啟用 Office 365 中的信箱稽核

附註:  我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。

在Office 365,您可以開啟 [登入信箱擁有者,代理人,系統管理員存取信箱的信箱稽核記錄。根據預設,信箱中Office 365未開啟稽核。也就是說,當您搜尋的信箱活動Office 365稽核記錄時,將不會出現在結果中的稽核的事件的信箱。但您開啟信箱稽核記錄信箱之後,您可以搜尋信箱活動的稽核記錄。此外,當信箱稽核記錄已開啟,由系統管理員,代理人執行某些動作和擁有者會記錄的預設值。若要登入 (,然後搜尋) 的其他動作,請參閱步驟 3。

步驟 1:連線至 Exchange Online PowerShell

步驟 2:啟用信箱稽核記錄

步驟 3:指定要稽核的擁有者動作

如何確認操作成功?

若要深入瞭解,請參閱信箱稽核記錄

步驟 1:連線至 Exchange Online PowerShell

  1. 在本機電腦上開啟 Windows PowerShell 並執行下列命令。

    $UserCredential = Get-Credential

    在 [Windows PowerShell 認證要求] 對話方塊中,輸入 Office 365 全域系統管理員帳戶的使用者名稱和密碼,然後按一下 [確定]。

  2. 執行下列命令。

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. 執行下列命令。

    Import-PSSession $Session
  4. 若要確認您已連線至您的 Exchange Online 組織,請執行下列命令以取得您組織中所有信箱的清單。

    Get-Mailbox

如需詳細資訊,或者如果您無法順利連線至您的 Exchange Online 組織,請參閱使用遠端 PowerShell 連線至 Exchange Online

回到頁首

步驟 2:啟用信箱稽核記錄

連線到您的 Exchange Online 組織之後,使用 PowerShell 來啟用信箱的信箱稽核記錄。或者,您可以對組織中的所有信箱啟用信箱稽核。

這個範例會啟用 Pilar Pinilla 信箱的信箱稽核記錄。

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

此範例會啟用組織中所有使用者信箱的信箱稽核記錄。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

回到頁首

步驟 3:指定要稽核的擁有者動作

當您啟用信箱的稽核功能時,預設只會稽核信箱擁有者所執行的一個動作 (UpdateFolderPermissions)。您必須指定要稽核的其他擁有者動作。如需可以稽核之擁有者動作的清單和說明,請參閱<信箱動作>一節中的表格。

本範例會將 MailboxLoginHardDelete 擁有者動作新增至針對 Pilar Pinilla 稽核的信箱,本範例假設此信箱已啟用信箱稽核。

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

此範例中啟用信箱稽核記錄公司內還不信箱,並指定 [僅限信箱擁有者所執行的MailboxLogin動作將會記錄。請注意,此範例會覆寫預設 UpdateFolderPermissions 動作。

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

本範例會將 MailboxLoginHardDeleteSoftDelete 擁有者動作新增至組織中的所有信箱。本範例假設所有信箱皆已啟用信箱稽核。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

回到頁首

如何確認操作成功?

若要確認您已成功啟用信箱的信箱稽核記錄,請使用 Get-Mailbox Cmdlet 擷取該信箱的稽核設定。

此範例會擷取 Pilar Pinilla 的稽核設定。

Get-Mailbox "Pilar Pinilla"| FL Audit*

此範例會擷取您組織中所有使用者信箱的稽核設定。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

AuditEnabled 屬性的值為 True 即可確認信箱稽核記錄已啟用。

回到頁首

  • 啟用記錄信箱的信箱稽核之後,依預設記錄的存取權的信箱特定管理員及代理人的動作。登入信箱擁有者所要採取的動作,您必須指定所要稽核的擁有者動作。請參閱 [請參閱啟用記錄後信箱稽核記錄的動作清單,以及哪些動作可供使用者登入的每個類型的 「 詳細資訊 」 區段。

  • 您必須使用 Exchange Online PowerShell 啟用信箱稽核記錄。您無法使用 Office 365 安全性與合規性中心或 Exchange 系統管理中心。

  • 獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

下表列出信箱稽核記錄可記錄的動作。此表格包含不同的使用者登入類型可以記錄的動作。在表格中,表示該登入類型無法記錄此動作。星號 (*) 表示當信箱啟用信箱稽核記錄功能時,預設會記錄此動作。如先前所述,當您開啟信箱稽核時,預設稽核的唯一擁有者動作為 UpdateFolderPermissions。若要記錄信箱擁有者執行的其他動作,您必須指定要稽核的其他擁有者動作。若要這麼做,請參閱本主題的<逐步指示>一節中的步驟 3。

