إدارة تدقيق علبة البريد
بدءا من يناير 2019، تقوم Microsoft بتشغيل تسجيل تدقيق علبة البريد بشكل افتراضي لجميع المؤسسات. وهذا يعني أن بعض الإجراءات التي يتم تنفيذها بواسطة مالكي علب البريد والمفوضين والمسؤولين يتم تسجيلها تلقائيا، وستتوفر سجلات تدقيق علبة البريد المقابلة عند البحث عنها في سجل تدقيق علبة البريد. قبل تشغيل تدقيق علبة البريد بشكل افتراضي، كان عليك تمكينه يدويا لكل علبة بريد مستخدم في مؤسستك.
فيما يلي بعض فوائد تدقيق علبة البريد بشكل افتراضي:
- يتم تمكين التدقيق تلقائيا عند إنشاء علبة بريد جديدة. لا تحتاج إلى تمكينه يدويا للمستخدمين الجدد.
- لا تحتاج إلى إدارة إجراءات علبة البريد التي تم تدقيقها. يتم تدقيق مجموعة محددة مسبقا من إجراءات علبة البريد بشكل افتراضي لكل نوع من أنواع تسجيل الدخول (مسؤول والمفوض والمالك).
- عندما تصدر Microsoft إجراء علبة بريد جديد، قد تتم إضافة الإجراء تلقائيا إلى قائمة إجراءات علبة البريد التي يتم تدقيقها بشكل افتراضي (رهنا بالحصول على الترخيص المناسب للمستخدم). وهذا يعني أنك لست بحاجة إلى مراقبة إضافة إجراءات جديدة على علب البريد.
- لديك نهج تدقيق متناسق لعلمة البريد عبر مؤسستك (لأنك تقوم بمراجعة نفس الإجراءات لجميع علب البريد).
ملاحظة
- الشيء المهم الذي يجب تذكره حول إصدار تدقيق علبة البريد بشكل افتراضي هو: لست بحاجة إلى القيام بأي شيء لإدارة تدقيق علبة البريد. ومع ذلك، لمعرفة المزيد، تخصيص تدقيق علبة البريد من الإعدادات الافتراضية، أو إيقاف تشغيلها تماما، يمكن أن تساعدك هذه المقالة.
- بشكل افتراضي، تتوفر أحداث تدقيق علبة البريد فقط للمستخدمين الذين لديهم تراخيص تتضمن Microsoft Purview Audit (Premium) في عمليات البحث في سجل التدقيق في مدخل التوافق في Microsoft Purview أو عبر واجهة برمجة تطبيقات نشاط إدارة Office 365. يتم وصف هذه التراخيص هنا. للإيجاز، ستشير هذه المقالة بشكل جماعي إلى التراخيص التي تتضمن Audit (Premium) كتراخيص E5/A5/G5.
تلميح
إذا لم تكن عميل E5، فاستخدم الإصدار التجريبي من حلول Microsoft Purview لمدة 90 يوما لاستكشاف كيفية مساعدة قدرات Purview الإضافية لمؤسستك في إدارة احتياجات أمان البيانات والامتثال. ابدأ الآن في مركز الإصدارات التجريبية مدخل التوافق في Microsoft Purview. تعرف على تفاصيل حول شروط التسجيل والإختبر.
التحقق من تشغيل تدقيق علبة البريد بشكل افتراضي
للتحقق من تشغيل تدقيق علبة البريد بشكل افتراضي لمؤسستك، قم بتشغيل الأمر التالي في Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
تشير القيمة False إلى تمكين تدقيق علبة البريد بشكل افتراضي للمؤسسة. يتجاوز هذا الإعداد بشكل افتراضي القيمة التنظيمية إعداد تدقيق علبة البريد على علب بريد معينة. على سبيل المثال، إذا تم تعطيل تدقيق علبة البريد لعلبة بريد (الخاصية AuditEnabled هي False في علبة البريد)، فسيظل يتم تدقيق إجراءات علبة البريد الافتراضية لعلبة البريد، لأن تدقيق علبة البريد بشكل افتراضي ممكن للمؤسسة.
للحفاظ على تعطيل تدقيق علبة البريد لعلب بريد معينة، يمكنك تكوين تجاوز تدقيق علبة البريد لمالك علبة البريد والمستخدمين الآخرين الذين تم تفويضهم للوصول إلى علبة البريد. لمزيد من المعلومات، راجع قسم تجاوز تسجيل تدقيق علبة البريد لاحقا في هذه المقالة.
