البحث في سجل التدقيق للتحقيق في مشكلات الدعم الشائعة

توضح هذه المقالة كيفية استخدام أداة البحث في سجل التدقيق لمساعدتك في التحقيق في مشكلات الدعم الشائعة. يتضمن ذلك استخدام سجل التدقيق من أجل:

• البحث عن عنوان IP للكمبيوتر المستخدم للوصول إلى حساب تم اختراقه
• تحديد من قام بإعداد إعادة توجيه البريد الإلكتروني لعلمة بريد
• تحديد ما إذا كان المستخدم قد حذف عناصر البريد الإلكتروني في علبة البريد الخاصة به
• تحديد ما إذا كان المستخدم قد أنشأ قاعدة علبة وارد
• التحقيق في سبب نجاح تسجيل الدخول من قبل مستخدم خارج مؤسستك
• البحث عن أنشطة علبة البريد التي يقوم بها المستخدمون الذين لديهم تراخيص غير E5
• البحث عن أنشطة علبة البريد التي يقوم بها المستخدمون المفوضون

تلميح

إذا لم تكن عميل E5، فاستخدم الإصدار التجريبي من حلول Microsoft Purview لمدة 90 يوما لاستكشاف كيفية مساعدة قدرات Purview الإضافية لمؤسستك في إدارة احتياجات أمان البيانات والامتثال. ابدأ الآن في مركز الإصدارات التجريبية مدخل التوافق في Microsoft Purview. تعرف على تفاصيل حول شروط التسجيل والإختبر.

استخدام أداة البحث في سجل التدقيق

يعتمد كل سيناريو من سيناريوهات استكشاف الأخطاء وإصلاحها الموضحة في هذه المقالة على استخدام أداة البحث في سجل التدقيق في مدخل التوافق في Microsoft Purview. يسرد هذا القسم الأذونات المطلوبة للبحث في سجل التدقيق ويصف خطوات الوصول إلى عمليات البحث في سجل التدقيق وتشغيلها. يشرح كل قسم سيناريو كيفية تكوين استعلام بحث سجل التدقيق وما يجب البحث عنه في المعلومات التفصيلية في سجلات التدقيق التي تطابق معايير البحث.

الأذونات المطلوبة لاستخدام أداة البحث في سجل التدقيق

يجب تعيين دور سجلات التدقيق للعرض فقط أو سجلات التدقيق في Exchange Online للبحث في سجل التدقيق. بشكل افتراضي، يتم تعيين هذه الأدوار لمجموعات أدوار إدارة التوافقوإدارة المؤسسة في صفحة الأذونات في مركز إدارة Exchange. تتم إضافة المسؤولين العموميين في Office 365 وMicrosoft 365 تلقائيا كأعضاء في مجموعة دور إدارة المؤسسة في Exchange Online. لمزيد من المعلومات، راجع إدارة مجموعات الأدوار في Exchange Online.

تشغيل عمليات البحث في سجل التدقيق

يصف هذا القسم أساسيات إنشاء عمليات البحث في سجل التدقيق وتشغيلها. استخدم هذه الإرشادات كنقطة بداية لكل سيناريو استكشاف الأخطاء وإصلاحها في هذه المقالة. للحصول على إرشادات أكثر تفصيلا خطوة بخطوة، راجع البحث في سجل التدقيق.

1. انتقل إلى https://compliance.microsoft.com/auditlogsearch وسجل الدخول باستخدام حساب العمل أو المؤسسة التعليمية.

2. يمكنك تكوين معايير البحث التالية. يوصي كل سيناريو استكشاف الأخطاء وإصلاحها في هذه المقالة بإرشادات محددة لتكوين هذه الحقول.

   أ. تاريخ البدءوتاريخ الانتهاء: حدد تاريخا ونطاقا زمنيا لعرض الأحداث التي حدثت خلال تلك الفترة. يتم تحديد الأيام السبعة الأخيرة بشكل افتراضي. يتم تقديم التاريخ والوقت بتنسيق التوقيت العالمي المتفق عليه (UTC). الحد الأقصى لنطاق التاريخ الذي يمكنك تحديده هو 90 يوما.

   ب. الانشطه: حدد القائمة المنسدلة لعرض الأنشطة التي يمكنك البحث فيها. بعد تشغيل البحث، يتم عرض سجلات التدقيق للأنشطة المحددة فقط. يؤدي تحديد إظهار النتائج لكافة الأنشطة إلى عرض النتائج لكافة الأنشطة التي تفي بمعايير البحث الأخرى. سيتعين عليك أيضا ترك هذا الحقل فارغا في بعض سيناريوهات استكشاف الأخطاء وإصلاحها.

