Aktivieren der Postfachüberwachung in Office 365

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

In Office 365 können Sie Postfach Protokollierung zum Postfachzugriff durch Postfachbesitzer, Stellvertretungen und Administratoren protokollieren aktivieren. Standardmäßig ist nicht in Office 365 Überwachung von Postfächern aktiviert. Dies bedeutet, dass das Postfach Überwachung Ereignisse nicht in den Ergebnissen angezeigt, wenn Sie das Office 365 Überwachungsprotokoll für Postfach Aktivität suchen. Aber wenn Postfach Audit für eines Benutzerpostfachs Protokollierung aktiviert ist, können Sie das Überwachungsprotokoll für Postfach Aktivität suchen. Darüber hinaus, wenn Postfach überwachen Protokollierung aktiviert ist, einige Aktionen, die von Administratoren, Stellvertretungen, ausgeführt und Besitzer standardmäßig angemeldet sind. Melden Sie sich (und suchen Sie nach) zusätzliche Aktionen finden Sie in Schritt 3.

Schritt 1: Herstellen einer Verbindung mit Exchange Online PowerShell

Schritt 2: Aktivieren der Postfachüberwachungsprotokollierung

Schritt 3: Angeben der zu überwachenden Aktionen des Besitzers

Woher wissen Sie, ob dieser Vorgang erfolgreich war?

Schritt 1: Herstellen einer Verbindung mit Exchange Online PowerShell

  1. Öffnen Sie Windows PowerShell auf dem lokalen Computer, und führen Sie den folgenden Befehl aus.

    $UserCredential = Get-Credential

    Geben Sie im Dialogfeld Bei Windows PowerShell anmelden den Benutzernamen und das Kennwort für ein globales Office 365-Administratorkonto ein, und klicken Sie dann auf OK.

  2. Führen Sie den folgenden Befehl aus.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Führen Sie den folgenden Befehl aus.

    Import-PSSession $Session
  4. Führen Sie zur Überprüfung, ob Sie mit Ihrer Exchange Online-Organisation verbunden sind, den folgenden Befehl aus, um eine Liste aller Postfächer in Ihrer Organisation abzurufen.

    Get-Mailbox

Wenn Sie weitere Informationen benötigen oder Probleme beim Herstellen einer Verbindung mit Ihrer Exchange Online-Organisation haben, lesen Sie Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell.

Seitenanfang

Schritt 2: Aktivieren der Postfachüberwachungsprotokollierung

Nach dem Herstellen einer Verbindung mit Ihrer Exchange Online-Organisation aktivieren Sie die Überwachungsprotokollierung für ein Postfach mithilfe von PowerShell. Alternativ können Sie die Überwachung von Postfächern für alle Postfächer in Ihrer Organisation aktivieren.

Bei diesem Beispiel wird die Überwachungsprotokollierung für das Postfach von Pilar Pinilla aktiviert.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Bei diesem Beispiel wird die Überwachungsprotokollierung für alle Postfächer in Ihrer Organisation aktiviert.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Seitenanfang

Schritt 3: Angeben der zu überwachenden Aktionen des Besitzers

Wenn Sie die Überwachung eines Postfachs aktivieren, wird standardmäßig nur eine Aktion des Postfachbesitzers (updateFolderPermissions) überwacht. Sie müssen die weiteren zu überwachenden Aktionen des Besitzers angeben. In der Tabelle im Abschnitt "Postfachaktionen" finden Sie eine Liste und Beschreibung von Aktionen des Besitzers, die überwacht werden können.

In diesem Beispiel werden der Postfachüberwachung für Pilar Pinillas Postfach die Besitzeraktionen MailboxLogin und HardDelete hinzugefügt. Es wird davon ausgegangen, dass die Überwachungsprotokollierung für dieses Postfach bereits aktiviert wurde.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

In diesem Beispiel Postfach Audit für das Postfach des Don Hall Protokollierung aktiviert und gibt an, dass nur die MailboxLogin Aktion, die ausgeführt werden, indem Sie den Besitzer des Postfachs protokolliert werden. Beachten Sie, dass in diesem Beispiel wird die Standardaktion UpdateFolderPermissions überschrieben.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

In diesem Beispiel werden allen Postfächern in der Organisation die Besitzeraktionen MailboxLogin, HardDelete und SoftDelete hinzugefügt. Es wird davon ausgegangen, dass die Überwachungsprotokollierung für alle Postfächer bereits aktiviert wurde.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

Seitenanfang

Woher wissen Sie, ob dieser Vorgang erfolgreich war?

Um zu überprüfen, ob Sie die Überwachungsprotokollierung für ein Postfach erfolgreich aktiviert haben, verwenden Sie das Cmdlet Get-Mailbox zum Abrufen der Überwachungseinstellungen dieses Postfachs.