ملاحظة
عند تشغيل تدقيق علبة البريد بشكل افتراضي للمؤسسة، لن يتم تغيير الخاصية AuditEnabled لعلب البريد المتأثرة من False إلى True. بمعنى آخر، يتجاهل تدقيق علبة البريد بشكل افتراضي الخاصية AuditEnabled على علب البريد.
أنواع علب البريد المدعومة
يعرض الجدول التالي أنواع علب البريد المعتمدة حاليا بواسطة تدقيق علبة البريد بشكل افتراضي:
| نوع علبة البريد | دعم |
|---|---|
| علب بريد المستخدم |  |
| علب البريد المشتركة | |
| علب بريد مجموعة Microsoft 365 | |
| علب بريد الموارد | |
| علب بريد المجلد العام |
أنواع تسجيل الدخول وإجراءات علبة البريد
تصنف أنواع تسجيل الدخول المستخدم الذي قام بالإجراءات المدققة على علبة البريد. تصف القائمة التالية أنواع تسجيل الدخول المستخدمة في تسجيل تدقيق علبة البريد:
- المالك: مالك علبة البريد (الحساب المقترن بعلبة البريد).
- المفوض:
- مستخدم تم تعيينه لإذن SendAs أو SendOnBehalf أو FullAccess إلى علبة بريد أخرى.
- مسؤول تم تعيين إذن FullAccess إلى علبة بريد المستخدم.
- مسؤول:
- يتم البحث في علبة البريد باستخدام إحدى أدوات Microsoft eDiscovery التالية:
- البحث في المحتوى في مدخل التوافق.
- eDiscovery أو eDiscovery (Premium) في مدخل التوافق.
- In-Place eDiscovery في Exchange Online.
- يتم الوصول إلى علبة البريد باستخدام محرر MAPI Microsoft Exchange Server.
- يتم البحث في علبة البريد باستخدام إحدى أدوات Microsoft eDiscovery التالية:
إجراءات علبة البريد لعلب بريد المستخدمين وعلب البريد المشتركة
يصف الجدول التالي إجراءات علبة البريد المتوفرة في تسجيل تدقيق علبة البريد لعلب بريد المستخدم وعلب البريد المشتركة.
- تشير علامة الاختيار () إلى أنه يمكن تسجيل إجراء علبة البريد لنوع تسجيل الدخول (لا تتوفر جميع الإجراءات لجميع أنواع تسجيل الدخول).
- علامة نجمية ( * ) بعد أن تشير علامة الاختيار إلى تسجيل إجراء علبة البريد بشكل افتراضي لنوع تسجيل الدخول.
- تذكر أن المسؤول الذي لديه إذن الوصول الكامل إلى علبة بريد يعتبر مفوضا.
| إجراء علبة البريد | الوصف | مسؤول | المفوض | مالك |
|---|---|---|---|---|
| AddFolderPermissions | على الرغم من قبول هذه القيمة كإجراء علبة بريد، إلا أنها مضمنة بالفعل في إجراء UpdateFolderPermissions ولا يتم تدقيقها بشكل منفصل. بمعنى آخر، لا تستخدم هذه القيمة. | |||
| ApplyRecord | يتم تسمية العنصر كسجل. | * |
* |
* |
| نسخ | تم نسخ رسالة إلى مجلد آخر. | |
||
| إنشاء | تم إنشاء عنصر في المجلد التقويم أو جهات الاتصال أو المسودة أو الملاحظات أو المهام في علبة البريد (على سبيل المثال، يتم إنشاء طلب اجتماع جديد). لا يتم تدقيق إنشاء رسالة أو إرسالها أو تلقيها. أيضا، لا يتم تدقيق إنشاء مجلد علبة بريد. | * |
* |
|
| FolderBind | تم الوصول إلى مجلد علبة بريد. يتم تسجيل هذا الإجراء أيضا عندما يفتح المسؤول أو المفوض علبة البريد. ملاحظة: يتم دمج سجلات التدقيق لإجراءات ربط المجلدات التي ينفذها المفوضون. يتم إنشاء سجل تدقيق واحد للوصول إلى المجلد الفردي خلال فترة 24 ساعة. |
|
|
|
| حذف ثابت | تمت إزالة رسالة من مجلد العناصر القابلة للاسترداد. | * |
* |
* |
| علبة البريدالسجلات | سجل المستخدم الدخول إلى علبة البريد الخاصة به. | |
||
| MailItemsAccessed | ملاحظة: تتوفر هذه القيمة فقط للمستخدمين الذين لديهم تراخيص E5/A5/G5. لمزيد من المعلومات، راجع إعداد Microsoft Purview Audit (Premium). يتم الوصول إلى بيانات البريد بواسطة بروتوكولات البريد والعملاء. |
