在 Office 365 中启用邮箱审核

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

在Office 365,您可以启用审核日志记录邮箱所有者、 委托和管理员的邮箱访问邮箱。默认情况下,未打开邮箱审核Office 365中。这意味着邮箱审核的事件将不会显示在结果中搜索邮箱活动的Office 365审核日志时。但是,您打开邮箱审核日志的用户邮箱后,您可以搜索邮箱活动的审核日志。另外,当邮箱审核日志记录处于打开状态,由管理员、 代理人,执行某些操作,默认情况下记录所有者。若要登录 (,然后搜索) 执行的其他操作,请参阅步骤 3。

步骤 1:连接到 Exchange Online PowerShell

步骤 2:启用邮箱审核日志记录

步骤 3:指定要审核的所有者操作

怎样才能知道这是否已正常工作?

步骤 1:连接到 Exchange Online PowerShell

  1. 在本地计算机上,打开 Windows PowerShell 并运行以下命令。

    $UserCredential = Get-Credential

    在“Windows PowerShell 凭据请求”对话框中,键入 Office 365 全局管理员帐户的用户名和密码,然后单击“确定”。

  2. 运行以下命令。

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. 运行以下命令。

    Import-PSSession $Session
  4. 若要验证是否已连接到 Exchange Online 组织,请运行以下命令以获取组织中所有邮箱的列表。

    Get-Mailbox

有关详细信息,或者如果无法连接到 Exchange Online 组织,请参阅使用远程 PowerShell 连接到 Exchange Online

返回页首

步骤 2:启用邮箱审核日志记录

连接到 Exchange Online 组织之后,使用 PowerShell 为邮箱启用邮箱审核日志记录。或者,您可以为组织中的所有邮箱启用邮箱审核。

本示例为 Pilar Pinilla 的邮箱启用邮箱审核日志记录。

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

本示例为您组织中的所有用户邮箱启用邮箱审核日志记录。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

返回页首

步骤 3:指定要审核的所有者操作

启用邮箱审核时,默认情况下仅审核邮箱所有者执行的一项操作 (UpdateFolderPermissions)。必须指定要审核的其他所有者操作。有关可以审核的所有者操作列表和说明,请参阅“邮箱操作”部分中的表格。

本示例将向 Pilar Pinilla 邮箱的邮箱审核添加 MailboxLoginHardDelete 所有者操作。本示例假设此邮箱已启用邮箱审核。

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

此示例中启用邮箱审核日志别大厅邮箱,并指定由邮箱所有者执行MailboxLogin操作将被记录。请注意,此示例会覆盖默认 UpdateFolderPermissions 操作。

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

本示例将向组织中的所有邮箱添加 MailboxLoginHardDeleteSoftDelete 所有者操作。本示例假设所有邮箱已启用邮箱审核。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

返回页首

怎样才能知道这是否已正常工作?

若要验证是否已为某个邮箱成功启用邮箱审核日志记录,请使用 Get-Mailbox cmdlet 检索该邮箱的审核设置。

本示例检索 Pilar Pinilla 的审核设置。

Get-Mailbox "Pilar Pinilla"| FL Audit*

本示例为您组织中的所有用户邮箱检索审核设置。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

AuditEnabled 属性的值为 True 证实已启用邮箱审核日志记录。

返回页首

  • 必须使用 Exchange Online PowerShell 启用邮箱审核日志记录。请勿使用 Office 365 安全和合规性中心或 Exchange 管理中心。

  • 启用日志记录的邮箱的邮箱审核后,默认情况下记录邮箱某些管理员和代理操作的访问权限。若要登录由邮箱所有者执行的操作,必须指定要审核的所有者操作。请参阅"详细信息"部分中,若要查看已启用操作后邮箱审核日志记录是记录的列表,并且可用于每种类型的用户登录哪些操作。

  • 不能启用日志记录与Office 365组或团队Microsoft Teams中的具有关联的邮箱的邮箱审核。

  • 分配了用户邮箱“完全访问”权限的管理员被视为代理用户。

下表列出可由邮箱审核日志记录进行记录的操作。该表包括可为不同的用户登录类型记录的操作。在表中,表示无法为该登录类型记录此操作。星号 (*) 表示启用邮箱的邮箱审核日志记录时已默认记录了操作。如前所述,启用邮箱审核时,默认情况下将审核的唯一一项所有者操作为 UpdateFolderPermissions。要记录邮箱所有者执行的操作,必须指定其他要审核的所有者操作。为此,请参阅本主题“分步说明”一节中的步骤 3。

