Включение аудита почтовых ящиков в Office 365

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

В Office 365 можно включить ведение журнала аудита почтовый ящик для входа доступ к почтовому ящику, владельцы почтового ящика, делегатов и администраторов. По умолчанию почтовый ящик аудита в Office 365 не включен. Это означает, что почтовый ящик аудита не отображаются в результатах поиска при поиске журнала аудита Office 365 для почтового ящика мероприятия. Однако после включения ведения журнала для почтового ящика пользователя почтовый ящик аудита, можно найти журнал аудита для почтовых ящиков мероприятия. Кроме того когда почтовый ящик аудита включено ведение журнала, некоторые действия, выполняемые администраторами делегатов, и владельцев вошли по умолчанию. Для входа (и найдите) шаг 3 просмотреть дополнительные действия.

Этап 1. Подключение к Exchange Online PowerShell

Этап 2. Включение ведения журнала аудита почтовых ящиков

Этап 3. Указание действий владельца, подлежащих аудиту

Как убедиться, что все получилось?

Этап 1. Подключение к Exchange Online PowerShell

  1. На своем компьютере откройте Windows PowerShell и выполните следующую команду:

    $UserCredential = Get-Credential

    В диалоговом окне Запрос учетных данных Windows PowerShell введите имя пользователям и пароль учетной записи глобального администратора Office 365, а затем нажмите кнопку ОК.

  2. Выполните следующую команду:

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Выполните следующую команду:

    Import-PSSession $Session
  4. Чтобы убедиться в том, что вы подключились к организации в Exchange Online, выполните следующую команду, которая выведет список всех почтовых ящиков в организации:

    Get-Mailbox

Если вам нужны дополнительные сведения или если у вас возникают проблемы с подключением к организации Exchange Online, см. статью Подключение к Exchange Online с помощью удаленного сеанса PowerShell.

К началу

Этап 2. Включение ведения журнала аудита почтовых ящиков

После подключения к организации в Exchange Online используйте PowerShell, чтобы включить ведение журнала аудита почтового ящика. Как вариант, можно включить аудит для всех почтовых ящиков в организации.

В этом примере включается аудит для почтового ящика Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

В этом примере включается аудит для почтовых ящиков всех пользователей в вашей организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

К началу

Этап 3. Указание действий владельца, подлежащих аудиту

Если для почтового ящика включен аудит, по умолчанию регистрируется только одно действие, выполняемое владельцем (UpdateFolderPermissions). Вы должны указать, какие действия владельца подлежат аудиту. В таблице, приведенной в разделе "Действия с почтовыми ящиками", перечислены (вместе с описаниями) действия владельца, которые можно регистрировать в журнале аудита.

В этом примере указывается, что для почтового ящика Pilar Pinilla должны регистрироваться действия MailboxLogin и HardDelete, выполненные его владельцем. Предполагается, что для этого почтового ящика уже включено ведение журнала аудита.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

В этом примере включает ведения журнала для почтового ящика Игорь узлов почтовый ящик аудита и задает регистрацию только MailboxLogin выполняемое действие владельцем почтового ящика. Обратите внимание, что в этом примере перезапишет UpdateFolderPermissions действие по умолчанию.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

В этом примере указывается, что для всех почтовых ящиков в организации должны регистрироваться действия MailboxLogin, HardDelete и SoftDelete, выполненные их владельцами. Предполагается, что для всех почтовых ящиков уже включено ведение журнала аудита.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

К началу

Как убедиться, что все получилось?

Убедиться в том, что ведение журнала аудита почтового ящика успешно включено, можно с помощью командлета Get-Mailbox, который возвращает параметры аудита для этого почтового ящика.

В этом примере показано получение параметров аудита для почтового ящика Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

В этом примере показано получение параметров аудита для почтовых ящиков всех пользователей в организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Значение True для свойства AuditEnabled подтверждает, что ведение журнала аудита почтового ящика включено.

К началу

  • Ведение журнала аудита почтового ящика необходимо включать с помощью Exchange Online PowerShell. Центр безопасности и соответствия требованиям Office 365 или Центр администрирования Exchange использовать нельзя.

  • После включения ведения журнала для почтового ящика почтовый ящик аудита, доступ к действиям почтового ящика и определенных администрирования и делегата вошли по умолчанию. Чтобы войти в действий владельцем почтового ящика, необходимо определить, какие действия владельца для аудита. Чтобы просмотреть включена перечень действий, которые вошли после ведения журнала аудита почтового ящика и какие действия доступны для каждого типа входа пользователя в разделе «Дополнительные сведения».

  • Не удается включить ведение журнала для почтового ящика, связанный с Office 365 группы или групп в Microsoft Teams почтовый ящик аудита.

  • Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем (представителем).

В таблице ниже перечислены действия, которые могут регистрироваться в журнале аудита почтового ящика. В ней указано, какие действия могут регистрироваться для каждого типа пользователей. Значение Нет означает, что действие не может регистрироваться для пользователей этого типа. Звездочка (*) означает, что действие регистрируется по умолчанию после включения журнала аудита почтового ящика. Как уже было сказано выше, единственным действием владельцев, которое регистрируется по умолчанию, является UpdateFolderPermissions. Чтобы в журнале регистрировались другие действия владельца почтового ящика, необходимо выбрать их. См. этап 3 в разделе "Пошаговые инструкции" этой статьи.

Действие

Описание

Администратор

Делегат***

Владелец

Copy

Сообщение было скопировано в другую папку.