* |
* |
* |
| MessageBind | ملاحظة: هذه القيمة متاحة فقط للمستخدمين الذين ليس لديهم تراخيص E5/A5/G5. تم عرض رسالة في جزء المعاينة أو فتحها من قبل مسؤول. |
|
||
| تعديل أذونات المجلدات | على الرغم من قبول هذه القيمة كإجراء علبة بريد، إلا أنها مضمنة بالفعل في إجراء UpdateFolderPermissions ولا يتم تدقيقها بشكل منفصل. بمعنى آخر، لا تستخدم هذه القيمة. | |||
| نقل | تم نقل رسالة إلى مجلد آخر. | |
|
|
| MoveToDeletedItems | تم حذف رسالة ونقلها إلى مجلد العناصر المحذوفة. | * |
* |
* |
| حذف السجل | تم حذف عنصر يسمى كسجل بشكل مبدئي (تم نقله إلى مجلد العناصر القابلة للاسترداد). لا يمكن حذف العناصر المسماة كسجلات بشكل دائم (إزالتها من مجلد العناصر القابلة للاسترداد). | |
|
|
| RemoveFolderPermissions | على الرغم من قبول هذه القيمة كإجراء علبة بريد، إلا أنها مضمنة بالفعل في إجراء UpdateFolderPermissions ولا يتم تدقيقها بشكل منفصل. بمعنى آخر، لا تستخدم هذه القيمة. | |||
| SearchQueryInitiated | ملاحظة: تتوفر هذه القيمة فقط للمستخدمين الذين لديهم تراخيص E5/A5/G5. لمزيد من المعلومات، راجع إعداد Microsoft Purview Audit (Premium). يستخدم شخص Outlook (Windows أو Mac أو iOS أو Android أو Outlook على ويب) أو تطبيق البريد Windows 10 للبحث عن عناصر في علبة بريد. |
|
||
| ارسال | ملاحظة: تتوفر هذه القيمة فقط للمستخدمين الذين لديهم تراخيص E5/A5/G5. لمزيد من المعلومات، راجع إعداد Microsoft Purview Audit (Premium). يرسل المستخدم رسالة بريد إلكتروني أو يرد على رسالة بريد إلكتروني أو يعيد توجيه رسالة بريد إلكتروني. |
* |
* |
|
| SendAs | تم إرسال رسالة باستخدام إذن SendAs. وهذا يعني أن مستخدما آخر أرسل الرسالة كما لو كانت واردة من مالك علبة البريد. | * |
* |
|
| SendOnBehalf | تم إرسال رسالة باستخدام إذن SendOnBehalf. وهذا يعني أن مستخدما آخر أرسل الرسالة نيابة عن مالك علبة البريد. تشير الرسالة إلى المستلم الذي تم إرسال الرسالة نيابة عنه ومن أرسل الرسالة بالفعل. | * |
* |
|
| الحذف الناعم | تم حذف رسالة أو حذفها نهائيا من مجلد العناصر المحذوفة. يتم نقل العناصر المحذوفة مبدئيا إلى مجلد العناصر القابلة للاسترداد. | * |
* |
* |
| تحديث | تم تغيير رسالة أو أي من خصائصها. | * |
* |
* |
| تحديثCalendarDelegation | تم تعيين تفويض تقويم إلى علبة بريد. يمنح تفويض التقويم شخصا آخر في المؤسسة نفسها أذونات لإدارة تقويم مالك علبة البريد. | * |
* |
|
| أذونات UpdateFolder | تم تغيير إذن مجلد. تتحكم أذونات المجلد في المستخدمين في مؤسستك الذين يمكنهم الوصول إلى المجلدات في علبة بريد والرسائل الموجودة في تلك المجلدات. | * |
* |
* |
| UpdateInboxRules | تمت إضافة قاعدة علبة الوارد أو إزالتها أو تغييرها. تستخدم قواعد علبة الوارد لمعالجة الرسائل في علبة الوارد الخاصة بالمستخدم استنادا إلى الشروط المحددة واتخاذ الإجراءات عند استيفاء شروط القاعدة، مثل نقل رسالة إلى مجلد محدد أو حذف رسالة. | * |
* |
* |
هام
إذا قمت بتخصيص إجراءات علبة البريد للتدقيق لأي نوع من أنواع تسجيل الدخول قبل تمكين تدقيق علبة البريد بشكل افتراضي في مؤسستك، فسيتم الاحتفاظ بالإعدادات المخصصة على علبة البريد ولا تتم الكتابة فوقها بواسطة إجراءات علبة البريد الافتراضية كما هو موضح في هذا القسم. لإعادة إجراءات علبة بريد التدقيق إلى قيمها الافتراضية (التي يمكنك القيام بها في أي وقت)، راجع قسم استعادة إجراءات علبة البريد الافتراضية لاحقا في هذه المقالة.