In diesem Beispiel werden die Überwachungseinstellungen für Pilar Pinilla abgerufen.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Dieses Beispiel ruft die Überwachungseinstellungen für alle Benutzerpostfächer in Ihrer Organisation ab.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Durch Festlegen der Eigenschaft AuditEnabled auf True wird sichergestellt, dass die Postfachüberwachungsprotokollierung aktiviert ist.

Seitenanfang

  • Zum Aktivieren der Postfachüberwachungsprotokollierung müssen Sie Exchange Online-PowerShell verwenden. Sie können dazu nicht das Office 365 Security & Compliance Center oder das Exchange Admin Center verwenden..

  • Nachdem Sie Postfach Audit für ein Postfach Protokollierung aktiviert haben, werden Zugriff auf das Postfach und bestimmte Administrator und die Stellvertretung Aktionen standardmäßig protokolliert. Zum Melden Sie sich von den Besitzer des Postfachs ausgeführte Aktionen, müssen Sie die zu überwachenden Besitzer Aktionen angeben. Finden Sie im Abschnitt "Weitere Informationen", um eine Liste der Aktionen, die angemeldet sind, nach der Überwachung Postfach Protokollierung aktiviert ist, und welche Aktionen stehen für jede Art von Anmeldung des Benutzers anzuzeigen.

  • Sie können keine aktivieren Postfach Audit Protokollierung für das Postfach, das eine Office 365 Gruppe oder ein Team in Microsoft Teams zugeordnet ist.

  • Ein Administrator, dem für das Postfach eines Benutzers die Berechtigung "Vollzugriff" erteilt wurde, gilt als Stellvertretung.

In der folgenden Tabelle sind die Aktionen aufgeführt, die mit der Postfachüberwachungsprotokollierung protokolliert werden können. Die Tabelle gibt auch an, welche Aktionen welches Anmeldetyps protokolliert werden können. Nein bedeutet, dass die Aktion für diesen Anmeldetyp nicht protokolliert werden kann. Ein Sternchen (*) gibt an, dass die Aktion standardmäßig protokolliert wird, wenn die Überwachungsprotokollierung für das Postfach aktiviert ist. Wie bereits erwähnt, ist die einzige standardmäßig protokollierte Benutzeraktion, wenn Sie die Postfachüberwachung aktivieren, "UpdateFolderPermissions". Um andere Aktionen des Besitzers des Postfachs zu protokollieren, müssen Sie die zu überwachenden Aktionen des Besitzers zusätzlich angeben. Siehe Schritt 3 im Abschnitt "Schrittweise Anleitungen" in diesem Thema.

Aktion

Beschreibung

Administrator

Stellvertretung***

Besitzer

Kopieren

Eine Nachricht wurde in einen anderen Ordner kopiert.

Ja

Nein

Nein

Erstellen

Ein Element wird im Postfachordner "Kalender", "Kontakte", "Aufgaben" oder "Notizen" erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Auch das Erstellen eines Postfachordners wird nicht überwacht.

Ja*

Ja*

Ja

FolderBind

Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder die Stellvertretung das Postfach öffnet.

Ja*

Ja**

Nein

HardDelete

Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

Ja

MailboxLogin

Der Benutzer hat sich an seinem Postfach angemeldet.

Nein

Nein

Ja

MessageBind

Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.

Ja

Nein

Nein

Verschieben

Eine Nachricht wurde in einen anderen Ordner verschoben.

Ja*

Ja

Ja

MoveToDeletedItems

Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.

Ja*

Ja

Ja

SendAs

Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, als käme sie vom Besitzer des Postfachs.

Ja*

Ja*

Nein

SendOnBehalf

Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Auftrag des Besitzers des Postfachs gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.

Ja*

Ja

Nein

SoftDelete

Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner "Gelöschte Objekte" gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben.

Ja*

Ja*

Ja

Aktualisieren

Eine Nachricht oder ihre Eigenschaften wurden geändert.

Ja*

Ja*

Ja

UpdateCalendarDelegation

Eine kalenderdelegierung wurde an ein Postfach zugewiesen. Kalenderdelegierung bietet eine andere Person in der gleichen Organisationsberechtigungen zum Verwalten der Besitzer des Postfachs Kalender.

Ja*

Nein

Ja*

UpdateFolderPermissions

Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.

Ja*

Ja*

Ja*

UpdateInboxRules

Eine Posteingangsregel weist hinzugefügt, geändert oder entfernt wurde. Posteingangsregeln werden verwendet, um die Verarbeitung von Nachrichten in den Posteingang des Benutzers basierend auf den angegebenen Bedingungen und Aktionen ergreifen, wenn die Bedingung einer Regel erfüllt sind, wie eine Nachricht in einen bestimmten Ordner verschieben oder Löschen einer Nachricht.

