Habilitar la auditoría de buzones de correo en Office 365

Nota:  Nos gustaría proporcionarle el contenido de ayuda actual lo más rápido posible en su idioma. Esta página se ha traducido mediante un sistema automático y es posible que contenga imprecisiones o errores gramaticales. Nuestro objetivo es que este contenido sea útil para usted. ¿Puede informarnos sobre si la información le ha sido útil al final de la página? Aquí tiene el artículo en inglés para que pueda consultarlo fácilmente.

En Office 365, puede activar registro de auditoría de buzón de correo para iniciar el acceso a buzones de los propietarios de buzón, delegados y administradores. De forma predeterminada, la auditoría de buzón en Office 365 no está activada. Esto significa que buzón eventos de auditoría no aparecerá en los resultados cuando busque el registro de auditoría Office 365 actividad de los buzones. Pero después de activar el registro para un buzón de auditoría de buzón, puede buscar el registro de auditoría para la actividad de buzón. Además, al buzón de auditoría registro está activado, algunas acciones realizadas por los administradores, los delegados, y se registran los propietarios de forma predeterminada. Iniciar (y, a continuación, busque) acciones adicionales, vea el paso 3.

Paso 1: Conectar con Exchange Online PowerShell

Paso 2: Habilitar el registro de auditoría de buzones de correo

Paso 3: Especificar las acciones de propietario que se auditarán

¿Cómo se puede saber si esta operación ha funcionado?

Para obtener más información, vea registro de auditoría de buzón

Paso 1: Conectar con Exchange Online PowerShell

  1. On your local computer, open Windows PowerShell and run the following command.

    $UserCredential = Get-Credential

    En el cuadro de diálogo Solicitud de credenciales de Windows PowerShell, escriba el nombre de usuario y la contraseña de una cuenta de administrador global de Office 365 y, después, haga clic en Aceptar.

  2. Ejecute el comando siguiente.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Ejecute el comando siguiente.

    Import-PSSession $Session
  4. Para comprobar que se conectó a su organización de Exchange Online, ejecute el comando siguiente para obtener una lista de todos los buzones de organización.

    Get-Mailbox

Para obtener más información o si tiene problemas para conectarse a su organización de Exchange Online, vea Conectarse a Exchange Online con PowerShell remoto.

Volver al principio

Paso 2: Habilitar el registro de auditoría de buzones de correo

Después de conectarse a su organización de Exchange Online, use PowerShell para habilitar el registro de auditoría de buzones de correo de un buzón. También puede habilitar la auditoría de buzones de correo para todos los buzones de la organización.

En este ejemplo se habilita el registro de auditoría del buzón de Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

En este ejemplo se habilita el registro de auditoría de todos los buzones de correo de los usuarios de su organización.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Volver al principio

Paso 3: Especificar las acciones de propietario que se auditarán

Al habilitar la auditoría para un buzón, sólo una acción (UpdateFolderPermissions) realizada por el propietario del buzón se audita de forma predeterminada. Tiene que especificar las otras acciones de propietario que se auditarán. Consulte la tabla de la sección "Acciones de buzón de correo" para ver una lista y una descripción de las acciones de propietario que se pueden auditar.

En este ejemplo, se agregan MailboxLogin y HardDelete como acciones de propietario a la auditoría de buzón de Pilar Pinilla. Este ejemplo presupone que la auditoría de buzón ya ha sido habilitada para este buzón.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

En este ejemplo se habilita el registro para el buzón de Don Hall de auditoría de buzón y se especifica que se registrarán solo la acción de MailboxLogin realizada por el propietario del buzón. Tenga en cuenta que este ejemplo sobrescribe la acción de UpdateFolderPermissions de forma predeterminada.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

En este ejemplo, se agregan MailboxLogin, HardDelete y SoftDelete como acciones de propietario a todos los buzones de la organización. Este ejemplo presupone que la auditoría de buzón ya ha sido habilitada para todos los buzones.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

Volver al principio

¿Cómo se puede saber si esta operación ha funcionado?

