Aktivieren der Postfachüberwachung in Office 365

In Office 365 können Sie die Postfachüberwachungsprotokollierung aktivieren, um den Postfachzugriff durch Postfachbesitzer, Stellvertretungen und Administratoren zu protokollieren. In der Standardeinstellung ist die Postfachüberwachung in Office 365 nicht aktiviert. Wenn die Überwachungsprotokollierung für ein Postfach aktiviert wird, werden einige von Administratoren und Stellvertretern ausgeführte Aktionen standardmäßig protokolliert. Damit vom Postfachbesitzer ausgeführte Aktionen protokolliert werden, müssen Sie angeben, welche Besitzeraktionen überwacht werden sollen. Weitere Informationen finden Sie unter Überwachungsprotokollierung von Postfächern.

Schritt 1: Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell

Schritt 2: Aktivieren der Postfachüberwachungsprotokollierung

Schritt 3: Angeben der zu überwachenden Aktionen des Besitzers

(Optional) Schritt 4: Ändern der Verfallszeit für Einträge im Postfachüberwachungsprotokoll

Woher wissen Sie, ob dieser Vorgang erfolgreich war?

Von der Postfachüberwachungsprotokollierung protokollierte Postfachaktionen

Weitere Informationen

Vorbemerkung

  • Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, werden der Zugriff auf das Postfach und bestimmte Administrator- und Stellvertretungsaktionen standardmäßig protokolliert. Um Aktionen des Besitzers des Postfachs zu protokollieren, müssen Sie die zu überwachenden Aktionen des Besitzers angeben. Im Abschnitt Weitere Informationen am Ende dieses Themas finden Sie eine Liste der Aktionen, die protokolliert werden, nachdem die Postfachüberwachungsprotokollierung für ein Postfach aktiviert wurde, und der Aktionen, die für jeden Typ von Benutzeranmeldung verfügbar sind.

  • Einträge im Postfachüberwachungsprotokoll werden standardmäßig 90 Tage aufbewahrt. In Schritt 4 finden Sie Informationen zum Ändern der Aufbewahrungsdauer von Einträgen.

  • Zum Aktivieren der Postfachüberwachungsprotokollierung müssen Sie Exchange Online-PowerShell verwenden. Sie können dazu nicht das Exchange Admin Center (EAC) verwenden..

  • Ein Administrator, dem für das Postfach eines Benutzers die Berechtigung "Vollzugriff" erteilt wurde, gilt als Stellvertretung.

Schritt 1: Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell

  1. Öffnen Sie Windows PowerShell auf dem lokalen Computer, und führen Sie den folgenden Befehl aus.

    $UserCredential = Get-Credential

    Geben Sie im Dialogfeld Bei Windows PowerShell anmelden den Benutzernamen und das Kennwort für ein globales Office 365-Administratorkonto ein, und klicken Sie dann auf OK.

  2. Führen Sie den folgenden Befehl aus.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Führen Sie den folgenden Befehl aus.

    Import-PSSession $Session
  4. Führen Sie zur Überprüfung, ob Sie mit Ihrer Exchange Online-Organisation verbunden sind, den folgenden Befehl aus, um eine Liste aller Postfächer in Ihrer Organisation abzurufen.

    Get-Mailbox

Wenn Sie weitere Informationen benötigen oder Probleme beim Herstellen einer Verbindung mit Ihrer Exchange Online-Organisation haben, lesen Sie Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell.

Seitenanfang

Schritt 2: Aktivieren der Postfachüberwachungsprotokollierung

Nach dem Herstellen einer Verbindung mit Ihrer Exchange Online-Organisation aktivieren Sie die Überwachungsprotokollierung für ein Postfach mithilfe von PowerShell. Alternativ können Sie die Überwachung von Postfächern für alle Postfächer in Ihrer Organisation aktivieren.

Bei diesem Beispiel wird die Überwachungsprotokollierung für das Postfach von Pilar Pinilla aktiviert.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Bei diesem Beispiel wird die Überwachungsprotokollierung für alle Postfächer in Ihrer Organisation aktiviert.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Seitenanfang

Schritt 3: Angeben der zu überwachenden Aktionen des Besitzers

Wenn Sie die Überwachung eines Postfachs aktivieren, werden Aktionen des Besitzers des Postfachs, wie bereits erläutert, nicht standardmäßig überwacht. Sie müssen angeben, welche Aktionen des Besitzers überwacht werden sollen. In der Tabelle im Abschnitt Von der Postfachüberwachungsprotokollierung protokollierte Postfachaktionen finden Sie eine Liste und Beschreibung der Aktionen des Besitzers, die überwacht werden können.

In diesem Beispiel wird festgelegt, dass die vom Postfachbesitzer ausgeführten Aktionen "MailboxLogin" und "HardDelete" für das Postfach von Pilar Pinilla protokolliert werden. Es wird davon ausgegangen, dass die Überwachungsprotokollierung für dieses Postfach bereits aktiviert wurde.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

Dieses Beispiel ermöglicht die Überwachungsprotokollierung für das Postfach von Don Hall und gibt an, dass die vom Besitzer des Postfachs ausgeführte Aktion "HardDelete" protokolliert wird.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner HardDelete

In diesem Beispiel wird festgelegt, dass die vom Postfachbesitzer ausgeführten Aktionen "MailboxLogin", "HardDelete" und "SoftDelete" für alle Postfächer in der Organisation protokolliert werden. Es wird davon ausgegangen, dass die Überwachungsprotokollierung für alle Postfächer bereits aktiviert wurde.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

Seitenanfang

(Optional) Schritt 4: Ändern der Verfallszeit für Einträge im Postfachüberwachungsprotokoll

Einträge im Postfachüberwachungsprotokoll werden standardmäßig 90 Tage aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht. Wenn ein Element länger oder kürzer aufbewahrt werden soll, ändern Sie diese Einstellung mithilfe des Cmdlets Set-Mailbox.

