Habilitar la auditoría de buzones de correo en Office 365

En Office 365, puede activar el registro de auditoría de buzón para registrar el acceso al buzón por los propietarios, delegados y administradores de buzones. De forma predeterminada, la auditoría del buzón de correo en Office 365 no está activada. Esto significa que los eventos de auditoría del buzón de correo no aparecerán en los resultados al buscar el registro de auditoría de Office 365 correspondiente a la actividad del buzón de correo. No obstante, una vez activado el registro de auditoría en un buzón, podrá dicho registro de Office 365 correspondiente la actividad del buzón de correo. Además, cuando el registro de auditoría del buzón de correo está activado, las acciones de administradores y delegados se registran de forma predeterminada. Sin embargo, las acciones del propietario del buzón no se auditan de forma predeterminada. Para registrar y poder buscar las acciones realizadas por el propietario del buzón, tiene que especificar las acciones de propietario que se deben auditar (vea el paso 3).

Paso 1: Conectar con Exchange Online PowerShell

Paso 2: Habilitar el registro de auditoría de buzones de correo

Paso 3: Especificar las acciones de propietario que se auditarán

¿Cómo se puede saber si esta operación ha funcionado?

Para obtener más información, vea Registro de auditoría de buzones de correo.

Paso 1: Conectar con Exchange Online PowerShell

  1. On your local computer, open Windows PowerShell and run the following command.

    $UserCredential = Get-Credential

    En el cuadro de diálogo Solicitud de credenciales de Windows PowerShell, escriba el nombre de usuario y la contraseña de una cuenta de administrador global de Office 365 y, después, haga clic en Aceptar.

  2. Ejecute el comando siguiente.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Ejecute el comando siguiente.

    Import-PSSession $Session
  4. Para comprobar que se conectó a su organización de Exchange Online, ejecute el comando siguiente para obtener una lista de todos los buzones de organización.

    Get-Mailbox

Para obtener más información o si tiene problemas para conectarse a su organización de Exchange Online, vea Conectarse a Exchange Online con PowerShell remoto.

Volver al principio

Paso 2: Habilitar el registro de auditoría de buzones de correo

Después de conectarse a su organización de Exchange Online, use PowerShell para habilitar el registro de auditoría de buzones de correo de un buzón. También puede habilitar la auditoría de buzones de correo para todos los buzones de la organización.

En este ejemplo se habilita el registro de auditoría del buzón de Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

En este ejemplo se habilita el registro de auditoría de todos los buzones de correo de los usuarios de su organización.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Volver al principio

Paso 3: Especificar las acciones de propietario que se auditarán

Al habilitar la auditoría para un buzón, las acciones realizadas por el propietario del buzón no se auditan de forma predeterminada. Tiene que especificar las acciones de propietario que se auditarán. Consulte la tabla de la sección "Acciones de buzón de correo" para ver una lista y una descripción de las acciones de propietario que se pueden auditar.

En este ejemplo se especifica que las acciones MailboxLogin y HardDelete realizadas por el propietario del buzón se registrarán en el buzón de Pilar Pinilla. En este ejemplo se supone que el registro de auditoría de buzones de correo ya está habilitado para este buzón.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

En este ejemplo, se habilita el registro de auditoría de buzones de correo para el buzón de Don Hall y se especifica que solo se registrará la acción MailboxLogin realizada por el propietario del buzón.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

En este ejemplo, se especifica que las acciones MailboxLogin, HardDelete y SoftDelete realizadas por el propietario del buzón se registrarán para todos los buzones de la organización. En este ejemplo, se supone que el registro de auditoría de buzones ya está habilitado para todos los buzones.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

Volver al principio

¿Cómo se puede saber si esta operación ha funcionado?

Para comprobar que se haya habilitado correctamente el registro de auditoría de buzones de correo, utilice el cmdlet Get-Mailbox para recuperar la configuración de auditoría de ese buzón.

En este ejemplo se recupera la configuración de auditoría de Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

En este ejemplo se recupera la configuración de auditoría de todos los buzones de correo de los usuarios de la organización.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Un valor de True para la propiedad AuditEnabled comprueba que el registro de auditoría de buzones de correo esté habilitado.

Volver al principio

  • Después de habilitar el registro de auditoría del buzón de correo en un buzón, el acceso al buzón y a algunas acciones realizadas por los administradores y delegados se registran de manera predeterminada. Para registrar las acciones que lleva a cabo el propietario del buzón de correo, es necesario especificar las acciones de propietario que se auditarán. Vea la sección "Más información" para ver una lista de las acciones que se registran después de habilitar el registro de auditoría de buzones de correo para un buzón de correo y para saber qué acciones están disponibles para cada tipo de inicio de sesión de usuario.

  • Debe usar PowerShell de Exchange Online para habilitar el registro de auditoría del buzón de correo. No puede usar el Centro de cumplimiento y seguridad de Office 365 ni el Centro de administración de Exchange.

  • Un administrador al que se haya asignado el permiso Acceso total en el buzón de un usuario se considera usuario delegado.

En la siguiente tabla, se enumeran las acciones que se pueden registrar mediante el registro de auditoría del buzón de correo. En la tabla, se incluyen las acciones que se pueden registrar para cada tipo de inicio de sesión de usuario. En la tabla, No indica que no se puede registrar una acción para ese tipo de inicio de sesión. Un asterisco (*) indica que la acción se registra de forma predeterminada cuando el registro de auditoría del buzón de correo está habilitado para el buzón. Como ya se ha dicho, no se audita ninguna acción de propietario de manera predeterminada cuando se activa el registro de auditoría del buzón. Para registrar las acciones que lleva a cabo el propietario del buzón de correo, es necesario especificar las acciones de propietario que se auditarán. Consulte el paso 3 de la sección "Instrucciones detalladas" de este tema.

