Aktivieren der Postfachüberwachung in Office 365

In Office 365 können Sie die Postfachüberwachungsprotokollierung aktivieren, um den Postfachzugriff durch Postfachbesitzer, Stellvertretungen und Administratoren zu protokollieren. Standardmäßig ist die Postfachüberwachung in Office 365 nicht aktiviert. Das bedeutet, dass Postfachüberwachungsereignisse in den Ergebnissen nicht angezeigt werden, wenn Sie das Office 365-Überwachungsprotokoll nach Postfachaktivitäten durchsuchen. Nach dem Aktivieren der Postfachüberwachungsprotokollierung für ein Postfach können Sie das Office 365-Überwachungsprotokoll jedoch nach Aktivitäten im Postfach durchsuchen. Außerdem werden nach dem Aktivieren der Überwachungsprotokollierung von Administratoren und Stellvertretungen ausgeführte Aktionen standardmäßig protokolliert. Allerdings werden vom Besitzer des Postfachs ausgeführte Aktionen standardmäßig nicht überwacht. Zum Protokollieren von (und Suchen nach) Aktionen des Postfachbesitzers müssen Sie zunächst angeben, welche Aktionen des Besitzers überwacht werden sollen (siehe Schritt 3).

Schritt 1: Herstellen einer Verbindung mit Exchange Online PowerShell

Schritt 2: Aktivieren der Postfachüberwachungsprotokollierung

Schritt 3: Angeben der zu überwachenden Aktionen des Besitzers

Woher wissen Sie, ob dieser Vorgang erfolgreich war?

Weitere Informationen finden Sie unter Postfachüberwachungsprotokollierung.

Schritt 1: Herstellen einer Verbindung mit Exchange Online PowerShell

  1. Öffnen Sie Windows PowerShell auf dem lokalen Computer, und führen Sie den folgenden Befehl aus.

    $UserCredential = Get-Credential

    Geben Sie im Dialogfeld Bei Windows PowerShell anmelden den Benutzernamen und das Kennwort für ein globales Office 365-Administratorkonto ein, und klicken Sie dann auf OK.

  2. Führen Sie den folgenden Befehl aus.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Führen Sie den folgenden Befehl aus.

    Import-PSSession $Session
  4. Führen Sie zur Überprüfung, ob Sie mit Ihrer Exchange Online-Organisation verbunden sind, den folgenden Befehl aus, um eine Liste aller Postfächer in Ihrer Organisation abzurufen.

    Get-Mailbox

Wenn Sie weitere Informationen benötigen oder Probleme beim Herstellen einer Verbindung mit Ihrer Exchange Online-Organisation haben, lesen Sie Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell.

Seitenanfang

Schritt 2: Aktivieren der Postfachüberwachungsprotokollierung

Nach dem Herstellen einer Verbindung mit Ihrer Exchange Online-Organisation aktivieren Sie die Überwachungsprotokollierung für ein Postfach mithilfe von PowerShell. Alternativ können Sie die Überwachung von Postfächern für alle Postfächer in Ihrer Organisation aktivieren.

Bei diesem Beispiel wird die Überwachungsprotokollierung für das Postfach von Pilar Pinilla aktiviert.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Bei diesem Beispiel wird die Überwachungsprotokollierung für alle Postfächer in Ihrer Organisation aktiviert.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Seitenanfang

Schritt 3: Angeben der zu überwachenden Aktionen des Besitzers

Wenn Sie die Überwachung eines Postfachs aktivieren, werden Aktionen des Besitzers des Postfachs nicht standardmäßig überwacht. Sie müssen angeben, welche Aktionen des Besitzers überwacht werden sollen. In der Tabelle im Abschnitt "Postfachaktionen" finden Sie eine Liste und Beschreibung der Aktionen des Besitzers, die überwacht werden können.