Bei diesem Beispiel wird die Verfallszeit für Einträge im Überwachungsprotokoll des Postfachs von Pilar Pinilla auf 180 Tage erhöht.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

Bei diesem Beispiel wird die Verfallszeit für Einträge im Überwachungsprotokoll aller Postfächer in Ihrer Organisation auf 60 Tage reduziert.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditLogAgeLimit 60

Seitenanfang

Woher wissen Sie, ob dieser Vorgang erfolgreich war?

Um zu überprüfen, ob Sie die Überwachungsprotokollierung für ein Postfach erfolgreich aktiviert haben, verwenden Sie das Cmdlet Get-Mailbox zum Abrufen der Überwachungseinstellungen dieses Postfachs.

In diesem Beispiel werden die Überwachungseinstellungen für Pilar Pinilla abgerufen.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Dieses Beispiel ruft die Überwachungseinstellungen für alle Benutzerpostfächer in Ihrer Organisation ab.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Durch Festlegen der Eigenschaft AuditEnabled auf True wird sichergestellt, dass die Überwachungsprotokollierung aktiviert ist.

Seitenanfang

Von der Postfachüberwachungsprotokollierung protokollierte Postfachaktionen

In der folgenden Tabelle sind die Aktionen aufgeführt, die mit der Postfachüberwachungsprotokollierung protokolliert werden können. Die Tabelle gibt auch an, welche Aktionen welches Anmeldetyps protokolliert werden können. Nein bedeutet, dass die Aktion für diesen Anmeldetyp nicht protokolliert werden kann. Ein Sternchen (*) gibt an, dass die Aktion standardmäßig protokolliert wird, wenn die Überwachungsprotokollierung für das Postfach aktiviert ist. Wie bereits erwähnt, werden die Benutzeraktionen nicht standardmäßig protokolliert, wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren. Um Aktionen des Besitzers des Postfachs zu protokollieren, müssen Sie die zu überwachenden Aktionen des Besitzers angeben. Siehe Schritt 3.

Aktion

Beschreibung

Administrator

Stellvertretung***

Besitzer

Kopieren

Eine Nachricht wurde in einen anderen Ordner kopiert.

Ja

Nein

Nein

Erstellen

Ein Element wird im Postfachordner "Kalender", "Kontakte", "Aufgaben" oder "Notizen" erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht.

Ja*

Ja*

Ja

FolderBind

Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder die Stellvertretung das Postfach öffnet.

Ja*

Ja**

Nein

HardDelete

Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

Ja

MailboxLogin

Der Benutzer hat sich an seinem Postfach angemeldet.

Nein

Nein

Ja

MessageBind

Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.

Ja

Nein

Nein

Verschieben

Eine Nachricht wurde in einen anderen Ordner verschoben.

Ja*

Ja

Ja

MoveToDeletedItems

Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben.

Ja*

Ja

Ja

SendAs

Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, als käme sie vom Besitzer des Postfachs.

Ja*

Ja*

Nein

SendOnBehalf

Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Auftrag des Besitzers des Postfachs gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.

Ja*

Ja

Nein

SoftDelete

Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner "Gelöschte Objekte" gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner "Wiederherstellbare Elemente" verschoben.

Ja*

Ja*

Ja

Aktualisieren

Eine Nachricht oder ihre Eigenschaften wurden geändert.

Ja*

Ja*

Ja

Hinweise : 

  • * Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.

  • ** Einträge für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden zusammengefasst. Für einzelne Ordnerzugriffe innerhalb eines Zeitraums von 24 Stunden wird ein eigener Protokolleintrag generiert.

  • *** Ein Administrator, dem für das Postfach eines Benutzers die Berechtigung "Vollzugriff" erteilt wurde, gilt als Stellvertretung.

Wenn die Überwachung bestimmter Postfachaktionen nicht mehr notwendig ist, sollten Sie die Überwachungsprotokollkonfiguration für das Postfach ändern, um die Überwachung dieser Aktionen zu deaktivieren. Vorhandene Protokolleinträge werden erst dann gelöscht, wenn für Überwachungsprotokolleinträge die Altersgrenze erreicht ist.

Seitenanfang

Weitere Informationen

  • Die einfachste Möglichkeit, die Einträge in einem Überwachungsprotokoll anzuzeigen, ist der Office 365-Aktivitätsbericht im Office 365 Security & Compliance Center. Weitere Informationen finden Sie unter Durchsuchen des Überwachungsprotokolls im Office 365 Security & Compliance Center.

  • Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:

  • Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie auch angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertreter oder Besitzer) protokolliert werden.

  • Verwenden Sie den folgenden Befehl, um die Postfachüberwachungsprotokollierung zu deaktivieren:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Sie können das Überwachungsprotokoll auch exportieren und angeben, dass die Einträge von einem oder mehreren Benutzern enthalten sein sollen. Jeder Eintrag im Bericht und im Überwachungsprotokoll enthält Informationen dazu, von wem und wann die Aktion ausgeführt wurde, und ob sie erfolgreich war. Weitere Informationen finden Sie unter Exportieren von Postfachüberwachungsprotokollen.

  • Wenn Sie das Cmdlet Get-Mailbox ausführen, werden die für jeden Benutzertyp überwachten Aktionen nicht angezeigt. Sie können jedoch die folgenden Befehle ausführen, um die überwachten Aktionen für einen bestimmten Anmeldetyp anzuzeigen.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    

Seitenanfang

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×