Para comprobar que se haya habilitado correctamente el registro de auditoría de buzones de correo utilice el cmdlet Get-Mailbox para recuperar la configuración de auditoría de ese buzón.

En este ejemplo se recupera la configuración de auditoría de Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

En este ejemplo se recupera la configuración de auditoría de todos los buzones de correo de los usuarios de la organización.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Un valor de True para la propiedad AuditEnabled comprueba que el registro de auditoría de buzones de correo esté habilitado.

Volver al principio

  • Después de habilitar el registro para un buzón de auditoría de buzón, acceso a las acciones de buzón y determinadas administrador y delegado se registran de forma predeterminada. Para iniciar acciones realizadas por el propietario del buzón, debe especificar qué acciones de propietario para realizar auditorías. Consulte la sección "Más información" para ver una lista de acciones que se registran después de registro de auditoría del buzón está habilitada y las acciones que están disponibles para cada tipo de inicio de sesión de usuario.

  • Debe usar PowerShell de Exchange Online para habilitar el registro de auditoría del buzón de correo. No puede usar el Centro de cumplimiento y seguridad de Office 365 ni el Centro de administración de Exchange.

  • Un administrador al que se haya asignado el permiso Acceso total en el buzón de un usuario se considera usuario delegado.

En la siguiente tabla, se enumeran las acciones que se pueden registrar mediante el registro de auditoría del buzón de correo. En la tabla, se incluyen las acciones que se pueden registrar para cada tipo de inicio de sesión de usuario. En la tabla, No indica que no se puede registrar una acción para ese tipo de inicio de sesión. Un asterisco (*) indica que la acción se registra de forma predeterminada cuando el registro de auditoría del buzón de correo está habilitado para el buzón. Como ya se ha dicho, la única acción de propietario que se audita de manera predeterminada cuando se activa el registro de auditoría del buzón es UpdateFolderPermissions. Para registrar otras acciones que lleva a cabo el propietario del buzón de correo, es necesario especificar las acciones de propietario adicionales que se auditarán. Consulte el paso 3 de la sección "Instrucciones detalladas" de este tema.

Acción

Descripción

Administrador

Usuario delegado ***

Propietario

Copy

Un mensaje se copió en otra carpeta.

No

No

Create

Se ha creado un elemento en la carpeta Calendario, Contactos, Notas o Tareas del buzón; por ejemplo, se ha creado una nueva solicitud de reunión. Tenga en cuenta que no se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta del buzón.

Sí*

Sí*

FolderBind

Se tuvo acceso a una carpeta de buzón de correo. Esta acción también se registra cuando el administrador o un delegado abren el buzón de correo.

Sí*

Sí**

No

HardDelete

Un mensaje se purgó de la carpeta Elementos recuperables.

Sí*

Sí*

MailboxLogin

El usuario inició sesión en su buzón.

No

No

MessageBind

Un mensaje se consultó en el panel de vista previa o se abrió.

No

No

Mover

Un mensaje se movió a otra carpeta.

Sí*

MoveToDeletedItems

Un mensaje se eliminó y se movió a la carpeta Elementos eliminados.

Sí*

SendAs

Un mensaje se envió mediante el permiso SendAs. Esto significa que otro usuario envió el mensaje como si procediera del propietario del buzón.

Sí*

Sí*

No

SendOnBehalf

Un mensaje se ha enviado con el permiso SendOnBehalf. Esto significa que otro usuario ha enviado el mensaje en nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente.

Sí*

No

SoftDelete

Un mensaje se eliminó permanentemente o se eliminó de la carpeta Elementos eliminados. Los elementos eliminados de forma temporal se mueven a la carpeta Elementos recuperables.

Sí*

Sí*

Update

Se cambió un mensaje o sus propiedades.

Sí*

Sí*

UpdateCalendarDelegation

Se ha asignado una delegación de calendario a un buzón. Delegación de calendario ofrece otra persona en los mismos permisos de organización para administrar calendario el buzón del propietario del.