   ج. المستخدمين: حدد في هذا المربع ثم حدد مستخدما واحدا أو أكثر لعرض نتائج البحث عنه. يتم عرض سجلات التدقيق للنشاط المحدد الذي يقوم به المستخدمون الذين تحددهم في هذا المربع في قائمة النتائج. اترك هذا المربع فارغا لإرجاع الإدخالات لجميع المستخدمين (وحسابات الخدمة) في مؤسستك.

   د. ملف أو مجلد أو موقع: اكتب بعض أو كل اسم ملف أو مجلد للبحث عن نشاط متعلق بملف المجلد الذي يحتوي على الكلمة الأساسية المحددة. يمكنك أيضا تحديد عنوان URL لملف أو مجلد. إذا كنت تستخدم عنوان URL، فتأكد من كتابة مسار URL الكامل أو إذا كتبت جزءا فقط من عنوان URL، فلا تقم بتضمين أي أحرف أو مسافات خاصة. اترك هذا المربع فارغا لإرجاع إدخالات لكافة الملفات والمجلدات في مؤسستك. يتم ترك هذا الحقل فارغا في جميع سيناريوهات استكشاف الأخطاء وإصلاحها في هذه المقالة.

3. حدد بحث لتشغيل البحث باستخدام معايير البحث.

   يتم تحميل نتائج البحث، وبعد لحظات قليلة يتم عرضها على صفحة في أداة البحث في سجل التدقيق. يوفر كل قسم من الأقسام في هذه المقالة إرشادات حول الأشياء التي يجب البحث عنها في سياق سيناريو استكشاف الأخطاء وإصلاحها المحدد.

   لمزيد من المعلومات حول عرض نتائج البحث في سجل التدقيق وتصديرها، راجع:

   • عرض نتائج البحث
   • تصدير نتائج البحث

البحث عن عنوان IP للكمبيوتر المستخدم للوصول إلى حساب تم اختراقه

يتم تضمين عنوان IP المقابل لنشاط يقوم به أي مستخدم في معظم سجلات التدقيق. يتم أيضا تضمين معلومات حول العميل المستخدم في سجل التدقيق.

فيما يلي كيفية تكوين استعلام بحث سجل التدقيق لهذا السيناريو:

الانشطه: إذا كان ذلك مناسبا لحالتك، فحدد نشاطا معينا للبحث عن. لاستكشاف أخطاء الحسابات المخترقة وإصلاحها، ضع في اعتبارك تحديد نشاط المستخدم الذي سجل الدخول إلى علبة البريد ضمن أنشطة علبة بريد Exchange. يؤدي ذلك إلى إرجاع سجلات التدقيق التي تعرض عنوان IP الذي تم استخدامه عند تسجيل الدخول إلى علبة البريد. وإلا، اترك هذا الحقل فارغا لإرجاع سجلات التدقيق لجميع الأنشطة.

تلميح

سيؤدي ترك هذا الحقل فارغا إلى إرجاع أنشطة UserLoggedIn ، وهو نشاط Azure Active Directory يشير إلى أن شخصا ما قام بتسجيل الدخول إلى حساب مستخدم. استخدم التصفية في نتائج البحث لعرض سجلات تدقيق UserLoggedIn .

تاريخ البدءوتاريخ الانتهاء: حدد نطاق تاريخ ينطبق على التحقيق الخاص بك.

المستخدمين: إذا كنت تحقق في حساب تم اختراقه، فحدد المستخدم الذي تم اختراق حسابه. يؤدي ذلك إلى إرجاع سجلات التدقيق للأنشطة التي يقوم بها حساب المستخدم هذا.

ملف أو مجلد أو موقع: اترك هذا الحقل فارغا.

بعد تشغيل البحث، يتم عرض عنوان IP لكل نشاط في عمود عنوان IP في نتائج البحث. حدد السجل في نتائج البحث لعرض معلومات أكثر تفصيلا على صفحة القائمة المنبثقة.

تحديد من قام بإعداد إعادة توجيه البريد الإلكتروني لعلمة بريد

عند تكوين إعادة توجيه البريد الإلكتروني لعلمة بريد، تتم إعادة توجيه رسائل البريد الإلكتروني التي يتم إرسالها إلى علبة البريد إلى علبة بريد أخرى. يمكن إعادة توجيه الرسائل إلى المستخدمين داخل مؤسستك أو خارجها. عند إعداد إعادة توجيه البريد الإلكتروني على علبة بريد، يكون الأمر الأساسي Exchange Online cmdlet المستخدم هو Set-Mailbox.