إجراءات علبة البريد لعلب بريد مجموعة Microsoft 365
يؤدي تدقيق علبة البريد بشكل افتراضي إلى إحضار تسجيل تدقيق علبة البريد إلى علب بريد مجموعة Microsoft 365، ولكن لا يمكنك تخصيص ما يتم تسجيله (لا يمكنك إضافة إجراءات علبة البريد التي تم تسجيلها لأي نوع تسجيل دخول أو إزالتها).
يصف الجدول التالي إجراءات علبة البريد التي يتم تسجيلها بشكل افتراضي على علب بريد مجموعة Microsoft 365 لكل نوع تسجيل دخول.
تذكر أن المسؤول الذي لديه إذن الوصول الكامل إلى علبة بريد مجموعة Microsoft 365 يعتبر مفوضا.
| إجراء علبة البريد | الوصف | مسؤول | المفوض | مالك |
|---|---|---|---|---|
| إنشاء | إنشاء عنصر تقويم. لا يتم تدقيق إنشاء رسالة أو إرسالها أو تلقيها. | * |
* |
|
| حذف ثابت | تمت إزالة رسالة من مجلد العناصر القابلة للاسترداد. | * |
* |
* |
| MoveToDeletedItems | تم حذف رسالة ونقلها إلى مجلد العناصر المحذوفة. | * |
* |
* |
| SendAs | تم إرسال رسالة باستخدام إذن SendAs. | * |
* |
|
| SendOnBehalf | تم إرسال رسالة باستخدام إذن SendOnBehalf. | * |
* |
|
| الحذف الناعم | تم حذف رسالة أو حذفها نهائيا من مجلد العناصر المحذوفة. يتم نقل العناصر المحذوفة مبدئيا إلى مجلد العناصر القابلة للاسترداد. | * |
* |
* |
| تحديث | تم تغيير رسالة أو أي من خصائصها. | * |
* |
* |
تحقق من تسجيل إجراءات علبة البريد الافتراضية لكل نوع من أنواع تسجيل الدخول
يؤدي تدقيق علبة البريد بشكل افتراضي إلى إضافة خاصية DefaultAuditSet جديدة إلى جميع علب البريد. تشير قيمة هذه الخاصية إلى ما إذا كانت إجراءات علبة البريد الافتراضية (التي تديرها Microsoft) يتم تدقيقها على علبة البريد.
لعرض القيمة على علب بريد المستخدم أو علب البريد المشتركة، استبدل <MailboxIdentity> بالاسم أو الاسم المستعار أو عنوان البريد الإلكتروني أو اسم المستخدم الأساسي (اسم المستخدم) لعلمة البريد وقم بتشغيل الأمر التالي في Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
لعرض القيمة على علب بريد مجموعة Microsoft 365، استبدل <MailboxIdentity> باسم علبة البريد المشتركة أو الاسم المستعار أو عنوان البريد الإلكتروني وقم بتشغيل الأمر التالي في Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
تشير القيمة Admin, Delegate, Owner إلى:
- يتم تدقيق إجراءات علبة البريد الافتراضية لجميع أنواع تسجيل الدخول الثلاثة. هذه هي القيمة الوحيدة التي ستشاهدها في علب بريد مجموعة Microsoft 365.
