在 Office 365 中启用邮箱审核

在 Office 365 中,可启用邮箱审核日志记录,记录邮箱所有者、代理人和管理员的邮箱访问。默认情况下,未打开 Office 365 中的邮箱审核。这意味着在 Office 365 审核日志中搜索邮箱活动时,邮箱审核事件不会显示在结果中。但为邮箱启用邮箱审核日志记录后,可在 Office 365 审核日志中搜索邮箱活动。此外,如果启用邮箱审核日志记录,会默认记录管理员、代理人和所有者执行的某些操作。要记录(然后搜索)其他操作,请参阅步骤 3。

步骤 1:连接到 Exchange Online PowerShell

步骤 2:启用邮箱审核日志记录

步骤 3:指定要审核的所有者操作

怎样才能知道这是否已正常工作?

要了解详细信息,请参阅邮箱审核日志记录

步骤 1:连接到 Exchange Online PowerShell

  1. 在本地计算机上,打开 Windows PowerShell 并运行以下命令。

    $UserCredential = Get-Credential

    在“Windows PowerShell 凭据请求”对话框中,键入 Office 365 全局管理员帐户的用户名和密码,然后单击“确定”。

  2. 运行以下命令。

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. 运行以下命令。

    Import-PSSession $Session
  4. 若要验证是否已连接到 Exchange Online 组织,请运行以下命令以获取组织中所有邮箱的列表。

    Get-Mailbox

有关详细信息,或者如果无法连接到 Exchange Online 组织,请参阅使用远程 PowerShell 连接到 Exchange Online

返回页首

步骤 2:启用邮箱审核日志记录

连接到 Exchange Online 组织之后,使用 PowerShell 为邮箱启用邮箱审核日志记录。或者,您可以为组织中的所有邮箱启用邮箱审核。

本示例为 Pilar Pinilla 的邮箱启用邮箱审核日志记录。

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

本示例为您组织中的所有用户邮箱启用邮箱审核日志记录。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

返回页首

步骤 3:指定要审核的所有者操作

启用邮箱审核时,默认情况下仅审核邮箱所有者执行的一项操作 (UpdateFolderPermissions)。必须指定要审核的其他所有者操作。有关可以审核的所有者操作列表和说明,请参阅“邮箱操作”部分中的表格。

本示例将向 Pilar Pinilla 邮箱的邮箱审核添加 MailboxLoginHardDelete 所有者操作。本示例假设此邮箱已启用邮箱审核。

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

本示例为 Don Hall 的邮箱启用邮箱审核日志记录,并指定仅记录邮箱所有者执行的 MailboxLogin 操作。请注意,本示例将覆盖默认 UpdateFolderPermissions 操作。

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

本示例将向组织中的所有邮箱添加 MailboxLoginHardDeleteSoftDelete 所有者操作。本示例假设所有邮箱已启用邮箱审核。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

返回页首

怎样才能知道这是否已正常工作?

若要验证是否已为某个邮箱成功启用邮箱审核日志记录,请使用 Get-Mailbox cmdlet 检索该邮箱的审核设置。

本示例检索 Pilar Pinilla 的审核设置。

Get-Mailbox "Pilar Pinilla"| FL Audit*

本示例为您组织中的所有用户邮箱检索审核设置。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

AuditEnabled 属性的值为 True 证实已启用邮箱审核日志记录。

返回页首

  • 启用邮箱的邮箱审核日志记录功能后,默认情况下会记录对邮箱的访问以及管理员和代理执行的某些操作。要记录邮箱所有者执行的操作,必须指定应审核哪些所有者操作。请参阅“详细信息”部分,查看启用邮箱审核日志记录后记录的操作列表,以及每种用户登录类型可进行的操作。

  • 必须使用 Exchange Online PowerShell 启用邮箱审核日志记录。请勿使用 Office 365 安全和合规性中心或 Exchange 管理中心。

  • 分配了用户邮箱“完全访问”权限的管理员被视为代理用户。

下表列出可由邮箱审核日志记录进行记录的操作。该表包括可为不同的用户登录类型记录的操作。在表中,表示无法为该登录类型记录此操作。星号 (*) 表示启用邮箱的邮箱审核日志记录时已默认记录了操作。如前所述,启用邮箱审核时,默认情况下将审核的唯一一项所有者操作为 UpdateFolderPermissions。要记录邮箱所有者执行的操作,必须指定其他要审核的所有者操作。为此,请参阅本主题“分步说明”一节中的步骤 3。

