора. Существует несколько копий данного почтового ящика, включая группы обеспечения доступности баз данных, но они абстрагируются с помощью идентификаторов GUID.

Что доступно администраторам:

  • Полная трассировка сообщения. Для всех сообщений, входящих и исходящих из клиента O365, доступна трассировка сообщений. Просмотр в реальном времени составляет 7 дней (IIRC), а историческая трассировка может быть запрошена и возвращена в течение до 90 дней.
  • Аудиторская проверка. Под Комплаенс-менеджмент> Аудит, доступен ряд отчетов для сообщения о нестандартном использовании, например: доступ к почтовому ящику, не являющийся владельцем, юридические удержания, журналы аудита администратора (каждое действие добавления, установки, создания и удаления регистрируется).

К сожалению, получить такую ​​информацию напрямую из Exchange Online невозможно, даже не используя сторонние инструменты. Единственный источник, на который я хотел бы обратить внимание, - это служба поддержки Offich 365, и она сама по себе не может быть эффективным решением.