Включение аудита почтовых ящиков в Office 365

В Office 365 вы можете включить ведение журналов аудита почтовых ящиков, в которые будут записываться сведения о доступе владельцев, представителей и администраторов к этим почтовым ящикам. По умолчанию аудит почтовых ящиков в Office 365 не включен. Это означает, что события, связанные с аудитом почтовых ящиков, не будут отображаться в результатах поиска связанных с журналом аудита Office 365 действий. После включения ведения журналов аудита почтового ящика вы сможете находить в журнале аудита Office 365 связанные с ним действия. Кроме того, при включенной функции ведения журналов аудита почтового ящика в журнале аудита по умолчанию будут регистрироваться действия, выполненные администраторами и представителями. Тем не менее действия, выполненные владельцем почтового ящика не регистрируются по умолчанию. Чтобы в журнале регистрировались действия, выполненные владельцем почтового ящика, необходимо указать, какие действия владельца подлежат аудиту (см. этап 3).

Этап 1. Подключение к Exchange Online PowerShell

Этап 2. Включение ведения журнала аудита почтовых ящиков

Этап 3. Указание действий владельца, подлежащих аудиту

Как убедиться, что все получилось?

Дополнительные сведения см. в статье Ведение журнала аудита почтового ящика

Этап 1. Подключение к Exchange Online PowerShell

  1. На своем компьютере откройте Windows PowerShell и выполните следующую команду:

    $UserCredential = Get-Credential

    В диалоговом окне Запрос учетных данных Windows PowerShell введите имя пользователям и пароль учетной записи глобального администратора Office 365, а затем нажмите кнопку ОК.

  2. Выполните следующую команду:

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Выполните следующую команду:

    Import-PSSession $Session
  4. Чтобы убедиться в том, что вы подключились к организации в Exchange Online, выполните следующую команду, которая выведет список всех почтовых ящиков в организации:

    Get-Mailbox

Если вам нужны дополнительные сведения или если у вас возникают проблемы с подключением к организации Exchange Online, см. статью Подключение к Exchange Online с помощью удаленного сеанса PowerShell.

К началу

Этап 2. Включение ведения журнала аудита почтовых ящиков

После подключения к организации в Exchange Online используйте PowerShell, чтобы включить ведение журнала аудита почтового ящика. Как вариант, можно включить аудит для всех почтовых ящиков в организации.

В этом примере включается аудит для почтового ящика Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

В этом примере включается аудит для почтовых ящиков всех пользователей в вашей организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

К началу

Этап 3. Указание действий владельца, подлежащих аудиту

При включении аудита для почтового ящика действия, выполненные его владельцем, по умолчанию не регистрируются в журнале аудита. Вы должны указать, какие действия владельца подлежат аудиту. В таблице, приведенной в разделе "Действия с почтовыми ящиками", перечислены (вместе с описаниями) действия владельца, которые можно регистрировать в журнале аудита.

В этом примере указывается, что для почтового ящика Pilar Pinilla должны регистрироваться действия MailboxLogin и HardDelete, выполненные его владельцем. Предполагается, что для этого почтового ящика уже включено ведение журнала аудита.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

В этом примере включается ведение журнала аудита для почтового ящика Don Hall и указывается, что в журнале должно регистрироваться только действие MailboxLogin, выполненное владельцем.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

В этом примере указывается, что для всех почтовых ящиков в организации должны регистрироваться действия MailboxLogin, HardDelete и SoftDelete, выполненные их владельцами. Предполагается, что для всех почтовых ящиков уже включено ведение журнала аудита.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

К началу

Как убедиться, что все получилось?

Убедиться в том, что ведение журнала аудита почтового ящика успешно включено, можно с помощью командлета Get-Mailbox, который возвращает параметры аудита для этого почтового ящика.

В этом примере показано получение параметров аудита для почтового ящика Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

В этом примере показано получение параметров аудита для почтовых ящиков всех пользователей в организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Значение True для свойства AuditEnabled подтверждает, что ведение журнала аудита почтового ящика включено.

К началу

  • После того как вы включите ведение журнала аудита почтового ящика, в этом журнале по умолчанию будут регистрироваться события доступа к почтовому ящику и некоторые другие действия администраторов и представителей. Чтобы в журнале регистрировались действия владельца почтового ящика, необходимо указать, какие действия владельца подлежат аудиту. В разделе "Дополнительные сведения" вы найдете список действий, которые регистрируются в журнале после включения аудита почтового ящика, а также действия, доступные пользователям каждого типа.

  • Ведение журнала аудита почтового ящика необходимо включать с помощью Exchange Online PowerShell. Центр безопасности и соответствия требованиям Office 365 или Центр администрирования Exchange использовать нельзя.

  • Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем (представителем).

