Включение аудита почтовых ящиков в Office 365

В Office 365 вы можете включить ведение журналов аудита почтовых ящиков, в которые будут записываться сведения о доступе владельцев, делегатов и администраторов к этим почтовым ящикам. По умолчанию аудит почтовых ящиков в Office 365 не включен. Это означает, что события, связанные с аудитом почтовых ящиков, не будут отображаться в результатах поиска действий в журнале аудита Office 365. После включения журналов аудита почтового ящика вы сможете находить в журнале аудита связанные с ним действия. Кроме того, при включенном ведении журналов аудита почтового ящика в журнале по умолчанию будут регистрироваться некоторые действия, выполненные администраторами, делегатами и владельцами. Чтобы регистрировать (а затем искать) в журнале дополнительные действия, см. этап 3.

Этап 1. Подключение к Exchange Online PowerShell

Этап 2. Включение ведения журнала аудита почтовых ящиков

Этап 3. Указание действий владельца, подлежащих аудиту

Как убедиться, что все получилось?

Дополнительные сведения см. в статье Ведение журнала аудита почтового ящика

Этап 1. Подключение к Exchange Online PowerShell

  1. На своем компьютере откройте Windows PowerShell и выполните следующую команду:

    $UserCredential = Get-Credential

    В диалоговом окне Запрос учетных данных Windows PowerShell введите имя пользователям и пароль учетной записи глобального администратора Office 365, а затем нажмите кнопку ОК.

  2. Выполните следующую команду:

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. Выполните следующую команду:

    Import-PSSession $Session
  4. Чтобы убедиться в том, что вы подключились к организации в Exchange Online, выполните следующую команду, которая выведет список всех почтовых ящиков в организации:

    Get-Mailbox

Если вам нужны дополнительные сведения или если у вас возникают проблемы с подключением к организации Exchange Online, см. статью Подключение к Exchange Online с помощью удаленного сеанса PowerShell.

К началу

Этап 2. Включение ведения журнала аудита почтовых ящиков

После подключения к организации в Exchange Online используйте PowerShell, чтобы включить ведение журнала аудита почтового ящика. Как вариант, можно включить аудит для всех почтовых ящиков в организации.

В этом примере включается аудит для почтового ящика Pilar Pinilla.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

В этом примере включается аудит для почтовых ящиков всех пользователей в вашей организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

К началу

Этап 3. Указание действий владельца, подлежащих аудиту

Если для почтового ящика включен аудит, по умолчанию регистрируется только одно действие, выполняемое владельцем (UpdateFolderPermissions). Вы должны указать, какие действия владельца подлежат аудиту. В таблице, приведенной в разделе "Действия с почтовыми ящиками", перечислены (вместе с описаниями) действия владельца, которые можно регистрировать в журнале аудита.

В этом примере указывается, что для почтового ящика Pilar Pinilla должны регистрироваться действия MailboxLogin и HardDelete, выполненные его владельцем. Предполагается, что для этого почтового ящика уже включено ведение журнала аудита.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

В этом примере включается ведение журнала аудита для почтового ящика Don Hall и указывается, что в журнале должно регистрироваться только действие MailboxLogin, выполненное владельцем. Обратите внимание, что при этом перезаписывается используемое по умолчанию действие UpdateFolderPermissions.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

В этом примере указывается, что для всех почтовых ящиков в организации должны регистрироваться действия MailboxLogin, HardDelete и SoftDelete, выполненные их владельцами. Предполагается, что для всех почтовых ящиков уже включено ведение журнала аудита.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

К началу

Как убедиться, что все получилось?

Убедиться в том, что ведение журнала аудита почтового ящика успешно включено, можно с помощью командлета Get-Mailbox, который возвращает параметры аудита для этого почтового ящика.

В этом примере показано получение параметров аудита для почтового ящика Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

В этом примере показано получение параметров аудита для почтовых ящиков всех пользователей в организации.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Значение True для свойства AuditEnabled подтверждает, что ведение журнала аудита почтового ящика включено.

К началу

  • После того как вы включите ведение журнала аудита почтового ящика, в этом журнале по умолчанию будут регистрироваться события доступа к почтовому ящику и некоторые другие действия администраторов и представителей. Чтобы в журнале регистрировались действия владельца почтового ящика, необходимо указать, какие действия владельца подлежат аудиту. В разделе "Дополнительные сведения" вы найдете список действий, которые регистрируются в журнале после включения аудита почтового ящика, а также действия, доступные пользователям каждого типа.

  • Ведение журнала аудита почтового ящика необходимо включать с помощью Exchange Online PowerShell. Центр безопасности и соответствия требованиям Office 365 или Центр администрирования Exchange использовать нельзя.

  • Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегированным пользователем (представителем).

В таблице ниже перечислены действия, которые могут регистрироваться в журнале аудита почтового ящика. В ней указано, какие действия могут регистрироваться для каждого типа пользователей. Значение Нет означает, что действие не может регистрироваться для пользователей этого типа. Звездочка (*) означает, что действие регистрируется по умолчанию после включения журнала аудита почтового ящика. Как уже было сказано выше, единственным действием владельцев, которое регистрируется по умолчанию, является UpdateFolderPermissions. Чтобы в журнале регистрировались другие действия владельца почтового ящика, необходимо выбрать их. См. этап 3 в разделе "Пошаговые инструкции" этой статьи.

