У меня есть основания подозревать, что пользователь может получить доступ к своей корпоративной электронной почте с помощью копии Microsoft Outlook (или, возможно, другого почтового клиента) с личного устройства с целью кражи данных. Я исключил их доступ к своей учетной записи с помощью ActiveSync (используя Get-ActiveSyncDeviceStatistics -Mailbox [username] | ft DeviceType, DeviceUserAgent, LastSuccessSync в powershell), но я не могу найти способ исключить настольное приложение Outlook.
IMAP, POP3 и OWA отключены для этого пользователя в соответствии с корпоративной политикой, поэтому я могу их исключить.
Есть ли способ узнать, какие клиенты MAPI аутентифицированы или прошли аутентификацию в Exchange для конкретного пользователя? (Это размещенный обмен на клиенте Office 365, и у меня есть полные права администратора.)
Один из способов сделать это - перейти в центр безопасности и соответствия в вашем клиенте Office 365, перейти к поиску, затем к поиску в журнале аудита, а затем выполнить поиск по запросу «Пользователь вошел в почтовый ящик» (в разделе «Действия»> «Действия с почтовым ящиком Exchange») и сфокусируйте поиск на своем пользователе. Найдите IP-адрес, с которого пользователь вошел в систему. Если вы отключили все, кроме рабочего стола Outlook (MAPI), то любые входы, которые вы видите, могут быть только из клиента Outlook. Если вы видите IP-адреса, отличные от IP-адреса вашей компании, это означает, что пользователь использует Outlook для доступа к своему почтовому ящику из других мест, кроме корпоративной сети.
Другой способ сделать это - перейти в центр администрирования Azure AD, перейти к разделу «Пользователи», затем к «Входам» и отфильтровать журнал входов для вашего пользователя и для клиентского приложения. Вы можете отфильтровать несколько современных клиентов аутентификации и устаревших клиентов аутентификации, чтобы сузить его до того, что вы ищете. Как только вы найдете действие, снова посмотрите на IP-адреса, связанные с действием, и сделайте вывод оттуда.
Согласен с Joeqwerty, вы можете использовать Поиск в журнале аудита функция в Office 365 для поиска записей о записях входа в систему.
Кроме того, возможно, Журнал аудита почтового ящика также может помочь вам отследить клиентский доступ, и вы можете запустить следующую команду, чтобы включить его, а затем запустить отчет о доступе к почтовому ящику, не принадлежащему владельцу, чтобы просмотреть действия с почтовым ящиком(Вот руководство по ведению журнала аудита почтовых ящиков для справки, оно также должно подходить для Exchange Online: Ведение журнала аудита почтовых ящиков в Exchange 2016):
Set-Mailbox -Identity "<Mailbox Name>" -AuditEnabled $true
Надеюсь, приведенная выше информация будет вам полезна.