In diesem Beispiel wird festgelegt, dass die vom Postfachbesitzer ausgeführten Aktionen MailboxLogin und HardDelete für das Postfach von Pilar Pinilla protokolliert werden. Es wird davon ausgegangen, dass die Überwachungsprotokollierung für dieses Postfach bereits aktiviert wurde.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

Dieses Beispiel ermöglicht die Überwachungsprotokollierung für das Postfach von Don Hall und gibt an, dass nur die vom Besitzer des Postfachs ausgeführte Aktion MailboxLogin protokolliert wird.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

In diesem Beispiel wird festgelegt, dass die vom Postfachbesitzer ausgeführten Aktionen MailboxLogin, HardDelete und SoftDelete für alle Postfächer in der Organisation protokolliert werden. Es wird davon ausgegangen, dass die Überwachungsprotokollierung für alle Postfächer bereits aktiviert wurde.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

Seitenanfang

Woher wissen Sie, ob dieser Vorgang erfolgreich war?

Um zu überprüfen, ob Sie die Überwachungsprotokollierung für ein Postfach erfolgreich aktiviert haben, verwenden Sie das Cmdlet Get-Mailbox zum Abrufen der Überwachungseinstellungen dieses Postfachs.

In diesem Beispiel werden die Überwachungseinstellungen für Pilar Pinilla abgerufen.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Dieses Beispiel ruft die Überwachungseinstellungen für alle Benutzerpostfächer in Ihrer Organisation ab.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Durch Festlegen der Eigenschaft AuditEnabled auf True wird sichergestellt, dass die Postfachüberwachungsprotokollierung aktiviert ist.

Seitenanfang

  • Nachdem Sie die Überwachungsprotokollierung für ein Postfach aktiviert haben, werden der Zugriff auf das Postfach und bestimmte Administrator- und Stellvertretungsaktionen standardmäßig protokolliert. Um Aktionen des Besitzers des Postfachs zu protokollieren, müssen Sie die zu überwachenden Aktionen des Besitzers angeben. Im Abschnitt "Weitere Informationen" finden Sie eine Liste der Aktionen, die protokolliert werden, nachdem die Postfachüberwachungsprotokollierung aktiviert wurde, und der Aktionen, die für jeden Typ von Benutzeranmeldung verfügbar sind.

  • Zum Aktivieren der Postfachüberwachungsprotokollierung müssen Sie Exchange Online-PowerShell verwenden. Sie können dazu nicht das Office 365 Security & Compliance Center oder das Exchange Admin Center verwenden..

  • Ein Administrator, dem für das Postfach eines Benutzers die Berechtigung "Vollzugriff" erteilt wurde, gilt als Stellvertretung.

In der folgenden Tabelle sind die Aktionen aufgeführt, die mit der Postfachüberwachungsprotokollierung protokolliert werden können. Die Tabelle gibt auch an, welche Aktionen welches Anmeldetyps protokolliert werden können. Nein bedeutet, dass die Aktion für diesen Anmeldetyp nicht protokolliert werden kann. Ein Sternchen (*) gibt an, dass die Aktion standardmäßig protokolliert wird, wenn die Überwachungsprotokollierung für das Postfach aktiviert ist. Wie bereits erwähnt, werden die Benutzeraktionen nicht standardmäßig protokolliert, wenn Sie die Postfachüberwachung aktivieren. Um Aktionen des Besitzers des Postfachs zu protokollieren, müssen Sie die zu überwachenden Aktionen des Besitzers angeben. Siehe Schritt 3 im Abschnitt "Schrittweise Anleitungen" in diesem Thema.

Aktion

Beschreibung

Administrator

Stellvertretung***

Besitzer

Kopieren

Eine Nachricht wurde in einen anderen Ordner kopiert.

Ja

Nein

Nein

Erstellen

Ein Element wird im Postfachordner "Kalender", "Kontakte", "Aufgaben" oder "Notizen" erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Auch das Erstellen eines Postfachordners wird nicht überwacht.

Ja*

Ja*

Ja

FolderBind

Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder die Stellvertretung das Postfach öffnet.

Ja*

Ja**

Nein

HardDelete

Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

Ja

MailboxLogin

Der Benutzer hat sich an seinem Postfach angemeldet.

Nein

Nein

Ja

MessageBind

Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.

Ja

Nein

Nein

Verschieben

Eine Nachricht wurde in einen anderen Ordner verschoben.

Ja*

Ja

Ja

MoveToDeletedItems

Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.

Ja*

Ja

Ja

SendAs

Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, als käme sie vom Besitzer des Postfachs.