Да

Нет

Нет

Create

В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Обратите внимание, что создание, отправка и получение сообщений не подлежат аудиту. Аудиту также не подлежит создание папки почтового ящика.

Да*

Да*

Да

FolderBind

Произошло обращение к почтовому ящику. Это действие также регистрируется, когда администратор или делегат открывает почтовый ящик.

Да*

Да**

Нет

HardDelete

Сообщение было очищено из папки "Элементы с возможностью восстановления".

Да*

Да*

Да

MailboxLogin

Пользователь вошел в свой почтовый ящик.

Нет

Нет

Да

MessageBind

Сообщение было открыто или просмотрено в области предварительного просмотра.

Да

Нет

Нет

Move

Сообщение было перемещено в другую папку.

Да*

Да

Да

MoveToDeletedItems

Сообщение было удалено и перемещено в папку "Удаленные".

Да*

Да

Да

SendAs

Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.

Да*

Да*

Нет

SendOnBehalf

Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.

Да*

Да

Нет

SoftDelete

Сообщение было удалено безвозвратно или удалено из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы с возможностью восстановления".

Да*

Да*

Да

Update

Сообщение или его свойства были изменены.

Да*

Да*

Да

UpdateCalendarDelegation

Делегирование доступа к календарю назначена почтового ящика. Обеспечивает Делегирование доступа к календарю другого пользователя в одной организации разрешений на управление календарь владельца почтового ящика.

Да*

Нет

Да*

UpdateFolderPermissions

Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.

Да*

Да*

Да*

UpdateInboxRules

Правила для папки "Входящие" добавлены, удалены или изменены. Правила для папки "Входящие" используется для обработки сообщений в почтовый ящик пользователя на основании заданных условий и действий правила условий, например перемещение сообщения в указанную папку или удаление сообщения.

Да*

Да*

Да*

Примечания: 

  • *  Аудит по умолчанию, если включен аудит для почтового ящика.

  • **  Объединяются записи для папки привязки действий, выполняемых делегаты. Для доступа к отдельной папки в пределах интервала времени 24 часа создается одна запись журнала.

  • ***  Администратор, назначена разрешение на полный доступ к почтовому ящику пользователя считается делегированного пользователя.

Если вам больше не требуется аудит каких-либо действий с почтовым ящиком, отключите их в параметрах ведения журнала аудита почтового ящика. Существующие записи журнала очищаются только по окончании 90-дневного срока хранения записей в журнале аудита.

  • Используйте журнал аудита Office 365 для поиска зарегистрированных действий с почтовым ящиком. Вы можете искать действия для определенного почтового ящика пользователя. На следующем снимке экрана показан список действий с почтовым ящиком, которые доступны для поиска в журнале аудита Office 365. Обратите внимание, что это те же действия, которые описаны в разделе "Действия аудита почтового ящика" этой статьи.

    Для поиска действий аудита почтового ящика в журнале аудита Office 365 в раскрывающемся списке "Действия" необходимо выбрать пункт "Действия, связанные с почтовыми ящиками Exchange".

    В следующей таблице описаны все действия с почтовым ящиком, доступные для поиска, и указаны соответствующие действия аудита почтового ящика.

    Действие в журнале аудита

    Действие аудита почтового ящика

    Создан элемент почтового ящика

    Create

    Сообщения скопированы в другую папку

    Copy

    Пользователь вошел в почтовый ящик

    MailboxLogin

    Отправить сообщение с использованием разрешений "Отправить от имени"

    SendOnBehalf

    Сообщения удалены из почтового ящика

    HardDelete

    Сообщения перемещены в папку "Удаленные"

    MoveToDeletedItems

    Сообщения перемещены в другую папку

    Move

    Отправить сообщение с использованием разрешений "Отправить как"

    SendAs

    Обновлено сообщение

    Update

    Сообщения удалены из папки "Удаленные"

    SoftDelete

    Добавлено разрешений для папки

    UpdateFolderPermissions

    Измененные разрешения для папки

    UpdateFolderPermissions

    Разрешения, удаленные из папки

    UpdateFolderPermissions

    Пользователь добавлены или удалены с прав доступа представителя к папки «Календарь»

    UpdateCalendarDelegation

    Обратите внимание, что почтовый ящик аудита действия не связаны предыдущего экрана показано действий добавлена делегата почтового ящика и разрешенияудалено делегата почтового ящика. Они указывают ли администратор назначенный или удалены разрешение FullAccess почтового ящика.

    Сведения о журнале аудита Office 365 см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

  • Считается, что администраторы обращаются к почтовым ящикам только в следующих ситуациях:

  • Включая ведение журнала аудита для почтового ящика, вы можете указать действия (например, доступ к почтовому ящику, перемещение или удаление сообщений), которые должны регистрироваться для каждого типа пользователей (администраторов, представителей или владельцев).

  • Чтобы отключить ведение журнала аудита почтовых ящиков, выполните следующую команду:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • При выполнении командлета Get-Mailbox не отображаются действия, регистрируемые в журнале для каждого типа пользователей. Чтобы просмотреть все такие действия для определенного типа пользователей, выполните указанные ниже команды.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Также можно экспортировать журнал аудита почтового ящика и укажите записи для одного или нескольких пользователей. Каждый элемент в отчет и журнала аудита включает сведения о кто выполняемое действие и при выполнении действия, а ли действие выполнено успешно. Дополнительные сведения читайте в статье экспортировать журналы аудита почтового ящика.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×