Включение аудита почтовых ящиков в Office 365

В Office 365 вы можете включить ведение журнала аудита почтового ящика, чтобы регистрировать сведения о доступе владельца, делегатов и администраторов к этому почтовому ящику. По умолчанию в Office 365 не включен аудит почтовых ящиков. Когда включено ведение журнала аудита почтового ящика, в этот журнал по умолчанию вносятся некоторые действия администраторов и делегатов. Для записи действий владельца почтового ящика необходимо указать, какие именно действия должны регистрироваться в журнале аудита. Дополнительные сведения см. в статье Ведение журнала аудита почтового ящика.

Этап 1. Подключение к Exchange Online с помощью удаленного сеанса PowerShell

Этап 2. Включение ведения журнала аудита почтовых ящиков

Этап 3. Указание действий владельца, подлежащих аудиту

Этап 4 (необязательно). Изменение срока хранения записей в журнале аудита почтового ящика

Как убедиться, что все получилось?

Действия, которые регистрируются в журнале аудита почтового ящика

Дополнительные сведения

Подготовка

  • После того как вы включите ведение журнала аудита почтового ящика, в этом журнале по умолчанию будут регистрироваться события доступа к почтовому ящику и некоторые другие действия администраторов и делегатов. Чтобы в журнале регистрировались действия владельца почтового ящика, необходимо указать, какие действия владельца подлежат аудиту. В разделе Дополнительные сведения в конце этой статьи вы найдете список действий, которые регистрируются в журнале после включения аудита почтового ящика, а также действия, доступные пользователю каждого типа.

  • По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. Если вам нужно изменить срок хранения записей, см. этап 4.

  • Ведение журнала аудита почтового ящика необходимо включать с помощью Exchange Online PowerShell. Центр администрирования Exchange использовать нельзя.

  • Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем (делегатом).

Этап 1. Подключение к Exchange Online с помощью удаленного сеанса PowerShell

  1. На своем компьютере откройте Windows PowerShell и выполните следующую команду:

    $UserCredential = Get-Credential

    В диалоговом окне Запрос учетных данных Windows PowerShell введите имя пользователям и пароль учетной записи глобального администратора Office 365, а затем нажмите кнопку ОК.

  2. Выполните следующую команду:

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Выполните следующую команду:

    Import-PSSession $Session
  4. Чтобы убедиться в том, что вы подключились к организации в Exchange Online, выполните следующую команду, которая выведет список всех почтовых ящиков в организации:

    Get-Mailbox

Если вам нужны дополнительные сведения или если у вас возникают проблемы с подключением к организации Exchange Online, см. статью Подключение к Exchange Online с помощью удаленного сеанса PowerShell.

К началу

Этап 2. Включение ведения журнала аудита почтовых ящиков

После подключения к организации в Exchange Online используйте PowerShell, чтобы включить ведение журнала аудита почтового ящика. Как вариант, можно включить аудит для всех почтовых ящиков в организации.

В этом примере включается аудит для почтового ящика Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

В этом примере включается аудит для почтовых ящиков всех пользователей в вашей организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

К началу

Этап 3. Указание действий владельца, подлежащих аудиту

Как уже было сказано ранее, при включении аудита для почтового ящика действия, выполняемые его владельцем, по умолчанию не регистрируются в журнале аудита. Вы должны указать, какие действия владельца подлежат аудиту. В таблице раздела Действия с почтовыми ящиками, которые регистрируются в журнале аудита перечислены (вместе с описаниями) действия владельца, которые можно регистрировать в журнале аудита.

В этом примере указывается, что нужно регистрировать выполняемые владельцем действия MailboxLogin и HardDelete для почтового ящика Pilar Pinilla. Предполагается, что для этого почтового ящика уже включено ведение журнала аудита.

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

В этом примере включается ведение журнала аудита для почтового ящика Don Hall и указывается, что нужно регистрировать в журнале действие HardDelete, выполняемое владельцем.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner HardDelete

В этом примере указывается, что нужно регистрировать выполняемые владельцем действия MailboxLogin, HardDelete и SoftDelete для всех почтовых ящиков в организации. Предполагается, что для всех почтовых ящиков уже включено ведение журнала аудита.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

К началу

Этап 4 (необязательно). Изменение срока хранения записей в журнале аудита почтового ящика

По умолчанию записи в журнале аудита почтового ящика хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется. С помощью командлета Set-Mailbox можно изменить это значение, чтобы увеличить или уменьшить срок хранения элементов.

