Habilitar a auditoria de caixa de correio no Office 365

Em Office 365, você pode ativar o log de auditoria de caixa de correio para fazer logon de acesso de caixa de correio por proprietários de caixa de correio, representantes e administradores. Por padrão, a auditoria de caixa de correio no Office 365 não está ativada. Após habilitar o log de auditoria de caixa de correio para uma caixa de correio, algumas ações executadas pelos administradores e representantes são registradas em log, por padrão. Para registrar em log as ações executadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas. Para saber mais, confira Log de auditoria de caixa de correio.

Etapa 1: conectar-se ao Exchange Online usando o PowerShell Remoto

Etapa 2: habilitar log de auditoria de caixas de correio

Etapa 3: especificar ações de proprietário para auditoria

(Opcional) Etapa 4: alterar o limite de idade para entradas no log de auditoria de caixa de correio

Como saber se funcionou?

Ações de caixa de correio registradas pelo log de auditoria de caixa de correio

Mais informações

Antes de começar

  • Quando você habilita o log de auditoria de caixa de correio para uma caixa de correio, o acesso à caixa de correio e algumas ações executadas por administradores e representantes são registrados no log por padrão. Para registrar em log as ações tomadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas. Confira a seção Mais informações ao final deste tópico para ver uma lista de ações registradas após a habilitação do log de auditoria de caixa de correio para uma caixa de correio, e quais ações estão disponíveis para cada tipo de logon de usuário.

  • Entradas no log de auditoria de caixa de correio são mantidas por 90 dias, por padrão. Confira a etapa 4 para alterar a quantidade de tempo que as entradas são mantidas.

  • Você deve usar o PowerShell do Exchange Online para habilitar o log de auditoria de caixa de correio. Você não pode usar o EAC (Centro de administração do Exchange).

  • Um administrador que recebeu a permissão de Acesso Completo à caixa de correio de um usuário é considerado um usuário representante.

Etapa 1: conectar-se ao Exchange Online usando o PowerShell Remoto

  1. Abra o Windows PowerShell no computador local e execute o comando a seguir.

    $UserCredential = Get-Credential

    Na caixa de diálogo Solicitação de Credenciais do Windows PowerShell, digite o nome de usuário e a senha de sua conta de administrador global do Office 365 e clique em OK.

  2. Execute o comando a seguir.

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Execute o comando a seguir.

    Import-PSSession $Session
  4. Para verificar se você está conectado à sua organização do Exchange Online, execute o seguinte comando para ver a lista de todas as caixas de correio da organização.

    Get-Mailbox

Para saber mais ou solucionar problemas para se conectar à sua organização do Exchange Online, confira Conectar-se ao Exchange Online usando o PowerShell remoto.

Voltar ao início

Etapa 2: habilitar log de auditoria de caixas de correio

Depois de conectar-se à sua organização do Exchange Online, use o PowerShell para habilitar o log de auditoria de caixa de correio para uma caixa de correio. Como alternativa, você pode habilitar o log de auditoria de caixa de correio para todas as caixas de correio em sua organização.

Esse exemplo habilita o log de auditoria de caixa de correio para a caixa de correio de Clara Barbosa.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Esse exemplo habilita o log de auditoria de caixa de correio para todas as caixas de correio em sua organização.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Voltar ao início

Etapa 3: especificar ações de proprietário para auditoria

Como explicado anteriormente, quando você habilita a auditoria de uma caixa de correio, as ações executadas pelo proprietário da caixa de correio não são auditadas por padrão. Você precisa especificar quais ações de proprietário devem ser auditadas. Confira a tabela na seção Ações de caixa de correio registradas pelo log de auditoria de caixa de correio para obter uma lista e a descrição das ações de proprietário que podem ser auditadas.

Este exemplo especifica que as ações MailboxLogin e HardDelete executadas pelo proprietário da caixa de correio serão registradas da caixa de correio de Clara Barbosa. Este exemplo pressupõe que o registro de auditoria de caixa de correio já foi habilitado para essa caixa de correio.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

Esta caixa de correio do exemplo permite log de auditoria para caixa de correio de Fábio Pena e especifica que a ação HardDelete realizada pelo proprietário da caixa de correio será registrada.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner HardDelete

Este exemplo especifica que as ações MailboxLogin, HardDelete e SoftDelete executadas pelo proprietário da caixa de correio serão registradas para todas as caixas de correio. Este exemplo pressupõe que o registro de auditoria de caixa de correio já foi habilitado para todas as caixas de correio.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

Voltar ao início

(Opcional) Etapa 4: alterar o limite de idade para entradas no log de auditoria de caixa de correio

Por padrão, as entradas no log de auditoria de caixa de correio são mantidas por 90 dias. Quando uma entrada tiver mais de 90 dias, ela é excluída. Você pode usar o cmdlet Set-Mailbox para alterar essa configuração para que os itens sejam mantidos por um período maior (ou menor).

Este exemplo aumenta o limite de idade para entradas do log de auditoria de caixa de correio na caixa de correio de Clara Barbosa para 180 dias.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

Este exemplo diminui o limite de idade para entradas de log de auditoria de caixa de correio para todas as caixas de correio do usuário em sua organização para 60 dias.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditLogAgeLimit 60

Voltar ao início

Como você sabe se funcionou?