- لم يقم المسؤول بتغيير إجراءات علبة البريد المدققة لأي نوع تسجيل دخول على علبة بريد مستخدم أو علبة بريد مشتركة. لاحظ أن هذه هي الحالة الافتراضية بعد تشغيل تدقيق علبة البريد بشكل افتراضي في مؤسستك.
إذا قام أحد المسؤولين بتغيير إجراءات علبة البريد التي تم تدقيقها لنوع تسجيل الدخول (باستخدام معلمات AuditAdmin أو AuditDelegate أو AuditOwner على الأمر Cmdlet Set-Mailbox )، ستكون قيمة الخاصية مختلفة.
على سبيل المثال، تشير قيمة Owner الخاصية DefaultAuditSet على علبة بريد مستخدم أو علبة بريد مشتركة إلى:
- يتم تدقيق إجراءات علبة البريد الافتراضية لمالك علبة البريد.
- تم تغيير إجراءات علبة البريد المدققة
Delegateلنوعي تسجيل الدخول وAdminمن الإجراءات الافتراضية.
تشير القيمة الفارغة للخاصية DefaultAuditSet إلى أنه تم تغيير إجراءات علبة البريد لجميع أنواع تسجيل الدخول الثلاثة على علبة بريد المستخدم أو علبة بريد مشتركة.
لمزيد من المعلومات، راجع القسم تغيير إجراءات علبة البريد التي تم تسجيلها بشكل افتراضي أو استعادتها في هذه المقالة
عرض إجراءات علبة البريد التي يتم تسجيلها على علب البريد
لمشاهدة إجراءات علبة البريد التي يتم تسجيلها حاليا على علب بريد المستخدم أو علب البريد المشتركة، استبدل <MailboxIdentity> بالاسم أو الاسم المستعار أو عنوان البريد الإلكتروني أو اسم المستخدم الأساسي (اسم المستخدم) لعلمة البريد، وقم بتشغيل أمر واحد أو أكثر من الأوامر التالية في Exchange Online PowerShell.
ملاحظة
على الرغم من أنه يمكنك إضافة -GroupMailbox التبديل إلى أوامر Get-Mailbox التالية لعلب بريد مجموعة Microsoft 365، لا تصدق القيم التي يتم إرجاعها. يتم وصف إجراءات علبة البريد الافتراضية والثابتة التي يتم تدقيقها لعلب بريد مجموعة Microsoft 365 في قسم إجراءات علبة البريد لعلب بريد مجموعة Microsoft 365 سابقا في هذه المقالة.
إجراءات المالك
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
تفويض الإجراءات
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
إجراءات مسؤول
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
تغيير إجراءات علبة البريد التي تم تسجيلها بشكل افتراضي أو استعادتها
كما هو موضح سابقا، إحدى الفوائد الرئيسية للتدقيق في علبة البريد بشكل افتراضي هي: لست بحاجة إلى إدارة إجراءات علب البريد التي يتم تدقيقها. تقوم Microsoft بذلك نيابة عنك وسنضيف تلقائيا إجراءات علبة بريد جديدة ليتم تدقيقها بشكل افتراضي عند إصدارها.
ومع ذلك، قد يطلب من مؤسستك تدقيق مجموعة مختلفة من إجراءات علبة البريد لعلب بريد المستخدم وعلب البريد المشتركة. توضح لك الإجراءات الواردة في هذا القسم كيفية تغيير إجراءات علبة البريد التي يتم تدقيقها لكل نوع من أنواع تسجيل الدخول، وكيفية العودة إلى الإجراءات الافتراضية التي تديرها Microsoft.
هام
إذا كنت تستخدم الإجراءات التالية لتخصيص إجراءات علبة البريد التي تم تسجيلها على علب بريد المستخدم أو علب البريد المشتركة، فلن يتم تدقيق أي إجراءات جديدة لعلب البريد الافتراضية التي أصدرتها Microsoft تلقائيا على علب البريد هذه. ستحتاج إلى إضافة أي إجراءات علبة بريد جديدة يدويا إلى قائمة الإجراءات المخصصة.
تغيير إجراءات علبة البريد للتدقيق
يمكنك استخدام معلمات AuditAdmin أو AuditDelegate أو AuditOwner على الأمر Cmdlet Set-Mailbox لتغيير إجراءات علبة البريد التي يتم تدقيقها لعلب بريد المستخدمين وعلب البريد المشتركة (لا يمكن تخصيص الإجراءات المدققة لعلب بريد مجموعة Microsoft 365).