Ja*

Ja*

Ja*

Hinweise: 

  • *  Standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert ist.

  • **  Einträge für Ordner binden Aktionen ausgeführte Arbeit von Stellvertretungen konsolidiert werden. Ein Eintrag wird für die einzelnen Ordnerzugriff innerhalb eines Zeitraums von 24 Stunden generiert.

  • ***  Ein Administrator, der mit die Berechtigung Vollzugriff eines Benutzerpostfachs zugewiesen wurde, wird ein Stellvertreter betrachtet.

Wenn die Überwachung bestimmter Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze von 90 Tagen erreicht ist.

  • Suchen Sie im Office 365-Überwachungsprotokoll nach Postfachaktivitäten, die protokolliert wurden. Sie können nach Aktivität für ein bestimmtes Benutzerpostfach suchen. Der folgende Screenshot zeigt eine Liste der Postfachaktivitäten, nach denen Sie im Office 365-Überwachungsprotokoll suchen können. Beachten Sie, dass es sich bei diesen Aktivitäten um dieselben Aktionen handelt, die im Abschnitt "Postfachüberwachungsaktionen" in diesem Thema beschrieben werden.

    Sie können das Office 365-Überwachungsprotokoll nach Postfachüberwachungsaktionen durchsuchen, indem Sie in der Dropdownliste "Aktivitäten" die Option "Exchange-Postfachaktivitäten" auswählen

    Die folgende Tabelle beschreibt die einzelnen Postfachaktivitäten, nach denen Sie suchen können, und zeigt das entsprechende Postfachüberwachungsaktion an.

    Aktivität im Überwachungsprotokoll

    Postfachüberwachungsaktion

    Erstelltes Postfachelement

    Erstellen

    Nachrichten in anderen Ordner kopiert

    Copy

    Benutzer am Postfach angemeldet

    MailboxLogin

    Nachricht mit Berechtigungen vom Typ "Senden im Auftrag von" gesendet

    SendOnBehalf

    Nachrichten aus Postfach gelöscht

    HardDelete

    Nachrichten in Ordner "Gelöschte Elemente" verschoben

    MoveToDeletedItems

    Nachrichten in anderen Ordner verschoben

    Move

    Nachricht mit Berechtigungen vom Typ "Senden als" gesendet

    SendAs

    Nachricht aktualisiert

    Update

    Nachrichten aus Ordner "Gelöschte Elemente" gelöscht

    SoftDelete

    Hinzugefügten Berechtigungen für Ordner

    UpdateFolderPermissions

    Geänderten Berechtigungen des Ordners

    UpdateFolderPermissions

    Entfernte Berechtigungen Ordner

    UpdateFolderPermissions

    Hinzugefügte oder entfernte Benutzer mit Zugriffsrechte für Stellvertretung auf Kalenderordner

    UpdateCalendarDelegation

    Beachten Sie, dass die Stellvertretung von Postfachberechtigungen hinzugefügt und entfernt Stellvertretung Postfachberechtigungen Aktivitäten, die dem vorherigen Screenshot mit Postfach Überwachung Aktionen verknüpft sind. Sie geben an, ob ein Administrator zugewiesen oder die Berechtigung FullAccess Postfach entfernt.

    Weitere Informationen zum Office 365-Überwachungsprotokoll finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

  • Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:

    • In-Situ-eDiscovery in Exchange Online oder Inhaltssuche in Office 365 wird verwendet, um ein Postfach zu durchsuchen.

    • Microsoft Exchange Server MAPI Editor wird für den Zugriff auf das Postfach verwendet.

  • Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie auch angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertreter oder Besitzer) protokolliert werden.

  • Verwenden Sie den folgenden Befehl, um die Postfachüberwachungsprotokollierung zu deaktivieren:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Wenn Sie das Cmdlet Get-Mailbox ausführen, werden die für jeden Benutzertyp überwachten Aktionen nicht angezeigt. Sie können jedoch die folgenden Befehle ausführen, um die überwachten Aktionen für einen bestimmten Anmeldetyp anzuzeigen.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Sie können auch exportieren ein Überwachungsprotokolls Postfach und geben Sie die Einträge für einen oder mehrere Benutzer aufnehmen möchten. Jeder Eintrag in den Bericht und das Überwachungsprotokoll enthält Informationen darüber, wer die Aktion ausgeführt und, wenn die Aktion ausgeführt und, ob die Aktion erfolgreich war. Weitere Informationen finden Sie unter Postfach Überwachungsprotokolle exportieren.

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×