操作

说明

管理员

委派用户***

所有者

复制

已将某个邮件复制到另一个文件夹。

支持

不支持

不支持

创建

已在邮箱的“日历”、“联系人”、“笔记”或“任务”文件夹中创建项目;例如,创建了新的会议请求。请注意,不会审核邮件的创建、发送或接收。也不会审核邮箱文件夹的创建。

是*

是*

FolderBind

已访问某个邮箱文件夹。当管理员或代理人打开邮箱时,也将记录此操作。

是*

是**

HardDelete

已将某个邮件从“已恢复邮件”文件夹中清除。

是*

是*

MailboxLogin

用户登录其邮箱。

不支持

支持

MessageBind

在预览窗格查看邮件或打开邮件。

支持

不支持

不支持

移动

已将某个邮件移至另一个文件夹。

是*

支持

支持

MoveToDeletedItems

已将某个邮件删除并移至“已删除邮件”文件夹。

是*

支持

支持

SendAs

已使用 SendAs 权限发送某个邮件。这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。

是*

是*

不支持

SendOnBehalf

已使用“代表发送”权限发送邮件。这意味着其他用户代表邮箱所有者发送了邮件。邮件将向收件人说明发送此邮件时使用的身份及实际发送者。

是*

支持

不支持

SoftDelete

已将某个邮件永久删除或从“已删除邮件”文件夹中删除。软删除的项目将移至“可恢复的项目”文件夹。

是*

是*

更新

已更改某个邮件或其属性。

是*

是*

UpdateFolderPermissions

文件夹权限已更改。文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。

是*

是*

是*

注释: 

  • *  如果为邮箱启用了审核功能,则默认为已审核。

  • **  合并由委派用户执行的文件夹绑定操作的条目。在 24 小时的时间跨度内为每个文件夹访问生成一个日志条目。

  • ***  分配了用户邮箱“完全访问”权限的管理员被视为委派用户。

如果不再需要审核某些类型的邮箱操作,应修改邮箱的审核日志记录配置,禁用这些操作。在达到 90 天的审核日志条目期限之前,不会清除现有日志条目。

  • 使用 Office 365 审核日志搜索已记录的邮箱活动。可搜索特定用户邮箱的活动。下面的屏幕截图显示可在 Office 365 审核日志中搜索的邮箱活动列表。请注意,这些活动与本主题“邮箱审核操作”一节中描述的操作相同。

    通过在“活动”下拉列表中选择“Exchange 邮箱活动”,可在 Office 365 审核日志中搜索邮箱审核操作

    下表介绍可搜索的每个邮箱活动,并显示相应的邮箱审核操作。

    审核日志中的活动

    邮箱审核操作

    已创建邮箱项目

    创建

    已将邮件复制到其他文件夹

    复制

    用户已登录到邮箱

    MailboxLogin

    已使用“代表发送”权限发送邮件

    SendOnBehalf

    已从邮箱清除邮件

    HardDelete

    已将邮件移动到“已删除邮件”文件夹

    MoveToDeletedItems

    已将邮件移动到其他文件夹

    移动

    已使用“发送方式”权限发送邮件

    SendAs

    已更新邮件

    更新

    已从“已删除邮件”文件夹中删除邮件

    SoftDelete

    请注意,前面的屏幕截图中所示的“已添加代理邮箱权限”和“已删除代理邮箱权限”活动与邮箱审核操作无关。它们指示管理员是否已分配或已删除 FullAccess 邮箱权限。

    有关 Office 365 审核日志的详细信息,请参阅在 Office 365 安全与合规中心中搜索审核日志

  • 只有在以下情况下,才视为由管理员访问邮箱:

  • 为邮箱启用审核日志记录时,也可以指定将记录每种登录类型(管理员、委派用户或所有者)的哪些用户操作(例如,访问、移动或删除邮件)。

  • 若要禁用邮箱审核日志记录,请运行以下命令:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • 运行 Get-Mailbox cmdlet 时,不显示要审核的每种用户类型的操作。但可运行以下命令显示特定用户登录类型的所有审核操作。

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • 还可以导出邮箱审核日志,并指定一个或多个用户要包含的条目。报告和审核日志中的每个条目都包含以下相关信息:执行操作的用户及操作时间、操作内容以及是否成功执行操作。有关详细信息,请参阅导出邮箱审核日志

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×