يمكنك استخدام طريقتين مختلفتين لتحديد إجراءات علبة البريد:
- استبدل (الكتابة فوق) إجراءات علبة البريد الموجودة باستخدام بناء الجملة هذا:
action1,action2,...actionN. - إضافة إجراءات علبة البريد أو إزالتها دون التأثير على القيم الموجودة الأخرى باستخدام بناء الجملة هذا:
@{Add="action1","action2",..."actionN"}أو@{Remove="action1","action2",..."actionN"}.
يغير هذا المثال إجراءات علبة بريد المسؤول لعلمة البريد المسماة "غابرييلا لاureانو" عن طريق الكتابة فوق الإجراءات الافتراضية باستخدام SoftDelete و HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
يضيف هذا المثال إجراء مالك MailboxLogin إلى علبة laura@contoso.onmicrosoft.comالبريد .
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
يزيل هذا المثال الإجراء المفوض MoveToDeletedItems لعلمة بريد مناقشة الفريق.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
بغض النظر عن الطريقة التي تستخدمها، فإن تخصيص إجراءات علبة البريد المدققة على علب بريد المستخدم أو علب البريد المشتركة له النتائج التالية:
- بالنسبة لنوع تسجيل الدخول الذي قمت بتخصيصه، لم تعد Microsoft تدير إجراءات علبة البريد المدققة.
- لم يعد نوع تسجيل الدخول الذي قمت بتخصيصه معروضا في قيمة الخاصية DefaultAuditSet لعلمة البريد كما هو موضح سابقا.
استعادة إجراءات علبة البريد الافتراضية
ملاحظة
لا تنطبق الإجراءات التالية على علب بريد مجموعة Microsoft 365 (تقتصر على الإجراءات الافتراضية كما هو موضح هنا).
إذا قمت بتخصيص إجراءات علبة البريد التي يتم تدقيقها على علبة بريد مستخدم أو علبة بريد مشتركة، يمكنك استعادة إجراءات علبة البريد الافتراضية لنوع واحد أو كل أنواع تسجيل الدخول باستخدام بناء الجملة هذا:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
يمكنك تحديد قيم DefaultAuditSet متعددة مفصولة بفواصل
يستعيد هذا المثال إجراءات علبة البريد المدققة الافتراضية لجميع أنواع تسجيل الدخول على علبة mark@contoso.onmicrosoft.comالبريد .
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
يستعيد هذا المثال إجراءات علبة البريد المدققة الافتراضية لنوع تسجيل الدخول مسؤول على علبة chris@contoso.onmicrosoft.comالبريد ، ولكنه يترك إجراءات علبة البريد المدققة المخصصة لنوعي تسجيل الدخول المفوض والمالك.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
استعادة إجراءات علبة البريد المدققة الافتراضية لنوع تسجيل الدخول لها النتائج التالية:
- يتم استبدال القائمة الحالية بإجراءات علبة البريد بإجراءات علبة البريد الافتراضية لنوع تسجيل الدخول.
- تتم إضافة أي إجراءات علبة بريد جديدة يتم إصدارها بواسطة Microsoft تلقائيا إلى قائمة الإجراءات المدققة لنوع تسجيل الدخول.
- يتم تحديث قيمة الخاصية DefaultAuditSet لعلمة البريد لتضمين نوع تسجيل الدخول المستعادة.
إيقاف تشغيل تدقيق علبة البريد بشكل افتراضي لمؤسستك
يمكنك إيقاف تشغيل تدقيق علبة البريد بشكل افتراضي لمؤسستك بأكملها عن طريق تشغيل الأمر التالي في Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
يؤدي إيقاف تشغيل تدقيق علبة البريد بشكل افتراضي إلى النتائج التالية:
- تم تعطيل تدقيق علبة البريد لمؤسستك.
- من الوقت الذي قمت فيه بتعطيل تدقيق علبة البريد بشكل افتراضي، لا يتم تدقيق أي إجراءات لعلبة البريد، حتى إذا تم تمكين التدقيق على علبة بريد (الخاصية AuditEnabled في علبة البريد هي True).
- لم يتم تمكين تدقيق علبة البريد لعلب البريد الجديدة وسيتم تجاهل تعيين الخاصية AuditEnabled على علبة بريد جديدة أو موجودة إلى True .