操作

说明

管理员

委派用户***

所有者

复制

已将某个邮件复制到另一个文件夹。

支持

不支持

不支持

创建

已在邮箱的“日历”、“联系人”、“笔记”或“任务”文件夹中创建项目;例如,创建了新的会议请求。请注意,不会审核邮件的创建、发送或接收。也不会审核邮箱文件夹的创建。

是*

是*

FolderBind

已访问某个邮箱文件夹。当管理员或代理人打开邮箱时,也将记录此操作。

是*

是**

HardDelete

已将某个邮件从“已恢复邮件”文件夹中清除。

是*

是*

MailboxLogin

用户登录其邮箱。

不支持

支持

MessageBind

在预览窗格查看邮件或打开邮件。

支持

不支持

不支持

移动

已将某个邮件移至另一个文件夹。

是*

支持

支持

MoveToDeletedItems

已将某个邮件删除并移至“已删除邮件”文件夹。

是*

支持

支持

SendAs

已使用 SendAs 权限发送某个邮件。这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。

是*

是*

不支持

SendOnBehalf

已使用“代表发送”权限发送邮件。这意味着其他用户代表邮箱所有者发送了邮件。邮件将向收件人说明发送此邮件时使用的身份及实际发送者。

是*

支持

不支持

SoftDelete

已将某个邮件永久删除或从“已删除邮件”文件夹中删除。软删除的项目将移至“可恢复的项目”文件夹。

是*

是*

更新

已更改某个邮件或其属性。

是*

是*

UpdateCalendarDelegation

日历委派已分配给一个邮箱。日历委派提供相同的组织权限管理邮箱所有者的日历中的其他人。

是*

不支持

是*

UpdateFolderPermissions

文件夹权限已更改。文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。

是*

是*

是*

注意: 

  • * 如果为邮箱启用审核默认审核。

  • ** 整合文件夹绑定操作执行代理人的条目。在 24 小时的时间范围内的单个文件夹访问生成一个日志条目。

  • *** 具有已分配给用户的邮箱的完全访问权限的管理员被视为代理用户。

如果不再需要审核某些类型的邮箱操作,应修改邮箱的审核日志记录配置,禁用这些操作。在达到 90 天的审核日志条目期限之前,不会清除现有日志条目。

  • 使用 Office 365 审核日志搜索已记录的邮箱活动。可搜索特定用户邮箱的活动。下面的屏幕截图显示可在 Office 365 审核日志中搜索的邮箱活动列表。请注意,这些活动与本主题“邮箱审核操作”一节中描述的操作相同。

    通过在“活动”下拉列表中选择“Exchange 邮箱活动”,可在 Office 365 审核日志中搜索邮箱审核操作

    下表介绍可搜索的每个邮箱活动,并显示相应的邮箱审核操作。

    审核日志中的活动

    邮箱审核操作

    已创建邮箱项目

    创建

    已将邮件复制到其他文件夹

    复制

    用户已登录到邮箱

    MailboxLogin

    已使用“代表发送”权限发送邮件

    SendOnBehalf

    已从邮箱清除邮件

    HardDelete

    已将邮件移动到“已删除邮件”文件夹

    MoveToDeletedItems

    已将邮件移动到其他文件夹

    移动

    已使用“发送方式”权限发送邮件

    SendAs

    已更新邮件

    更新

    已从“已删除邮件”文件夹中删除邮件

    SoftDelete

    请注意中以前的屏幕截图显示添加代理人的邮箱权限已删除代理邮箱权限活动未与邮箱审核操作。它们表明是否管理员分配或删除的 FullAccess 邮箱权限。

    有关 Office 365 审核日志的详细信息,请参阅在 Office 365 安全与合规中心中搜索审核日志

  • 只有在以下情况下,才视为由管理员访问邮箱:

  • 为邮箱启用审核日志记录时,也可以指定将记录每种登录类型(管理员、委派用户或所有者)的哪些用户操作(例如,访问、移动或删除邮件)。

  • 若要禁用邮箱审核日志记录,请运行以下命令:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • 运行 Get-Mailbox cmdlet 时,不显示要审核的每种用户类型的操作。但可运行以下命令显示特定用户登录类型的所有审核操作。

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • 此外可以导出邮箱审核日志,然后指定包含一个或多个用户的条目。每一项中的报表和审核日志包括有关谁执行该操作时执行的操作,以及是否已成功完成操作的信息。有关详细信息,请参阅导出邮箱审核日志

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×