動作

描述

系統管理員

代理人***

擁有者

Copy

郵件已複製到另一個資料夾。

Create

已在信箱的 [行事曆]、[連絡人]、[記事] 或 [工作] 資料夾中建立項目;例如已建立新會議邀請。請注意,建立、傳送或接收郵件的動作並不會受到稽核。此外,建立信箱資料夾的動作也不會受到稽核。

是*

是*

FolderBind

已存取信箱資料夾。系統管理員或代理人開啟信箱時也會記錄此動作。

是*

是**

HardDelete

郵件已經從 [可復原的項目] 資料夾清除。

是*

是*

MailboxLogin

使用者已登入他們的信箱。

MessageBind

在預覽窗格中檢視郵件或將它開啟。

Move

郵件已移到另一個資料夾。

是*

MoveToDeletedItems

郵件已遭刪除並移至 [刪除的郵件] 資料夾。

是*

SendAs

已使用 SendAs 權限傳送郵件。這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。

是*

是*

SendOnBehalf

已使用 SendOnBehalf 權限傳送郵件。這表示另一個使用者已代理信箱擁有者傳送郵件。此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。

是*

SoftDelete

郵件已永久刪除或從 [刪除的郵件] 資料夾刪除。虛刪除的項目會移至 [可復原的項目] 資料夾。

是*

是*

Update

郵件或其屬性已變更。

是*

是*

UpdateCalendarDelegation

行事曆委派已指派給信箱。行事曆委派可讓其他人在相同組織權限管理信箱擁有者的行事曆。

是*

是*

UpdateFolderPermissions

資料夾權限已變更。資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。

是*

是*

是*

附註: 

  • * 如果啟用稽核信箱,依預設稽核。

  • ** 資料夾繫結動作的代理人所執行的項目會合併。24 小時的時間範圍內的個別資料夾存取產生一個記錄項目。

  • *** 已指派的完整存取權限給使用者信箱的系統管理員會被視為代理人使用者。

如果您不再需要稽核某些信箱動作類型,您應修改信箱的稽核記錄組態以停用這些動作。在達到 90 天的稽核記錄項目保留天數之前,不會清除現有的記錄項目。

  • 使用 Office 365 稽核記錄來搜尋已記錄的信箱活動。您可以搜尋特定使用者信箱中的活動。下列螢幕擷取畫面顯示的是一份您可以在 Office 365 稽核記錄中搜尋的信箱活動清單。請注意,這些活動與本文<信箱稽核動作>一節中描述的動作相同。

    您可以透過選取 [活動] 下拉式清單中的 [Exchange 信箱活動],來搜尋 Office 365 稽核記錄檔中的信箱稽核動作。

    下表會描述您可以搜尋的個別信箱活動,並顯示相對應的信箱稽核動作。

    稽核記錄中的活動

    信箱稽核動作

    建立的信箱項目

    Create

    已複製郵件到另一個資料夾

    Copy

    使用者已登入信箱

    MailboxLogin

    已使用 [代理傳送者] 權限傳送郵件

    SendOnBehalf

    已清除信箱中的郵件

    HardDelete

    已移動郵件至 [刪除的郵件] 資料夾

    MoveToDeletedItems

    已複製郵件至另一個資料夾

    Move

    已使用 [傳送為] 權限傳送郵件

    SendAs

    已更新郵件

    Update

    已刪除 [刪除的郵件] 資料夾中的郵件

    SoftDelete

    附註新增代理人的信箱權限移除代理人信箱的權限活動在先前的螢幕擷取畫面顯示不相關稽核動作的信箱。他們會指出管理員指派或移除的 FullAccess 信箱權限。

    如需 Office 365 稽核記錄相關資訊,請參閱搜尋 Office 365 安全性與合規性中心的稽核記錄

  • 在下列案例中,信箱會被視為只能由系統管理員存取:

  • 啟用信箱的稽核記錄時,也可指定針對各個登入類型 (系統管理員、代理人或擁有者) 將記錄哪些使用者動作 (例如存取、移動或刪除郵件)。

  • 若要停用信箱稽核記錄,請執行下列命令:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • 當您執行 Get-Mailbox Cmdlet 時,不會顯示針對各個使用者類型所稽核的動作。但是,您可以執行下列命令,以顯示特定使用者登入類型的所有稽核動作。

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • 您也可以匯出信箱稽核記錄,並指定要包含的一或多位使用者的項目。報表和稽核記錄檔中的每個項目會包含相關人員執行動作時,您也可以執行的動作,並是否順利完成動作的資訊。如需詳細資訊,請參閱匯出信箱稽核記錄

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×