Habilitar a auditoria de caixa de correio no Office 365

No Office 365, você pode ativar o log de auditoria para registrar o acesso à caixa de correio por proprietários, representantes e administradores de caixas de correio. Por padrão, a auditoria de caixas de correio no Office 365 não está ativada. Isso significa que eventos de auditoria de caixa de correio não aparecerão nos resultados quando você pesquisar o log de auditoria do Office 365 para detectar a atividade da caixa de correio. Porém, após ativar o log de auditoria para uma caixa de correio, você poderá pesquisar o log de auditoria do Office 365 para detectar a atividade da caixa de correio. Além disso, quando o log de auditoria de caixa de correio está ativado, as ações executadas por administradores, representantes e proprietários são registradas por padrão. Para registrar (e pesquisar) outras ações, confira a Etapa 3.

Etapa 1: conectar-se ao PowerShell do Exchange Online

Etapa 2: habilitar log de auditoria de caixas de correio

Etapa 3: especificar ações de proprietário para auditoria

Como saber se funcionou?

Para saber mais, confira Log de auditoria de caixa de correio

Etapa 1: conectar-se ao PowerShell do Exchange Online

  1. Abra o Windows PowerShell no computador local e execute o comando a seguir.

    $UserCredential = Get-Credential

    Na caixa de diálogo Solicitação de Credenciais do Windows PowerShell, digite o nome de usuário e a senha de sua conta de administrador global do Office 365 e clique em OK.

  2. Execute o comando a seguir.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Execute o comando a seguir.

    Import-PSSession $Session
  4. Para verificar se você está conectado à sua organização do Exchange Online, execute o seguinte comando para ver a lista de todas as caixas de correio da organização.

    Get-Mailbox

Para saber mais ou solucionar problemas para se conectar à sua organização do Exchange Online, confira Conectar-se ao Exchange Online usando o PowerShell remoto.

Voltar ao início

Etapa 2: habilitar log de auditoria de caixas de correio

Depois de conectar-se à sua organização do Exchange Online, use o PowerShell para habilitar o log de auditoria de caixa de correio para uma caixa de correio. Como alternativa, você pode habilitar o log de auditoria de caixa de correio para todas as caixas de correio em sua organização.

Esse exemplo habilita o log de auditoria de caixa de correio para a caixa de correio de Clara Barbosa.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Esse exemplo habilita o log de auditoria de caixa de correio para todas as caixas de correio em sua organização.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Voltar ao início

Etapa 3: especificar ações de proprietário para auditoria

Quando você habilita a auditoria de uma caixa de correio, apenas uma ação (UpdateFolderPermissions) executada pelo proprietário da caixa de correio é auditada por padrão. Você precisa especificar as outras ações de proprietário a serem auditadas. Confira a tabela na seção "Ações de caixa de correio" para ver uma lista e a descrição das ações de proprietário que podem ser auditadas.

Este exemplo adiciona as ações de proprietário MailboxLogin e HardDelete à auditoria da caixa de correio de Sara Melo. Este exemplo pressupõe que a auditoria de caixa de correio já foi habilitada para esta caixa de correio.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

Esta caixa de correio do exemplo permite o log de auditoria para a caixa de correio de Henrique Cunha e especifica que somente a ação MailboxLogin realizada pelo proprietário da caixa de correio será registrada. Esse exemplo substitui a ação padrão UpdateFolderPermissions.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

Este exemplo adiciona as ações de proprietário MailboxLogin, HardDelete e SoftDelete a todas as caixas de correio da organização. Este exemplo pressupõe que a auditoria de caixa de correio já foi habilitada para todas as caixas de correio.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

Voltar ao início

Como saber se funcionou?

Para verificar se você habilitou com êxito o log de auditoria para uma caixa de correio, use o cmdlet Get-Mailbox para recuperar as configurações de auditoria dessa caixa de correio.

Esse exemplo recupera as configurações de auditoria de Clara Barbosa.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Este exemplo recupera as configurações de auditoria de todas as caixas de correio em sua organização.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

O valor de True referente à propriedade AuditEnabled verifica se o log de auditoria da caixa de correio está habilitado.

Voltar ao início

  • Depois que você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registrados no log por padrão. Para registrar em log as ações tomadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas. Confira a seção "Mais informações" para ver uma lista de ações registradas após a habilitação do log de auditoria de caixa de correio e quais ações estão disponíveis para cada tipo de logon de usuário.

  • Você deve usar o PowerShell do Exchange Online para habilitar o log de auditoria de caixa de correio. Você não pode usar o Centro de Conformidade e Segurança do Office 365 ou o Centro de administração do Exchange.

  • Um administrador que recebeu a permissão de Acesso Completo à caixa de correio de um usuário é considerado um usuário representante.

A tabela a seguir lista as ações que podem ser registradas pelo log de auditoria de caixa de correio. A tabela inclui a ação que pode ser registrada para os tipos de logon de usuário diferentes. Na tabela, um Não indica que uma ação não pode ser registrada para esse tipo de logon. Um asterisco (*) indica que a ação é registrada por padrão quando o log de auditoria de caixa de correio está habilitado para a caixa de correio. Como mencionado anteriormente, a única ação de proprietário auditada por padrão quando você ativa a auditoria de caixa de correio é UpdateFolderPermissions. Para registrar outras ações realizadas pelo proprietário da caixa de correio, especifique ações de proprietário adicionais a serem auditadas. Para isso, confira a Etapa 3 na seção "Instruções passo a passo" neste tópico.

