啟用 Office 365 中的信箱稽核

在 Office 365 中,您可以開啟信箱稽核記錄,依信箱擁有者、代理人以及系統管理員來記錄信箱的存取。根據預設,Office 365 中的信箱稽核未開啟。這表示當您搜尋 Office 365 稽核記錄中的信箱活動時,信箱稽核事件不會出現在結果中。但在您開啟信箱的信箱稽核記錄之後,您就可以搜尋 Office 365 稽核記錄中的信箱活動。此外,開啟信箱稽核記錄時,預設會記錄由系統管理員、代理人和擁有者執行的部分動作。若要記錄 (然後搜尋) 其他動作,請參閱步驟 3。

步驟 1:連線至 Exchange Online PowerShell

步驟 2:啟用信箱稽核記錄

步驟 3:指定要稽核的擁有者動作

如何確認操作成功?

若要深入了解,請參閱啟用信箱稽核記錄

步驟 1:連線至 Exchange Online PowerShell

  1. 在本機電腦上開啟 Windows PowerShell 並執行下列命令。

    $UserCredential = Get-Credential

    在 [Windows PowerShell 認證要求] 對話方塊中,輸入 Office 365 全域系統管理員帳戶的使用者名稱和密碼,然後按一下 [確定]。

  2. 執行下列命令。

    $Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential –Authentication Basic -AllowRedirection
  3. 執行下列命令。

    Import-PSSession $Session
  4. 若要確認您已連線至您的 Exchange Online 組織,請執行下列命令以取得您組織中所有信箱的清單。

    Get-Mailbox

如需詳細資訊,或者如果您無法順利連線至您的 Exchange Online 組織,請參閱使用遠端 PowerShell 連線至 Exchange Online

回到頁首

步驟 2:啟用信箱稽核記錄

連線到您的 Exchange Online 組織之後,使用 PowerShell 來啟用信箱的信箱稽核記錄。或者,您可以對組織中的所有信箱啟用信箱稽核。

這個範例會啟用 Pilar Pinilla 信箱的信箱稽核記錄。

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

此範例會啟用組織中所有使用者信箱的信箱稽核記錄。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

回到頁首

步驟 3:指定要稽核的擁有者動作

當您啟用信箱的稽核功能時,預設只會稽核信箱擁有者所執行的一個動作 (UpdateFolderPermissions)。您必須指定要稽核的其他擁有者動作。如需可以稽核之擁有者動作的清單和說明,請參閱<信箱動作>一節中的表格。

本範例會將 MailboxLoginHardDelete 擁有者動作新增至針對 Pilar Pinilla 稽核的信箱,本範例假設此信箱已啟用信箱稽核。

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

本範例會為 Don Hall 的信箱啟用信箱稽核記錄,並指定將僅會記錄信箱擁有者所執行的 MailboxLogin 動作。請注意,本範例會覆寫預設的 UpdateFolderPermissions 動作。

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

本範例會將 MailboxLoginHardDeleteSoftDelete 擁有者動作新增至組織中的所有信箱。本範例假設所有信箱皆已啟用信箱稽核。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

回到頁首

如何確認操作成功?

若要確認您已成功啟用信箱的信箱稽核記錄,請使用 Get-Mailbox Cmdlet 擷取該信箱的稽核設定。

此範例會擷取 Pilar Pinilla 的稽核設定。

Get-Mailbox "Pilar Pinilla"| FL Audit*

此範例會擷取您組織中所有使用者信箱的稽核設定。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

AuditEnabled 屬性的值為 True 即可確認信箱稽核記錄已啟用。

回到頁首

  • 啟用信箱的信箱稽核記錄後,預設會記錄信箱的存取和某些系統管理員與代理人動作。若要記錄信箱擁有者執行的動作,您必須指定要稽核的擁有者動作。請參閱<相關資訊>章節,以查看啟用信箱稽核記錄後所記錄的動作清單,以及各個使用者登入類型可用的動作。

  • 您必須使用 Exchange Online PowerShell 啟用信箱稽核記錄。您無法使用 Office 365 安全性與合規性中心或 Exchange 系統管理中心。

  • 獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

下表列出信箱稽核記錄可記錄的動作。此表格包含不同的使用者登入類型可以記錄的動作。在表格中,表示該登入類型無法記錄此動作。星號 (*) 表示當信箱啟用信箱稽核記錄功能時,預設會記錄此動作。如先前所述,當您開啟信箱稽核時,預設稽核的唯一擁有者動作為 UpdateFolderPermissions。若要記錄信箱擁有者執行的其他動作,您必須指定要稽核的其他擁有者動作。若要這麼做,請參閱本主題的<逐步指示>一節中的步驟 3。