В этом примере срок хранения записей в журнале аудита почтового ящика Pilar Pinilla увеличивается до 180 дней.

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

В этом примере срок хранения записей в журнале аудита для почтовых ящиков всех пользователей в организации уменьшается до 60 дней.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditLogAgeLimit 60

К началу

Как убедиться, что все получилось?

Убедиться в том, что ведение журнала аудита почтового ящика успешно включено, можно с помощью командлета Get-Mailbox, который возвращает параметры аудита для этого почтового ящика.

В этом примере показано получение параметров аудита для почтового ящика Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

В этом примере показано получение параметров аудита для почтовых ящиков всех пользователей в организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Значение True для свойства AuditEnabled подтверждает, что ведение журнала аудита включено.

К началу

Действия, которые регистрируются в журнале аудита почтового ящика

В таблице ниже перечислены действия, которые могут регистрироваться в журнале аудита почтового ящика. В таблице указано, какое действие может регистрироваться для каждого типа пользователя. Значение Нет означает, что действие не может регистрироваться для пользователя этого типа. Звездочка (*) означает, что действие регистрируется по умолчанию после включения ведения журнала аудита для почтового ящика. Как уже было сказано выше, действия владельцев не регистрируются по умолчанию. Чтобы в журнале регистрировались действия владельца почтового ящика, необходимо указать, какие действия владельца подлежат аудиту. См. этап 3.

Действие

Описание

Администратор

Делегат***

Владелец

Copy

Сообщение было скопировано в другую папку.

Да

Нет

Нет

Create

В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Создание сообщения или папки не регистрируется.

Да*

Да*

Да

FolderBind

Произошло обращение к почтовому ящику. Это действие также регистрируется, когда администратор или делегат открывает почтовый ящик.

Да*

Да**

Нет

HardDelete

Сообщение было очищено из папки "Элементы с возможностью восстановления".

Да*

Да*

Да

MailboxLogin

Пользователь вошел в свой почтовый ящик.

Нет

Нет

Да

MessageBind

Сообщение было открыто или просмотрено в области предварительного просмотра.

Да

Нет

Нет

Move

Сообщение было перемещено в другую папку.

Да*

Да

Да

MoveToDeletedItems

Сообщение было удалено и перемещено в папку "Удаленные".

Да*

Да

Да

SendAs

Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.

Да*

Да*

Нет

SendOnBehalf

Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.

Да*

Да

Нет

SoftDelete

Сообщение было удалено безвозвратно или удалено из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы с возможностью восстановления".

Да*

Да*

Да

Update

Сообщение или его свойства были изменены.

Да*

Да*

Да

Примечания : 

  • * Регистрируется по умолчанию, если для почтового ящика включен аудит.

  • ** Записи о действиях делегатов по привязке папок консолидируются. За 24 часа в журнале создается одна запись о доступе к отдельной папке.

  • *** Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегатом.

Если вам больше не требуется аудит каких-то действий с почтовым ящиком, отключите их в параметрах ведения журнала аудита почтового ящика. Существующие записи журнала очищаются только по окончании срока хранения записей в журнале аудита.

К началу

Дополнительные сведения

  • Самый простой способ просмотреть записи в журнале аудита почтового ящика — использовать отчет об активности Office 365 в Центре безопасности и соответствия требованиям. Дополнительные сведения см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

  • Считается, что администраторы обращаются к почтовым ящикам только в следующих ситуациях:

    • Для поиска в почтовом ящике используется обнаружение электронных данных на месте или поиск контента.

    • Средство MAPI Editor для Microsoft Exchange Server используется для доступа к почтовому ящику.

  • Включая ведение журнала аудита для почтового ящика, вы можете указать действия пользователя (например, доступ к почтовому ящику, перемещение или удаление сообщений), которые должны регистрироваться для каждого типа входа (в качестве администратора, делегата или владельца).

  • Чтобы отключить ведение журнала аудита почтовых ящиков, выполните следующую команду:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • Вы также можете экспортировать журнал аудита почтового ящика, выбрав записи для одного или нескольких пользователей, которые следует включить в него. Каждая запись в отчете и журнале аудита содержит сведения о том, кто и когда выполнил действие, какое действие было выполнено и успешно ли оно. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.

  • При выполнении командлета Get-Mailbox отображаются не все действия, регистрируемые в журнале для каждого типа пользователей. Чтобы просмотреть все такие действия для пользователя определенного типа, выполните указанные ниже команды.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    

К началу

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×