Ação

Descrição

Administrador

Representante***

Proprietário

Copiar

Uma mensagem foi copiada para outra pasta.

Sim

Não

Não

Criar

Um item é criado na pasta Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Observe que as ações de criar, enviar e receber mensagens não são auditadas. Criar pastas de caixa de correio também não é uma ação auditada.

Sim*

Sim*

Sim

FolderBind

Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio.

Sim*

Sim**

Não

HardDelete

Uma mensagem foi removida da pasta de Itens Recuperáveis.

Sim*

Sim*

Sim

MailboxLogin

O usuário entrou em sua caixa de correio.

Não

Não

Sim

MessageBind

Uma mensagem foi exibida no painel de visualização ou aberta.

Sim

Não

Não

Mover

Uma mensagem foi movida para outra pasta.

Sim*

Sim

Sim

MoveToDeletedItems

Uma mensagem foi excluída e movida para a pasta Itens Excluídos.

Sim*

Sim

Sim

SendAs

Uma mensagem foi enviada usando a permissão SendAs. Isso significa que outro usuário enviou a mensagem como se fosse o proprietário da caixa de correio.

Sim*

Sim*

Não

SendOnBehalf

Uma mensagem foi enviada usando a permissão SendOnBehalf. Isso significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou.

Sim*

Sim

Não

SoftDelete

Uma mensagem foi excluída permanentemente da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis.

Sim*

Sim*

Sim

Atualizar

Uma mensagem ou suas propriedades foram alteradas.

Sim*

Sim*

Sim

UpdateFolderPermissions

Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas.

Sim*

Sim*

Sim*

Observações : 

  • *  Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.

  • **  As entradas para ações de associação de pastas realizadas pelos representantes são consolidadas. Uma entrada de log é gerada para o acesso individual da pasta dentro de um intervalo de 24 horas.

  • ***  Um administrador que recebeu a permissão de Acesso Completo à caixa de correio de um usuário é considerado um usuário representante.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade de 90 dias das entradas de log de auditoria não for atingido.

  • Use o log de auditoria do Office 365 para procurar atividades de caixa de correio que foram registradas. Você pode procurar uma atividade de uma caixa de correio de um usuário específico. A seguinte captura de tela mostra uma lista de atividades de caixa de correio que você pode pesquisar no log de auditoria do Office 365. Observe que essas atividades são as mesmas ações descritas na seção "Ações de auditoria de caixa de correio" neste tópico.

    Você pode pesquisar o log de auditoria do Office 365 para ações de auditoria de caixa de correio selecionando "Atividades de caixa de correio do Exchange" na lista suspensa de Atividades

    A tabela a seguir descreve cada atividade de caixa de correio que você pode pesquisar e mostra a ação de auditoria de caixa de correio correspondente.

    Atividade no log de auditoria

    Ação de auditoria da caixa de correio

    Criação de item de caixa de correio

    Criar

    Mensagens copiadas para outra pasta

    Copiar

    Usuário entrou na caixa de correio

    MailboxLogin

    Mensagem enviada com permissões Enviar em nome de

    SendOnBehalf

    Mensagens limpas da caixa de correio

    HardDelete

    Mensagens movidas para a pasta Itens Excluídos

    MoveToDeletedItems

    Mensagens movidas para outra pasta

    Mover

    Mensagem enviada com permissões SendAs

    SendAs

    Mensagem atualizada

    Atualizar

    Mensagens excluídas da pasta Itens Excluídos

    SoftDelete

    As atividades Permissões de caixa de correio de representante adicionadas e Permissões de caixa de correio de representante removidas exibidas na captura de tela anterior não estão relacionadas às ações de auditoria. Eles indicam se um administrador atribuiu ou removeu a permissão da caixa de correio FullAccess.

    Para saber mais sobre o log de auditoria do Office 365, confira Pesquisar no log de auditoria no Centro de Conformidade e Segurança do Office 365.

  • Considera-se que as caixas de correio sejam acessadas por um administrador apenas nos seguintes cenários:

    • A Descoberta Eletrônica In-loco no Exchange Online ou Pesquisa de Conteúdo no Office 365 é usada para pesquisar uma caixa de correio.

    • Microsoft Exchange Server MAPI Editor é usado para acessar a caixa de correio.

  • Ao habilitar o log de auditoria para uma caixa de correio, você também pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para cada tipo de logon (administrador, representante, ou proprietário).

  • Para desabilitar o log de auditoria de caixa de correio, execute o seguinte comando:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • As ações auditadas para cada tipo de usuário não são exibidas quando você executa o cmdlet Get-Mailbox. Mas você pode executar os seguintes comandos para exibir todas as ações auditadas para um tipo de logon do usuário específico.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Você também pode exportar um log de auditoria de caixa de correio e especificar as entradas a serem incluídas para um ou mais usuários. Cada entrada no relatório e o log de auditoria inclui informações sobre quem executou a ação e quando, a ação executada e se ela foi bem sucedida. Para obter mais informações, confira Exportar logs de auditoria de caixa de correio.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×