Sí*

No

Sí*

UpdateFolderPermissions

Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen.

Sí*

Sí*

Sí*

Notas: 

  • *  Auditoría de forma predeterminada si habilita la auditoría para un buzón.

  • **  Entradas de acciones de enlace de carpeta realizadas por los delegados están consolidadas. Se genera una entrada de registro para el acceso a las carpetas individuales dentro de un intervalo de tiempo de 24 horas.

  • ***  Un administrador que se ha asignado el permiso de acceso completo al buzón de un usuario se considera un usuario delegado.

Si ya no necesita que se auditen determinados tipos de acciones de buzón de correo, tendrá que modificar la configuración de registro de auditoría del buzón de correo para deshabilitarlas. Las entradas de registro existentes no se purgan hasta que se ha alcanzado el límite de antigüedad de 90 días de las entradas del registro de auditoría.

  • Use el registro de auditoría de Office 365 para buscar la actividad del buzón que se ha registrado. Puede buscar la actividad de un buzón de usuario determinado. En la siguiente captura de pantalla, se muestra una lista de las actividades de buzón que se pueden buscar en el registro de auditoría de Office 365. Tenga en cuenta que estas actividades son las mismas acciones que se describen en la sección "Acciones de auditoría de buzones" de este tema.

    Puede buscar el registro de auditoría de Office 365 para las acciones de auditoría de buzón seleccionando "Actividades de buzón de Exchange" en la lista desplegable Actividades.

    La siguiente tabla describe cada actividad de buzón que puede buscar y muestra la acción de auditoría del buzón de correo correspondiente .

    Actividad del registro de auditoría

    Acción de auditoría de buzones

    Elementos del buzón creado

    Crear

    Mensajes copiados a otra carpeta

    Copiar

    Usuario que ha iniciado sesión en un buzón

    MailboxLogin

    Mensaje enviado mediante los permisos En nombre de

    SendOnBehalf

    Mensajes que se han purgado del buzón

    HardDelete

    Mensajes movidos a la carpeta Elementos eliminados

    MoveToDeletedItems

    Mensajes movidos a otra carpeta

    Mover

    Mensaje enviado mediante los permisos Enviar como

    SendAs

    Mensaje actualizado

    Actualizar

    Mensajes eliminados de la carpeta Elementos eliminados

    SoftDelete

    Tenga en cuenta que las actividades de permisos de buzón añadido delegado y quitado delegar permisos de buzón que se muestra en la captura de pantalla anterior no están relacionadas con acciones de auditoría del buzón. Indica si un administrador asignado o quita el permiso de FullAccess buzón.

    Para obtener información sobre el registro de auditoría de Office 365, vea Buscar en el registro de auditoría del Centro de seguridad y cumplimiento de Office 365.

  • Se considera que un administrador ha tenido acceso a un buzón solamente en los escenarios indicados a continuación:

    • Se usan las características eDiscovery local de Exchange Online o Búsqueda de contenido de Office 365 para hacer búsquedas en un buzón.

    • Microsoft Exchange Server MAPI Editor se usa para acceder al buzón de correo.

  • Al habilitar el registro de auditoría para un buzón de correo, también se pueden especificar las acciones de usuario (por ejemplo, acceso, traslado o eliminación de mensajes) que se registrarán para cada tipo de inicio de sesión (administrador, delegado o propietario).

  • Para deshabilitar el registro de auditoría de buzones de correo, ejecute el comando siguiente:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Al ejecutar el cmdlet de Get-Mailbox, no se muestran las acciones que se auditan para cada tipo de usuario. Sin embargo, puede ejecutar los comandos siguientes para mostrar todas las acciones auditadas para un tipo específico de inicio de sesión de usuario.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • También puede exportar un registro de auditoría del buzón y especificar las entradas para incluir uno o más usuarios. Cada entrada en el informe y el registro de auditoría incluye información sobre quién realizó la acción y al realizar la acción, y si la acción se realizó correctamente. Para obtener más información, consulte exportar registros de auditoría del buzón.

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×