如何检查共享邮箱是否需要Microsoft Defender for Office 365许可证

本文详细介绍了如何使用PowerShell检查共享邮箱是否需要Microsoft Defender for Office 365许可证,包括许可证要求分析、脚本实现方法和最佳实践建议,帮助企业避免不必要的许可证支出。

使用PowerShell检查共享邮箱的Microsoft Defender for Office 365保护

我花了大量时间澄清当Microsoft Defender for Office 365(MDO)在Microsoft 365租户中激活时,共享邮箱的许可要求。本质上,一旦将Microsoft 365或Office 365 E5许可证分配给用户帐户,MDO就会被激活,并为其策略范围内的邮箱提供保护。默认情况下是保护所有邮箱,包括共享邮箱,每个"受益于"MDO保护的邮箱都必须获得许可。这是Microsoft对MDO许可条款所做的更改,最初要求租户中的所有用户和共享邮箱都需要MDO许可证。

拥有Office 365 E5或Microsoft 365 E5许可证的用户帐户已获得许可,因为MDO计划1(标识符f20fedf3-f3c3-43c3-8267-2bfdd51c0939)和MDO计划2服务计划(标识符8e0c0a52-6a6c-4d40-8370-dd62790dcd70)都包含在这些许可证涵盖的服务计划(应用程序)集中(图1)。

图1:为用户帐户列出的Microsoft Defender for Office 365服务计划

共享邮箱许可

共享邮箱,或者更准确地说,用于这些邮箱的禁用Entra ID帐户,如果它们接收MDO保护,则必须获得许可。租户不需要向这些帐户分配许可证,只需要拥有足够的MDO许可证(产品SKU标识符3dd6cf57-d688-4eed-ba52-9e40b5468c3e,THREAT_INTELLIGENCE)来满足许可要求。

为了减少MDO许可证的潜在责任,租户可以排除那些没有从MDO保护中受益的共享邮箱。例如,组织在人员离职时经常将用户邮箱转换为共享邮箱(为此目的,非活动邮箱是更好的选择),一些共享邮箱仅用于内部通信,而一些共享邮箱根本不在积极使用中。这些类别的共享邮箱没有从威胁处理和其他Microsoft Defender for Office 365功能中受益,因此不需要获得许可。

使用PowerShell查找应获得许可的共享邮箱

一个简单的测试共享邮箱是否需要MDO许可证的方法是检查这些邮箱是否接收外部电子邮件。根据定义,MDO在处理通过传输管道的外部电子邮件时发挥作用,因此从不属于租户的域接收的任何消息都证明邮箱已从MDO中受益。

有两种方法可以检查外部电子邮件。您可以检查邮箱中来自外部域的消息,或者使用Exchange的消息跟踪日志分析发送到共享邮箱的流量以隔离任何外部消息。第二种方法比第一种更简单,因此我使用了这种方法。限制是Get-MessageTraceV2 cmdlet检索的数据只能回溯十天。

使用消息跟踪日志的一个优点是,只要登录用户拥有Exchange管理员角色,就可以使用Exchange Online管理模块完成查找共享邮箱和检查每个邮箱的处理。当脚本需要检查帐户是否获得MDO许可时,情况会变得更加复杂。如果您希望将脚本作为计划的Azure Automation任务运行,或允许非Exchange管理员的帐户运行脚本,情况会更加复杂。

使用Microsoft Graph PowerShell SDK可以轻松完成许可证检查。该SDK还具有创建和发送处理结果电子邮件所需的所有cmdlet。使非特权帐户能够运行脚本意味着使用应用程序对Graph和Exchange Online进行身份验证,以便代码可以在仅应用程序模式下运行。除此之外,应用程序必须具有Exchange.ManageAsApp权限才能以应用程序身份管理Exchange,并且必须将其服务主体添加到Exchange管理员角色中。

必须分配给应用程序的完整应用程序权限集包括:

  • Microsoft Graph:User.Read.All(获取帐户的许可证信息)、Mail.Send(发送电子邮件)和Domain.Read.All(读取域信息以查找租户的默认域)。
  • Office 365 Exchange Online:Exchange.ManageAsApp

如果您愿意,可以轻松将脚本转换为作为Azure Automation runbook运行,或使用委托权限运行(在这种情况下,登录的帐户必须是Exchange管理员)。

输出是一个报告,列出了在过去十天内接收过外部电子邮件但没有MDO许可证的共享邮箱集(图2)。

图2:报告需要Microsoft Defender for Office 365许可证的共享邮箱

您可以从Office 365 for IT Pros GitHub存储库下载该脚本。

不要过度支出Microsoft Defender for Office 365许可证

一些Microsoft 365租户拥有数千个共享邮箱。尽管E3仍然是许多组织的常态,但越来越多的租户正在转向使用E5许可证,从而使用Microsoft Defender for Office 365。密切关注潜在的MDO许可责任并仅为从MDO中受益的邮箱许可是很重要的。希望这个脚本能有所帮助。

需要帮助编写和管理Microsoft 365的PowerShell脚本,包括Azure Automation runbook吗?获取《使用PowerShell自动化Microsoft 365》电子书的副本,该电子书可单独购买或作为Office 365 for IT Pros电子书套装的一部分。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次