В таблице ниже перечислены действия, которые могут регистрироваться в журнале аудита почтового ящика. В таблице указано, какие действия могут регистрироваться для каждого типа пользователей. Значение Нет означает, что действие не может регистрироваться для пользователей этого типа. Звездочка (*) означает, что действие регистрируется по умолчанию после включения ведения журнала аудита почтового ящика. Как уже было сказано выше, действия владельцев не регистрируются по умолчанию. Чтобы в журнале регистрировались действия владельца почтового ящика, необходимо указать, какие действия владельца подлежат аудиту. См. этап 3 в разделе "Пошаговые инструкции" этой статьи.

Действие

Описание

Администратор

Делегат***

Владелец

Copy

Сообщение было скопировано в другую папку.

Да

Нет

Нет

Create

В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Обратите внимание, что создание, отправка и получение сообщений не подлежат аудиту. Аудиту также не подлежит создание папки почтового ящика.

Да*

Да*

Да

FolderBind

Произошло обращение к почтовому ящику. Это действие также регистрируется, когда администратор или делегат открывает почтовый ящик.

Да*

Да**

Нет

HardDelete

Сообщение было очищено из папки "Элементы с возможностью восстановления".

Да*

Да*

Да

MailboxLogin

Пользователь вошел в свой почтовый ящик.

Нет

Нет

Да

MessageBind

Сообщение было открыто или просмотрено в области предварительного просмотра.

Да

Нет

Нет

Move

Сообщение было перемещено в другую папку.

Да*

Да

Да

MoveToDeletedItems

Сообщение было удалено и перемещено в папку "Удаленные".

Да*

Да

Да

SendAs

Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.

Да*

Да*

Нет

SendOnBehalf

Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.

Да*

Да

Нет

SoftDelete

Сообщение было удалено безвозвратно или удалено из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы с возможностью восстановления".

Да*

Да*

Да

Update

Сообщение или его свойства были изменены.

Да*

Да*

Да

Примечания : 

  • * Регистрируется по умолчанию, если для почтового ящика включен аудит.

  • ** Записи о действиях делегатов по привязке папок консолидируются. За 24 часа в журнале создается одна запись о доступе к отдельной папке.

  • *** Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегатом.

Если вам больше не требуется аудит каких-либо действий с почтовым ящиком, отключите их в параметрах ведения журнала аудита почтового ящика. Существующие записи журнала очищаются только по окончании 90-дневного срока хранения записей в журнале аудита.

  • Используйте журнал аудита Office 365 для поиска зарегистрированных действий с почтовым ящиком. Вы можете искать действия для определенного почтового ящика пользователя. На следующем снимке экрана показан список действий с почтовым ящиком, которые доступны для поиска в журнале аудита Office 365. Обратите внимание, что это те же действия, которые описаны в разделе "Действия аудита почтового ящика" этой статьи.

    Для поиска действий аудита почтового ящика в журнале аудита Office 365 в раскрывающемся списке "Действия" необходимо выбрать пункт "Действия, связанные с почтовыми ящиками Exchange".

    В следующей таблице описаны все действия с почтовым ящиком, доступные для поиска, и указаны соответствующие действия аудита почтового ящика.

    Действие в журнале аудита

    Действие аудита почтового ящика

    Создан элемент почтового ящика

    Create

    Сообщения скопированы в другую папку

    Copy

    Пользователь вошел в почтовый ящик

    MailboxLogin

    Отправить сообщение с использованием разрешений "Отправить от имени"

    SendOnBehalf

    Сообщения удалены из почтового ящика

    HardDelete

    Сообщения перемещены в папку "Удаленные"

    MoveToDeletedItems

    Сообщения перемещены в другую папку

    Move

    Отправить сообщение с использованием разрешений "Отправить как"

    SendAs

    Обновлено сообщение

    Update

    Сообщения удалены из папки "Удаленные"

    SoftDelete

    Обратите внимание, что действия Добавлены разрешения почтового ящика с делегированным доступом и Удалены разрешения почтового ящика с делегированным доступом, показанные на предыдущем снимке экрана, не связаны с действиями аудита почтового ящика. Они указывают, назначил или удалил администратор разрешение на полный доступ к почтовому ящику.

    Сведения о журнале аудита Office 365 см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

  • Считается, что администраторы обращаются к почтовым ящикам только в следующих ситуациях:

  • Включая ведение журнала аудита для почтового ящика, вы можете указать действия (например, доступ к почтовому ящику, перемещение или удаление сообщений), которые должны регистрироваться для каждого типа пользователей (администраторов, представителей или владельцев).

  • Чтобы отключить ведение журнала аудита почтовых ящиков, выполните следующую команду:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • При выполнении командлета Get-Mailbox не отображаются действия, регистрируемые в журнале для каждого типа пользователей. Чтобы просмотреть все такие действия для определенного типа пользователей, выполните указанные ниже команды.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Вы также можете экспортировать журнал аудита почтового ящика, выбрав записи для одного или нескольких пользователей, которые следует включить в него. Каждая запись в отчете и журнале аудита содержит сведения о том, кто и когда выполнил действие, какое действие было выполнено и успешно ли оно. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×