- يتم تجاهل أي إعدادات اقتران تجاوز تدقيق علبة البريد (تم تكوينها باستخدام الأمر Cmdlet Set-MailboxAuditBypassAssociation ).
- يتم الاحتفاظ بسجلات تدقيق علبة البريد الموجودة حتى تنتهي صلاحية الحد العمري لسجل التدقيق للسجل.
تشغيل تدقيق علبة البريد بشكل افتراضي
لتشغيل تدقيق علبة البريد مرة أخرى لمؤسستك، قم بتشغيل الأمر التالي في Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $false
تجاوز تسجيل تدقيق علبة البريد
حاليا، لا يمكنك تعطيل تدقيق علبة البريد لعلب بريد معينة عند تشغيل تدقيق علبة البريد بشكل افتراضي في مؤسستك. على سبيل المثال، يتم تجاهل تعيين الخاصية AuditEnabled mailbox إلى False .
ومع ذلك، لا يزال بإمكانك استخدام Set-MailboxAuditBypassAssociation cmdlet في Exchange Online PowerShell لمنع تسجيل أي وجميع إجراءات علبة البريد من قبل المستخدمين المحددين، بغض النظر عن مكان حدوث الإجراءات. على سبيل المثال:
- لا يتم تسجيل إجراءات مالك علبة البريد التي ينفذها المستخدمون الذين تم تجاوزهم.
- لا يتم تسجيل الإجراءات المفوضة التي ينفذها المستخدمون الذين تم تجاوزهم على علب بريد المستخدمين الآخرين (بما في ذلك علب البريد المشتركة).
- لا يتم تسجيل الإجراءات مسؤول التي ينفذها المستخدمون الذين تم تجاوزهم.
لتجاوز تسجيل تدقيق علبة البريد لمستخدم معين، استبدل <MailboxIdentity> بالاسم أو عنوان البريد الإلكتروني أو الاسم المستعار أو اسم المستخدم الأساسي (اسم المستخدم) للمستخدم وقم بتشغيل الأمر التالي:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
للتحقق من تجاوز التدقيق للمستخدم المحدد، قم بتشغيل الأمر التالي:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
تشير القيمة True إلى تجاوز تسجيل تدقيق علبة البريد للمستخدم.
مزيد من المعلومات
كما ذكرنا سابقا، على الرغم من تمكين تسجيل الدخول إلى علب البريد بشكل افتراضي لجميع المؤسسات، فإن المستخدمين الذين لديهم تراخيص تتضمن Audit (Premium) (يشار إليهم بشكل جماعي في هذه المقالة باسم تراخيص E5/A5/G5) سيعيدون أحداث سجل تدقيق علبة البريد في عمليات البحث في سجل التدقيق في مدخل التوافق في Microsoft Purview أو عبر Office 365 واجهة برمجة تطبيقات نشاط الإدارةبشكل افتراضي.
لاسترداد إدخالات سجل تدقيق علبة البريد للمستخدمين الذين ليس لديهم تراخيص E5/A5/G5، يمكنك استخدام أي من الحلول البديلة التالية:
تمكين تدقيق علبة البريد يدويا على علب البريد الفردية (قم بتشغيل الأمر ،
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). بعد القيام بذلك، يمكنك استخدام عمليات البحث في سجل التدقيق في مدخل التوافق في Microsoft Purview أو عبر واجهة برمجة تطبيقات نشاط إدارة Office 365.ملاحظة
إذا ظهر أن تدقيق علبة البريد قد تم تمكينه بالفعل على علبة البريد، ولكن عمليات البحث لا ترجع أي نتائج، فقم بتغيير قيمة المعلمة AuditEnabled إلى
$falseثم العودة إلى$true.استخدم أوامر cmdlets التالية في Exchange Online PowerShell:
- Search-MailboxAuditLog للبحث في سجل تدقيق علبة البريد لمستخدمين محددين.
- New-MailboxAuditLogSearch للبحث في سجل تدقيق علبة البريد لمستخدمين محددين وإرسال النتائج عبر البريد الإلكتروني إلى مستلمين محددين.