فيما يلي كيفية تكوين استعلام بحث سجل التدقيق لهذا السيناريو:

الانشطه: اترك هذا الحقل فارغا بحيث يقوم البحث بإرجاع سجلات التدقيق لجميع الأنشطة. هذا ضروري لإرجاع أي سجلات تدقيق تتعلق ب Set-Mailbox cmdlet.

تاريخ البدءوتاريخ الانتهاء: حدد نطاق تاريخ ينطبق على التحقيق الخاص بك.

المستخدمين: ما لم تكن تحقق في مشكلة إعادة توجيه البريد الإلكتروني لمستخدم معين، اترك هذا الحقل فارغا. يساعدك هذا في تحديد ما إذا كان قد تم إعداد إعادة توجيه البريد الإلكتروني لأي مستخدم.

ملف أو مجلد أو موقع: اترك هذا الحقل فارغا.

بعد تشغيل البحث، حدد تصفية النتائج في صفحة نتائج البحث. في المربع أسفل رأس عمود النشاط ، اكتب Set-Mailbox بحيث يتم عرض سجلات التدقيق المتعلقة ب Cmdlet Set-Mailbox فقط.

في هذه المرحلة، يجب عليك إلقاء نظرة على تفاصيل كل سجل تدقيق لتحديد ما إذا كان النشاط مرتبطا بإعادة توجيه البريد الإلكتروني. حدد سجل التدقيق لعرض صفحة القائمة المنبثقة التفاصيل ، ثم حدد مزيد من المعلومات. تسلط لقطة الشاشة والأوصاف التالية الضوء على المعلومات التي تشير إلى تعيين إعادة توجيه البريد الإلكتروني على علبة البريد.

أ. في الحقل ObjectId ، يتم عرض الاسم المستعار لعلمة البريد التي تم تعيين إعادة توجيه البريد الإلكتروني عليها. يتم أيضا عرض علبة البريد هذه على عمود العنصر في صفحة نتائج البحث.

ب. في حقل Parameters ، تشير القيمة ForwardingSmtpAddress إلى أنه تم تعيين إعادة توجيه البريد الإلكتروني على علبة البريد. في هذا المثال، تتم إعادة توجيه البريد إلى عنوان mike@contoso.comالبريد الإلكتروني ، الموجود خارج المؤسسة alpinehouse.onmicrosoft.com.

ج. تشير القيمة True للمعلمة DeliverToMailboxAndForward إلى sarad@alpinehouse.onmicrosoft.com أنه يتم تسليم نسخة من الرسالة إلى وإعادة توجيهها إلى عنوان البريد الإلكتروني المحدد بواسطة المعلمة ForwardingSmtpAddress، والتي في هذا المثال هي mike@contoso.com. إذا تم تعيين قيمة المعلمة DeliverToMailboxAndForward إلى False، فسيتم إعادة توجيه البريد الإلكتروني فقط إلى العنوان المحدد بواسطة المعلمة ForwardingSmtpAddress . لم يتم تسليمه إلى علبة البريد المحددة في الحقل ObjectId .

د. يشير الحقل UserId إلى المستخدم الذي قام بتعيين إعادة توجيه البريد الإلكتروني على علبة البريد المحددة في الحقل ObjectId . يتم عرض هذا المستخدم أيضا في عمود المستخدم في صفحة نتائج البحث. في هذه الحالة، يبدو أن مالك علبة البريد يقوم بتعيين إعادة توجيه البريد الإلكتروني على علبة بريدها.

إذا حددت أنه لا ينبغي تعيين إعادة توجيه البريد الإلكتروني على علبة البريد، فيمكنك إزالتها عن طريق تشغيل الأمر التالي في Exchange Online PowerShell:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null 

لمزيد من المعلومات حول المعلمات المتعلقة بإعادة توجيه البريد الإلكتروني، راجع مقالة Set-Mailbox .

تحديد ما إذا كان المستخدم قد حذف عناصر البريد الإلكتروني

بدءا من يناير 2019، تقوم Microsoft بتشغيل تسجيل تدقيق علبة البريد بشكل افتراضي لجميع مؤسسات Office 365 وMicrosoft. وهذا يعني أن بعض الإجراءات التي يتم تنفيذها من قبل مالكي علب البريد يتم تسجيلها تلقائيا، وتتوفر سجلات تدقيق علبة البريد المقابلة عند البحث عنها في سجل تدقيق علبة البريد. قبل تشغيل تدقيق علبة البريد بشكل افتراضي، كان عليك تمكينه يدويا لكل علبة بريد مستخدم في مؤسستك.