動作

描述

系統管理員

代理人***

擁有者

Copy

郵件已複製到另一個資料夾。

Create

已在信箱的 [行事曆]、[連絡人]、[記事] 或 [工作] 資料夾中建立項目;例如已建立新會議邀請。請注意,建立、傳送或接收郵件的動作並不會受到稽核。此外,建立信箱資料夾的動作也不會受到稽核。

是*

是*

FolderBind

已存取信箱資料夾。系統管理員或代理人開啟信箱時也會記錄此動作。

是*

是**

HardDelete

郵件已經從 [可復原的項目] 資料夾清除。

是*

是*

MailboxLogin

使用者已登入他們的信箱。

MessageBind

在預覽窗格中檢視郵件或將它開啟。

Move

郵件已移到另一個資料夾。

是*

MoveToDeletedItems

郵件已遭刪除並移至 [刪除的郵件] 資料夾。

是*

SendAs

已使用 SendAs 權限傳送郵件。這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。

是*

是*

SendOnBehalf

已使用 SendOnBehalf 權限傳送郵件。這表示另一個使用者已代理信箱擁有者傳送郵件。此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。

是*

SoftDelete

郵件已永久刪除或從 [刪除的郵件] 資料夾刪除。虛刪除的項目會移至 [可復原的項目] 資料夾。

是*

是*

Update

郵件或其屬性已變更。

是*

是*

UpdateFolderPermissions

資料夾權限已變更。資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。

是*

是*

是*

附註: 

  • *  在啟用信箱的稽核時依預設稽核。

  • **  合併代理人執行的資料夾繫結動作項目。針對 24 小時時間範圍內的個別資料夾存取產生一個記錄項目。

  • ***  獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

如果您不再需要稽核某些信箱動作類型,您應修改信箱的稽核記錄組態以停用這些動作。在達到 90 天的稽核記錄項目保留天數之前,不會清除現有的記錄項目。

  • 使用 Office 365 稽核記錄來搜尋已記錄的信箱活動。您可以搜尋特定使用者信箱中的活動。下列螢幕擷取畫面顯示的是一份您可以在 Office 365 稽核記錄中搜尋的信箱活動清單。請注意,這些活動與本文<信箱稽核動作>一節中描述的動作相同。

    您可以透過選取 [活動] 下拉式清單中的 [Exchange 信箱活動],來搜尋 Office 365 稽核記錄檔中的信箱稽核動作。

    下表會描述您可以搜尋的個別信箱活動,並顯示相對應的信箱稽核動作。

    稽核記錄中的活動

    信箱稽核動作

    建立的信箱項目

    Create

    已複製郵件到另一個資料夾

    Copy

    使用者已登入信箱

    MailboxLogin

    已使用 [代理傳送者] 權限傳送郵件

    SendOnBehalf

    已清除信箱中的郵件

    HardDelete

    已移動郵件至 [刪除的郵件] 資料夾

    MoveToDeletedItems

    已複製郵件至另一個資料夾

    Move

    已使用 [傳送為] 權限傳送郵件

    SendAs

    已更新郵件

    Update

    已刪除 [刪除的郵件] 資料夾中的郵件

    SoftDelete

    請注意,螢幕擷取畫面中顯示的 [已新增代理人信箱權限] 及 [已移除代理人信箱權限] 活動與信箱稽核動作無關。它們表示的是系統管理員指派或移除了 FullAccess 權限。

    如需 Office 365 稽核記錄相關資訊,請參閱搜尋 Office 365 安全性與合規性中心的稽核記錄

  • 在下列案例中,信箱會被視為只能由系統管理員存取:

  • 啟用信箱的稽核記錄時,也可指定針對各個登入類型 (系統管理員、代理人或擁有者) 將記錄哪些使用者動作 (例如存取、移動或刪除郵件)。

  • 若要停用信箱稽核記錄,請執行下列命令:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
  • 當您執行 Get-Mailbox Cmdlet 時,不會顯示針對各個使用者類型所稽核的動作。但是,您可以執行下列命令,以顯示特定使用者登入類型的所有稽核動作。

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • 您也可以匯出信箱稽核記錄,並指定要為一或多個使用者包含項目。報告和稽核記錄中的每個項目都包含有關動作執行者、執行時間、所執行動作,以及動作是否成功的資訊。如需詳細資訊,請參閱匯出信箱稽核記錄

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×