Acción

Descripción

Administrador

Usuario delegado ***

Propietario

Copy

Un mensaje se copió en otra carpeta.

No

No

Create

Se ha creado un elemento en la carpeta Calendario, Contactos, Notas o Tareas del buzón; por ejemplo, se ha creado una nueva solicitud de reunión. Tenga en cuenta que no se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta del buzón.

Sí*

Sí*

FolderBind

Se tuvo acceso a una carpeta de buzón de correo. Esta acción también se registra cuando el administrador o un delegado abren el buzón de correo.

Sí*

Sí**

No

HardDelete

Un mensaje se purgó de la carpeta Elementos recuperables.

Sí*

Sí*

MailboxLogin

El usuario inició sesión en su buzón.

No

No

MessageBind

Un mensaje se consultó en el panel de vista previa o se abrió.

No

No

Mover

Un mensaje se movió a otra carpeta.

Sí*

MoveToDeletedItems

Un mensaje se eliminó y se movió a la carpeta Elementos eliminados.

Sí*

SendAs

Un mensaje se envió mediante el permiso SendAs. Esto significa que otro usuario envió el mensaje como si procediera del propietario del buzón.

Sí*

Sí*

No

SendOnBehalf

Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario ha enviado el mensaje en nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente.

Sí*

No

SoftDelete

Un mensaje se eliminó permanentemente o se eliminó de la carpeta Elementos eliminados. Los elementos eliminados de forma temporal se mueven a la carpeta Elementos recuperables.

Sí*

Sí*

Update

Se cambió un mensaje o sus propiedades.

Sí*

Sí*

Notas: 

  • *  Se audita de forma predeterminada si la auditoría está habilitada para un buzón.

  • **  Se consolidan las entradas de las acciones de enlace de carpeta realizadas por delegados. Se genera una entrada de registro para el acceso a cada carpeta en un intervalo de tiempo de 24 horas.

  • ***  Un administrador que tenga asignado el permiso Acceso total al buzón de un usuario se considera un usuario delegado.

Si ya no necesita que se auditen determinados tipos de acciones de buzón de correo, tendrá que modificar la configuración de registro de auditoría del buzón de correo para deshabilitarlas. Las entradas de registro existentes no se purgan hasta que se ha alcanzado el límite de antigüedad de 90 días de las entradas del registro de auditoría.

  • Use el registro de auditoría de Office 365 para buscar la actividad del buzón que se ha registrado. Puede buscar la actividad de un buzón de usuario determinado. En la siguiente captura de pantalla, se muestra una lista de las actividades de buzón que se pueden buscar en el registro de auditoría de Office 365. Tenga en cuenta que estas actividades son las mismas acciones que se describen en la sección "Acciones de auditoría de buzones" de este tema.

    Puede buscar el registro de auditoría de Office 365 para las acciones de auditoría de buzón seleccionando "Actividades de buzón de Exchange" en la lista desplegable Actividades.

    La siguiente tabla describe cada actividad de buzón que puede buscar y muestra la acción de auditoría del buzón de correo correspondiente .

    Actividad del registro de auditoría

    Acción de auditoría de buzones

    Elementos del buzón creado

    Crear

    Mensajes copiados a otra carpeta

    Copiar

    Usuario que ha iniciado sesión en un buzón

    MailboxLogin

    Mensaje enviado mediante los permisos En nombre de

    SendOnBehalf

    Mensajes que se han purgado del buzón

    HardDelete

    Mensajes movidos a la carpeta Elementos eliminados

    MoveToDeletedItems

    Mensajes movidos a otra carpeta

    Mover

    Mensaje enviado mediante los permisos Enviar como

    SendAs

    Mensaje actualizado

    Actualizar

    Mensajes eliminados de la carpeta Elementos eliminados

    SoftDelete

    Tenga en cuenta que las actividades de los permisos de buzón de delegado agregado y delegado eliminado que se muestran en la captura de pantalla anterior no están relacionadas con las acciones de auditoría de buzones. Indican si un administrador ha asignado o quitado el permiso de buzón FullAccess.

    Para obtener información sobre el registro de auditoría de Office 365, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.

  • Se considera que un administrador ha tenido acceso a un buzón solamente en los escenarios indicados a continuación:

    • Se usan las características eDiscovery local de Exchange Online o Búsqueda de contenido de Office 365 para hacer búsquedas en un buzón.

    • Microsoft Exchange Server MAPI Editor se usa para acceder al buzón de correo.

  • Al habilitar el registro de auditoría para un buzón de correo, también se pueden especificar las acciones de usuario (por ejemplo, acceso, traslado o eliminación de mensajes) que se registrarán para cada tipo de inicio de sesión (administrador, delegado o propietario).

  • Para deshabilitar el registro de auditoría de buzones de correo, ejecute el comando siguiente:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Al ejecutar el cmdlet de Get-Mailbox, no se muestran las acciones que se auditan para cada tipo de usuario. Sin embargo, puede ejecutar los comandos siguientes para mostrar todas las acciones auditadas para un tipo específico de inicio de sesión de usuario.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • También puede exportar un registro de auditoría de buzón de correo y especificar que se incluyan las entradas de uno o varios usuarios. Cada entrada del informe y del registro de auditoría incluye información sobre quién realizó la acción y cuándo, la acción realizada y si se llevó a cabo correctamente. Para obtener más información, vea Exportar registros de auditoría de buzones.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×