Para verificar se você habilitou com êxito o log de auditoria para uma caixa de correio, use o cmdlet Get-Mailbox para recuperar as configurações de auditoria dessa caixa de correio.

Esse exemplo recupera as configurações de auditoria de Clara Barbosa.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Este exemplo recupera as configurações de auditoria de todas as caixas de correio em sua organização.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

O valor de True referente à propriedade AuditEnabled verifica se o log de auditoria está habilitado.

Voltar ao início

Ações de caixa de correio registradas pelo log de auditoria de caixa de correio

A tabela a seguir lista as ações que podem ser registradas por caixa de correio do log de auditoria. A tabela inclui a ação que pode ser registrada para os tipos de logon do usuário diferente. Na tabela, um Não indica que uma ação não pode ser conectada para esse tipo de logon. Um asterisco (*) indica que a ação é registrada por padrão quando o log de auditoria de caixa de correio está habilitado para a caixa de correio. Como mencionado anteriormente, nenhuma ação de proprietário é auditada por padrão quando você habilita o log de auditoria para uma caixa de correio. Para registrar em log as ações tomadas pelo proprietário da caixa de correio, você deve especificar quais ações do proprietário devem ser auditadas. Confira Etapa 3.

Ação

Descrição

Administrador

Representante***

Proprietário

Copiar

Uma mensagem foi copiada a outra pasta.

Sim

Não

Não

Criar

Um item é criado na pasta Calendário, Contatos, Anotações ou Tarefas da caixa de correio. Por exemplo, uma nova solicitação de reunião é criada. Observe que a criação de mensagens ou pastas não é auditada.

Sim*

Sim*

Sim

FolderBind

Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio.

Sim*

Sim**

Não

HardDelete

Uma mensagem foi removida da pasta de Itens Recuperáveis.

Sim*

Sim*

Sim

MailboxLogin

O usuário entrou em sua caixa de correio.

Não

Não

Sim

MessageBind

Uma mensagem foi exibida no painel de visualização ou aberta.

Sim

Não

Não

Mover

Uma mensagem foi movida para outra pasta.

Sim*

Sim

Sim

MoveToDeletedItems

Uma mensagem foi excluída e movida para a pasta Itens Excluídos.

Sim*

Sim

Sim

SendAs

Uma mensagem foi enviada usando a permissão SendAs. Isto significa que outro usuário enviou a mensagem apesar de ter vindo do proprietário da caixa de correio.

Sim*

Sim*

Não

SendOnBehalf

Uma mensagem foi enviada usando a permissão SendOnBehalf. Isso significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou.

Sim*

Sim

Não

SoftDelete

Uma mensagem foi excluída permanentemente da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis.

Sim*

Sim*

Sim

Atualizar

Uma mensagem ou suas propriedades foram alteradas.

Sim*

Sim*

Sim

Observações : 

  • *  Auditado por padrão se a auditoria estiver habilitada para uma caixa de correio.

  • **  As entradas para ações de associação de pastas realizadas pelos representantes são consolidadas. Uma entrada de log é gerada para o acesso individual da pasta dentro de um intervalo de 24 horas.

  • ***  Um administrador que recebeu a permissão de Acesso Completo à caixa de correio de um usuário é considerado um usuário representante.

Caso não seja mais necessário fazer a auditoria de alguns tipos de ações da caixa de correio, modifique a configuração de registro em log de auditoria da caixa de correio para desabilitar essas ações. Entradas de log existentes não serão limpas enquanto o limite de idade das entradas de log de auditoria não for atingido.

Voltar ao início

Mais informações

  • A maneira mais fácil de ver entradas em um log de auditoria de caixa de correio é usar o relatório de atividade do Office 365 no Centro de Conformidade e Segurança do Office 365. Veja mais informações em Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365.

  • Considera-se que as caixas de correio sejam acessadas por um administrador apenas nos seguintes cenários:

    • A Descoberta Eletrônica In-loco ou Pesquisa de Conteúdo é usada para pesquisar uma caixa de correio.

    • Microsoft Exchange Server MAPI Editor é usado para acessar a caixa de correio.

  • Ao habilitar o log de auditoria para uma caixa de correio, você também pode especificar quais ações do usuário (por exemplo, acesso, movimentação ou exclusão de uma mensagem) serão registradas para cada tipo de logon (administrador, representante, ou proprietário).

  • Para desabilitar o log de auditoria de caixa de correio, execute o seguinte comando:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Você também pode exportar um log de auditoria de caixa de correio e especificar que as entradas sejam incluídas para um ou mais usuários. Cada entrada no relatório e o log de auditoria inclui informações sobre quem executou a ação e quando, a ação executada e se ela foi bem sucedida. Para obter mais informações, confira Exportar logs de auditoria de caixa de correio.

  • Todas as ações auditadas para cada tipo de usuário não são exibidas quando você executa o cmdlet Get-Mailbox. Mas você pode executar os seguintes comandos para exibir todas as ações auditadas para um tipo de logon do usuário específico.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    

Voltar ao início

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×