在 Office 365 中启用邮箱审核

在 Office 365 中,你可以打开邮箱审核日志记录,以记录邮箱所有者、委派用户和管理员对邮箱的访问。默认情况下,不会打开 Office 365 中的邮箱审核。启用邮箱的邮箱审核日志记录后,会默认记录管理员和委派用户执行的某些操作。若要记录邮箱所有者执行的操作,必须指定应审核哪些所有者操作。 若要了解详细信息,请参阅邮箱审核日志记录

步骤 1:使用远程 PowerShell 连接到 Exchange Online

步骤 2:启用邮箱审核日志记录

步骤 3:指定要审核的所有者操作

(可选)步骤 4:更改邮箱审核日志中条目的期限

怎样才能知道这是否已正常工作?

邮箱审核日志记录所记录的邮箱操作

详细信息

开始之前

  • 当启用邮箱的邮箱审核日志记录功能时,默认情况下会记录对邮箱的访问以及管理员和委派用户执行的某些操作。若要记录邮箱所有者执行的操作,必须指定应审核哪些所有者操作。请参阅本主题结尾的详细信息部分,查看启用邮箱审核日志记录后记录的操作列表,以及每种用户登录类型可进行的操作。

  • 默认情况下,邮箱审核日志中的条目将保留 90 天。请参见步骤 4 更改条目的保留时间。

  • 必须使用 Exchange Online PowerShell 启用邮箱审核日志记录。不能使用 Exchange 管理中心 (EAC)。

  • 分配了用户邮箱“完全访问”权限的管理员被视为委派用户。

步骤 1:使用远程 PowerShell 连接到 Exchange Online

  1. 在本地计算机上,打开 Windows PowerShell 并运行以下命令。

    $UserCredential = Get-Credential

    在“Windows PowerShell 凭据请求”对话框中,键入 Office 365 全局管理员帐户的用户名和密码,然后单击“确定”。

  2. 运行以下命令。

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. 运行以下命令。

    Import-PSSession $Session
  4. 若要验证是否已连接到 Exchange Online 组织,请运行以下命令以获取组织中所有邮箱的列表。

    Get-Mailbox

有关详细信息,或者如果无法连接到 Exchange Online 组织,请参阅使用远程 PowerShell 连接到 Exchange Online

返回页首

步骤 2:启用邮箱审核日志记录

连接到 Exchange Online 组织之后,使用 PowerShell 为邮箱启用邮箱审核日志记录。或者,您可以为组织中的所有邮箱启用邮箱审核。

本示例为 Pilar Pinilla 的邮箱启用邮箱审核日志记录。

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

本示例为您组织中的所有用户邮箱启用邮箱审核日志记录。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

返回页首

步骤 3:指定要审核的所有者操作

如前所述,启用邮箱审核时,默认情况下不审核邮箱所有者执行的操作。您必须指定要审核的所有者操作。有关可以审核的所有者操作的列表和说明,请参阅邮箱审核日志记录所记录的邮箱操作部分中的表格。

本示例指定将为 Pilar Pinilla 的邮箱记录邮箱所有者对其所执行的 MailboxLogin 和 HardDelete 操作。本示例假设此邮箱已经启用了邮箱审核日志记录。

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

本示例启用 Don Hall 邮箱的邮箱审核日志记录,并指定将记录邮箱所有者执行的 HardDelete 操作。

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner HardDelete

本示例指定将为组织中的所有邮箱记录邮箱所有者对其所执行的 MailboxLogin、HardDelete 和 SoftDelete 操作。本示例假设所有邮箱已经启用了邮箱审核日志记录。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

返回页首

(可选)步骤 4:更改邮箱审核日志中条目的期限

默认情况下,邮箱审核日志中的条目将保留 90 天。当某个条目超过 90 天时,会删除该条目。您可以使用 Set-Mailbox cmdlet 来更改此设置,以便将项目保留更长(或更短)的时间。

本示例将把 Pilar Pinilla 邮箱中邮箱审核日志条目的期限增加到 180 天。

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

本示例将把组织中所有用户邮箱的邮箱审核日志条目的期限减少到 60 天。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditLogAgeLimit 60

返回页首

怎样才能知道这是否已正常工作?