Действие

Описание

Администратор

Делегат***

Владелец

Copy

Сообщение было скопировано в другую папку.

Да

Нет

Нет

Create

В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Обратите внимание, что создание, отправка и получение сообщений не подлежат аудиту. Аудиту также не подлежит создание папки почтового ящика.

Да*

Да*

Да

FolderBind

Произошло обращение к почтовому ящику. Это действие также регистрируется, когда администратор или делегат открывает почтовый ящик.

Да*

Да**

Нет

HardDelete

Сообщение было очищено из папки "Элементы с возможностью восстановления".

Да*

Да*

Да

MailboxLogin

Пользователь вошел в свой почтовый ящик.

Нет

Нет

Да

MessageBind

Сообщение было открыто или просмотрено в области предварительного просмотра.

Да

Нет

Нет

Move

Сообщение было перемещено в другую папку.

Да*

Да

Да

MoveToDeletedItems

Сообщение было удалено и перемещено в папку "Удаленные".

Да*

Да

Да

SendAs

Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение так, как будто оно было отправлено владельцем почтового ящика.

Да*

Да*

Нет

SendOnBehalf

Сообщение было отправлено с использованием разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле.

Да*

Да

Нет

SoftDelete

Сообщение было удалено безвозвратно или удалено из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы с возможностью восстановления".

Да*

Да*

Да

Update

Сообщение или его свойства были изменены.

Да*

Да*

Да

UpdateFolderPermissions

Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.

Да*

Да*

Да*

Примечания: 

  • * Регистрируется по умолчанию, если для почтового ящика включен аудит.

  • ** Записи о действиях делегатов по привязке папок консолидируются. За 24 часа в журнале создается одна запись о доступе к отдельной папке.

  • *** Администратор, которому предоставлены разрешения на полный доступ к почтовому ящику пользователя, считается делегатом.

Если вам больше не требуется аудит каких-либо действий с почтовым ящиком, отключите их в параметрах ведения журнала аудита почтового ящика. Существующие записи журнала очищаются только по окончании 90-дневного срока хранения записей в журнале аудита.

  • Используйте журнал аудита Office 365 для поиска зарегистрированных действий с почтовым ящиком. Вы можете искать действия для определенного почтового ящика пользователя. На следующем снимке экрана показан список действий с почтовым ящиком, которые доступны для поиска в журнале аудита Office 365. Обратите внимание, что это те же действия, которые описаны в разделе "Действия аудита почтового ящика" этой статьи.

    Для поиска действий аудита почтового ящика в журнале аудита Office 365 в раскрывающемся списке "Действия" необходимо выбрать пункт "Действия, связанные с почтовыми ящиками Exchange".

    В следующей таблице описаны все действия с почтовым ящиком, доступные для поиска, и указаны соответствующие действия аудита почтового ящика.

    Действие в журнале аудита

    Действие аудита почтового ящика

    Создан элемент почтового ящика

    Create

    Сообщения скопированы в другую папку

    Copy

    Пользователь вошел в почтовый ящик

    MailboxLogin

    Отправить сообщение с использованием разрешений "Отправить от имени"

    SendOnBehalf

    Сообщения удалены из почтового ящика

    HardDelete

    Сообщения перемещены в папку "Удаленные"

    MoveToDeletedItems

    Сообщения перемещены в другую папку

    Move

    Отправить сообщение с использованием разрешений "Отправить как"

    SendAs

    Обновлено сообщение

    Update

    Сообщения удалены из папки "Удаленные"

    SoftDelete

    Обратите внимание, что действия Добавлены разрешения почтового ящика с делегированным доступом и Удалены разрешения почтового ящика с делегированным доступом, показанные на предыдущем снимке экрана, не связаны с действиями аудита почтового ящика. Они указывают, назначил или удалил администратор разрешение на полный доступ к почтовому ящику.

    Сведения о журнале аудита Office 365 см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365.

  • Считается, что администраторы обращаются к почтовым ящикам только в следующих ситуациях:

  • Включая ведение журнала аудита для почтового ящика, вы можете указать действия (например, доступ к почтовому ящику, перемещение или удаление сообщений), которые должны регистрироваться для каждого типа пользователей (администраторов, представителей или владельцев).

  • Чтобы отключить ведение журнала аудита почтовых ящиков, выполните следующую команду:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • При выполнении командлета Get-Mailbox не отображаются действия, регистрируемые в журнале для каждого типа пользователей. Чтобы просмотреть все такие действия для определенного типа пользователей, выполните указанные ниже команды.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Вы также можете экспортировать журнал аудита почтового ящика, выбрав записи для одного или нескольких пользователей, которые следует включить в него. Каждая запись в отчете и журнале аудита содержит сведения о том, кто и когда выполнил действие, какое действие было выполнено и успешно ли оно. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×