Ja*

Ja*

Nein

SendOnBehalf

Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Auftrag des Besitzers des Postfachs gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.

Ja*

Ja

Nein

SoftDelete

Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner "Gelöschte Objekte" gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben.

Ja*

Ja*

Ja

Aktualisieren

Eine Nachricht oder ihre Eigenschaften wurden geändert.

Ja*

Ja*

Ja

Hinweise : 

  • * Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.

  • ** Einträge für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden zusammengefasst. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von 24 Stunden wird ein eigener Protokolleintrag generiert.

  • *** Ein Administrator, dem für das Postfach eines Benutzers die Berechtigung "Vollzugriff" erteilt wurde, gilt als Stellvertretung.

Wenn die Überwachung bestimmter Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze von 90 Tagen erreicht ist.

  • Suchen Sie im Office 365-Überwachungsprotokoll nach Postfachaktivitäten, die protokolliert wurden. Sie können nach Aktivität für ein bestimmtes Benutzerpostfach suchen. Der folgende Screenshot zeigt eine Liste der Postfachaktivitäten, nach denen Sie im Office 365-Überwachungsprotokoll suchen können. Beachten Sie, dass es sich bei diesen Aktivitäten um dieselben Aktionen handelt, die im Abschnitt "Postfachüberwachungsaktionen" in diesem Thema beschrieben werden.

    Sie können das Office 365-Überwachungsprotokoll nach Postfachüberwachungsaktionen durchsuchen, indem Sie in der Dropdownliste "Aktivitäten" die Option "Exchange-Postfachaktivitäten" auswählen

    Die folgende Tabelle beschreibt die einzelnen Postfachaktivitäten, nach denen Sie suchen können, und zeigt das entsprechende Postfachüberwachungsaktion an.

    Aktivität im Überwachungsprotokoll

    Postfachüberwachungsaktion

    Erstelltes Postfachelement

    Erstellen

    Nachrichten in anderen Ordner kopiert

    Copy

    Benutzer am Postfach angemeldet

    MailboxLogin

    Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet

    SendOnBehalf

    Nachrichten aus Postfach gelöscht

    HardDelete

    Nachrichten in Ordner "Gelöschte Elemente" verschoben

    MoveToDeletedItems

    Nachrichten in anderen Ordner verschoben

    Move

    Nachricht mit Berechtigungen vom Typ "Senden als" gesendet

    SendAs

    Nachricht aktualisiert

    Update

    Nachrichten aus Ordner "Gelöschte Elemente" gelöscht

    SoftDelete

    Beachten Sie, dass die im vorherigen Screenshot gezeigten Aktivitäten Postfachberechtigungen für Stellvertretung hinzugefügt und Postfachberechtigungen für Stellvertretung entfernt nichts mit Postfachüberwachungsaktionen zu tun haben. Sie geben an, ob ein Administrator die Postfachberechtigung "FullAccess" zugewiesen oder entfernt hat.

    Weitere Informationen zum Office 365-Überwachungsprotokoll finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

  • Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:

    • In-Situ-eDiscovery in Exchange Online oder Inhaltssuche in Office 365 wird verwendet, um ein Postfach zu durchsuchen.

    • Microsoft Exchange Server MAPI Editor wird für den Zugriff auf das Postfach verwendet.

  • Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie auch angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertreter oder Besitzer) protokolliert werden.

  • Verwenden Sie den folgenden Befehl, um die Postfachüberwachungsprotokollierung zu deaktivieren:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Wenn Sie das Cmdlet Get-Mailbox ausführen, werden die für jeden Benutzertyp überwachten Aktionen nicht angezeigt. Sie können jedoch die folgenden Befehle ausführen, um die überwachten Aktionen für einen bestimmten Anmeldetyp anzuzeigen.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Sie können ein Postfachüberwachungsprotokoll auch exportieren und angeben, dass die Einträge von einem oder mehreren Benutzern enthalten sein sollen. Jeder Eintrag im Bericht und im Überwachungsprotokoll enthält Informationen dazu, von wem und wann die Aktion ausgeführt wurde, und ob sie erfolgreich war. Weitere Informationen finden Sie unter Exportieren von Postfachüberwachungsprotokollen.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×