若要验证是否已为某个邮箱成功启用邮箱审核日志记录,请使用 Get-Mailbox cmdlet 检索该邮箱的审核设置。

本示例检索 Pilar Pinilla 的审核设置。

Get-Mailbox "Pilar Pinilla"| FL Audit*

本示例为您组织中的所有用户邮箱检索审核设置。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

AuditEnabled 属性的值为 True 证实已启用审核日志记录。

返回页首

邮箱审核日志记录所记录的邮箱操作

下表列出了可由邮箱审核日志记录进行记录的操作。该表包括可以为不同的用户登录类型记录的操作。在表中,表示无法为该登录类型记录此操作。星号 (*) 表示启用邮箱的邮箱审核日志记录时已默认记录了操作。如前所述,启用邮箱审核日志记录时,默认情况下不审核所有者操作。若要记录邮箱所有者执行的操作,必须指定应审核哪些所有者操作。请参阅步骤 3

操作

说明

管理员

委派用户***

所有者

复制

已将某个邮件复制到另一个文件夹。

支持

不支持

不支持

创建

已在邮箱的“日历”、“联系人”、“笔记”或“任务”文件夹中创建项目;例如,创建了新的会议请求。请注意,不会审核邮件或文件夹创建。

是*

是*

FolderBind

已访问某个邮箱文件夹。当管理员或代理人打开邮箱时,也将记录此操作。

是*

是**

HardDelete

已将某个邮件从“已恢复邮件”文件夹中清除。

是*

是*

MailboxLogin

用户登录其邮箱。

不支持

支持

MessageBind

在预览窗格查看邮件或打开邮件。

支持

不支持

不支持

移动

已将某个邮件移至另一个文件夹。

是*

支持

支持

MoveToDeletedItems

已将某个邮件删除并移至“已删除邮件”文件夹。

是*

支持

支持

SendAs

已使用 SendAs 权限发送某个邮件。这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。

是*

是*

不支持

SendOnBehalf

已使用“代表发送”权限发送邮件。这意味着其他用户代表邮箱所有者发送了邮件。邮件将向收件人说明发送此邮件时使用的身份及实际发送者。

是*

支持

不支持

SoftDelete

已将某个邮件永久删除或从“已删除邮件”文件夹中删除。软删除的项目将移至“可恢复的项目”文件夹。

是*

是*

更新

已更改某个邮件或其属性。

是*

是*

注释: 

  • *  如果为邮箱启用了审核功能,则默认为已审核。

  • **  合并由委派用户执行的文件夹绑定操作的条目。在 24 小时的时间跨度内为每个文件夹访问生成一个日志条目。

  • ***  分配了用户邮箱“完全访问”权限的管理员被视为委派用户。

如果不再需要审核某些类型的邮箱操作,应修改邮箱的审核日志记录配置,以禁用这些操作。在达到审核日志条目期限之前,不会清除现有日志条目。

返回页首

更多信息

  • 查看邮箱审核日志中条目的最简单的方法是使用 Office 365 安全与合规中心 的 Office 365 活动报告。有关信息,请参阅在 Office 365 安全与合规中心中搜索审核日志

  • 只有在以下情况下,才视为由管理员访问邮箱:

  • 为邮箱启用审核日志记录时,也可以指定将记录每种登录类型(管理员、委派用户或所有者)的哪些用户操作(例如,访问、移动或删除邮件)。

  • 若要禁用邮箱审核日志记录,请运行以下命令:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • 你还可以导出邮箱审核日志,并指定为一个或多个用户包含哪些条目。报告和审核日志中的每个条目都包含以下相关信息:执行操作的用户及操作时间、操作内容以及是否成功执行操作。有关详细信息,请参阅导出邮箱审核日志

  • 当您运行 Get-Mailbox cmdlet 时,不显示任何要审核的每种用户类型的操作。但您可以运行以下命令显示特定用户登录类型的所有审核操作。

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    

返回页首

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×