تتضمن إجراءات علبة البريد التي تم تسجيلها بشكل افتراضي إجراءات علبة بريد SoftDelete و HardDelete التي ينفذها مالكو علب البريد. وهذا يعني أنه يمكنك استخدام الخطوات التالية للبحث في سجل التدقيق عن الأحداث المتعلقة بعناصر البريد الإلكتروني المحذوفة. لمزيد من المعلومات حول تدقيق علبة البريد بشكل افتراضي، راجع إدارة تدقيق علبة البريد.

فيما يلي كيفية تكوين استعلام بحث سجل التدقيق لهذا السيناريو:

الانشطه: ضمن أنشطة علبة بريد Exchange، حدد أحد الأنشطة التالية أو كليهما:

• الرسائل المحذوفة من مجلد العناصر المحذوفة: يتوافق هذا النشاط مع إجراء تدقيق علبة بريد SoftDelete . يتم تسجيل هذا النشاط أيضا عندما يحذف المستخدم عنصرا نهائيا عن طريق تحديده والضغط على Shift+Delete. بعد حذف عنصر نهائيا، يمكن للمستخدم استرداده حتى تنتهي فترة الاحتفاظ بالعنصر المحذوف.

• الرسائل التي تمت إزالتها من علبة البريد: يتوافق هذا النشاط مع إجراء تدقيق علبة بريد HardDelete . يتم تسجيل هذا عندما يقوم مستخدم بإزالة عنصر من مجلد العناصر القابلة للاسترداد. يمكن للمسؤولين استخدام أداة البحث في المحتوى في مدخل التوافق للبحث عن العناصر المطهرة واستردادها حتى تنتهي فترة استبقاء العناصر المحذوفة أو أطول إذا كانت علبة بريد المستخدم قيد الانتظار.

تاريخ البدءوتاريخ الانتهاء: حدد نطاق تاريخ ينطبق على التحقيق الخاص بك.

المستخدمين: إذا حددت مستخدما في هذا الحقل، فترجع أداة البحث في سجل التدقيق سجلات التدقيق لعناصر البريد الإلكتروني التي تم حذفها (SoftDeleted أو HardDeleted) بواسطة المستخدم الذي تحدده. في بعض الأحيان، قد لا يكون المستخدم الذي يحذف رسالة بريد إلكتروني مالك علبة البريد.

ملف أو مجلد أو موقع: اترك هذا الحقل فارغا.

بعد تشغيل البحث، يمكنك تصفية نتائج البحث لعرض سجلات التدقيق للعناصر المحذوفة مبدئيا أو للعناصر المحذوفة بشكل مضمن. حدد سجل التدقيق لعرض صفحة القائمة المنبثقة التفاصيل ، ثم حدد مزيد من المعلومات. يتم عرض معلومات إضافية حول العنصر المحذوف، مثل سطر الموضوع وموقع العنصر عند حذفه، في الحقل AffectedItems . تظهر لقطات الشاشة التالية مثالا لحقل AffectedItems من عنصر محذوف مبدئيا وعنصر محذوف بشكل مضمن.

مثال لحقل AffectedItems للعنصر المحذوف مبدئيا

مثال لحقل AffectedItems للعنصر المحذوف بشكل مضمن

استرداد عناصر البريد الإلكتروني المحذوفة

يمكن للمستخدمين استرداد العناصر المحذوفة مبدئيا إذا لم تنته فترة استبقاء العناصر المحذوفة. في Exchange Online، تكون فترة استبقاء العناصر المحذوفة الافتراضية 14 يوما، ولكن يمكن للمسؤولين زيادة هذا الإعداد إلى 30 يوما كحد أقصى. أشر المستخدمين إلى المقالة استرداد العناصر المحذوفة أو البريد الإلكتروني في Outlook على ويب للحصول على إرشادات حول استرداد العناصر المحذوفة.

كما هو موضح سابقا، قد يتمكن المسؤولون من استرداد العناصر المحذوفة بشكل مضمن إذا لم تنته فترة الاحتفاظ بالعنصر المحذوف أو إذا كانت علبة البريد قيد الانتظار، وفي هذه الحالة يتم الاحتفاظ بالعناصر حتى تنتهي مدة الانتظار. عند تشغيل بحث في المحتوى، يتم إرجاع العناصر المحذوفة مبدئيا والمحذوفة في مجلد العناصر القابلة للاسترداد في نتائج البحث إذا كانت تطابق استعلام البحث. لمزيد من المعلومات حول تشغيل عمليات البحث في المحتوى، راجع البحث في المحتوى في Office 365.