استخدم مركز إدارة Exchange (EAC) في Exchange Online للقيام بالإجراءات التالية:
بشكل افتراضي، يتم الاحتفاظ بسجلات سجل تدقيق علبة البريد لمدة 90 يوما قبل حذفها. يمكنك تغيير الحد العمري لسجلات سجل التدقيق باستخدام المعلمة AuditLogAgeLimit على الأمر cmdlet Set-Mailbox في Exchange Online PowerShell. ومع ذلك، لا تسمح لك زيادة هذه القيمة بالبحث عن الأحداث الأقدم من 90 يوما في سجل التدقيق.
إذا قمت بزيادة الحد العمري، فستحتاج إلى استخدام Search-MailboxAuditLog cmdlet في Exchange Online PowerShell للبحث في سجل تدقيق علبة بريد المستخدم عن السجلات الأقدم من 90 يوما.
إذا قمت بتغيير الخاصية AuditLogAgeLimit لعلمة بريد قبل تشغيل تدقيق علبة البريد بشكل افتراضي للمؤسسة، فلن يتم تغيير الحد العمري الحالي لسجل التدقيق في علبة البريد. بمعنى آخر، لا يؤثر تدقيق علبة البريد بشكل افتراضي على الحد العمري الحالي لسجلات تدقيق علبة البريد.
لتغيير قيمة AuditLogAgeLimit في علبة بريد مجموعة Microsoft 365، تحتاج إلى تضمين
-GroupMailboxالمفتاح في الأمر Set-Mailbox .يتم تخزين سجلات سجل تدقيق علبة البريد في مجلد فرعي (يسمى Audits) في مجلد العناصر القابلة للاسترداد في علبة بريد كل مستخدم. ضع الأشياء التالية في الاعتبار حول سجلات تدقيق علبة البريد ومجلد العناصر القابلة للاسترداد:
تحسب سجلات تدقيق علبة البريد مقابل الحصة النسبية للتخزين لمجلد العناصر القابلة للاسترداد، والتي تبلغ 30 غيغابايت بشكل افتراضي (الحصة النسبية للتحذير هي 20 غيغابايت). تتم زيادة الحصة النسبية للتخزين تلقائيا إلى 100 غيغابايت (مع حصة تحذير 90 غيغابايت) عندما:
- يتم وضع تعليق على علبة بريد.
- يتم تعيين علبة البريد إلى نهج استبقاء في مدخل التوافق.
يتم أيضا احتساب سجلات تدقيق علبة البريد مقابل حد المجلد لمجلد العناصر القابلة للاسترداد. يمكن تخزين 3 ملايين عنصر كحد أقصى (سجلات التدقيق) في المجلد الفرعي Audits.
ملاحظة
من غير المحتمل أن يؤثر تدقيق علبة البريد بشكل افتراضي على الحصة النسبية للتخزين أو حد المجلد لمجلد العناصر القابلة للاسترداد.
يمكنك تشغيل الأمر التالي في Exchange Online PowerShell لعرض حجم وعدد العناصر في المجلد الفرعي Audits في مجلد العناصر القابلة للاسترداد:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderلا يمكنك الوصول مباشرة إلى سجل تدقيق في مجلد العناصر القابلة للاسترداد؛ بدلا من ذلك، يمكنك استخدام Search-MailboxAuditLog cmdlet أو البحث في سجل التدقيق للبحث عن سجلات تدقيق علبة البريد وعرضها.
إذا تم وضع علبة بريد قيد الانتظار أو تم تعيينها إلى نهج استبقاء في مدخل التوافق، فلا يزال يتم الاحتفاظ بسجلات سجل التدقيق طوال المدة المحددة بواسطة خاصية AuditLogAgeLimit الخاصة بعلبة البريد (90 يوما بشكل افتراضي). للاحتفاظ بسجلات سجل التدقيق لفترة أطول لعلب البريد قيد الانتظار، تحتاج إلى زيادة قيمة AuditLogAgeLimit لعلك البريد.
في بيئة متعددة المناطق الجغرافية، لا يتم دعم تدقيق علبة البريد عبر المناطق الجغرافية. على سبيل المثال، إذا تم تعيين أذونات لمستخدم للوصول إلى علبة بريد مشتركة في موقع جغرافي مختلف، فلن يتم تسجيل إجراءات علبة البريد التي ينفذها هذا المستخدم في سجل تدقيق علبة البريد لعلمة البريد المشتركة. تتوفر أحداث تدقيق مسؤول Exchange لجميع المواقع عبر Microsoft Purview و Search-UnifiedAuditLog cmdlet.