如何在员工离职后审计共享邮箱访问

一次例行的离职审查发现一位前员工仍然可以阅读共享的销售邮箱。主账户已被禁用，所以正常的检查清单看起来已经完成。但是，存在一个通过嵌套组和旧的移动邮件令牌授予的委托访问权限，没人检查过这个。 我现在通过三步来审计共享邮箱。首先，我列出直接委托人、发送权限、转发规则和邮箱规则。然后，我展开嵌套组，而不是相信管理控制台中的显示名称。最后，我检查邮件应用程序的OAuth授权和活动会话，因为禁用登录并不总是能解释已经获得令牌的内容。对于Microsoft租户，我将邮箱权限和Entra组成员导出到同一个表格中。对于Google Workspace，我同时检查委托邮件访问、路由和第三方应用程序访问。 我所学到的经验是，离职不仅仅是一个人事事件，它也是访问图清理。如果你的检查清单只说禁用账户和删除许可，它将会错过共享资源。我的建议是保持一个简短的高风险共享邮箱、财务文件夹、CRM导出和供应商门户列表。在…