تلميح

للبحث عن عناصر البريد الإلكتروني المحذوفة، ابحث عن كل سطر الموضوع المعروض في الحقل AffectedItems أو جزء منه في سجل التدقيق.

تحديد ما إذا كان المستخدم قد أنشأ قاعدة علبة وارد

عندما ينشئ المستخدمون قاعدة علبة وارد لعلبتهم Exchange Online، يتم حفظ سجل تدقيق مطابق في سجل التدقيق. لمزيد من المعلومات حول قواعد علبة الوارد، راجع:

• استخدام قواعد علبة الوارد في Outlook على ويب
• إدارة رسائل البريد الإلكتروني في Outlook باستخدام القواعد

فيما يلي كيفية تكوين استعلام بحث سجل التدقيق لهذا السيناريو:

الانشطه: ضمن أنشطة علبة بريد Exchange، حدد أحد الأنشطة التالية أو كليهما:

• New-InboxRule Create new inbox rule from Outlook Web App. يقوم هذا النشاط بإرجاع سجلات التدقيق عند إنشاء قواعد علبة الوارد باستخدام تطبيق Outlook على الويب أو Exchange Online PowerShell.

• قواعد علبة الوارد المحدثة من عميل Outlook. يقوم هذا النشاط بإرجاع سجلات التدقيق عند إنشاء قواعد علبة الوارد أو تعديلها أو إزالتها باستخدام عميل Outlook لسطح المكتب.

تاريخ البدءوتاريخ الانتهاء: حدد نطاق تاريخ ينطبق على التحقيق الخاص بك.

المستخدمين: ما لم تكن تحقق في مستخدم معين، اترك هذا الحقل فارغا. يساعدك هذا في تحديد قواعد علبة الوارد الجديدة التي أعدها أي مستخدم.

ملف أو مجلد أو موقع: اترك هذا الحقل فارغا.

بعد تشغيل البحث، يتم عرض أي سجلات تدقيق لهذا النشاط في نتائج البحث. حدد سجل تدقيق لعرض صفحة القائمة المنبثقة التفاصيل ، ثم حدد مزيد من المعلومات. يتم عرض معلومات حول إعدادات قاعدة علبة الوارد في حقل المعلمات . تسلط لقطة الشاشة والأوصاف التالية الضوء على المعلومات حول قواعد علبة الوارد.

أ. في الحقل ObjectId ، يتم عرض الاسم الكامل لقاعدة علبة الوارد. يتضمن هذا الاسم الاسم المستعار لعلمة بريد المستخدم (على سبيل المثال، SaraD) واسم قاعدة علبة الوارد (على سبيل المثال، "نقل الرسائل من المسؤول").

ب. في حقل Parameters ، يتم عرض شرط قاعدة علبة الوارد. في هذا المثال، يتم تحديد الشرط بواسطة المعلمة From . تشير القيمة المحددة للمعلمة From إلى أن قاعدة علبة الوارد تعمل على البريد الإلكتروني المرسل بواسطة admin@alpinehouse.onmicrosoft.com. للحصول على قائمة كاملة بالمعلمات التي يمكن استخدامها لتعريف شروط قواعد علبة الوارد، راجع مقالة New-InboxRule .

ج. تحدد المعلمة MoveToFolder الإجراء لقاعدة علبة الوارد. في هذا المثال، يتم نقل الرسائل المستلمة من admin@alpinehouse.onmicrosoft.com إلى المجلد المسمى AdminSearch. راجع أيضا مقالة New-InboxRule للحصول على قائمة كاملة بالمعلمات التي يمكن استخدامها لتعريف إجراء قاعدة علبة الوارد.

د. يشير الحقل UserId إلى المستخدم الذي أنشأ قاعدة علبة الوارد المحددة في الحقل ObjectId . يتم عرض هذا المستخدم أيضا في عمود المستخدم في صفحة نتائج البحث.

التحقيق في سبب نجاح تسجيل الدخول من قبل مستخدم خارج مؤسستك

عند مراجعة سجلات التدقيق في سجل التدقيق، قد ترى السجلات التي تشير إلى أن مستخدما خارجيا تمت مصادقته بواسطة Azure Active Directory وتسجيل الدخول بنجاح إلى مؤسستك. على سبيل المثال، قد يرى مسؤول في contoso.onmicrosoft.com سجل تدقيق يظهر أن مستخدما من مؤسسة مختلفة (على سبيل المثال، fabrikam.onmicrosoft.com) قام بتسجيل الدخول بنجاح إلى contoso.onmicrosoft.com. وبالمثل، قد ترى سجلات التدقيق التي تشير إلى المستخدمين الذين لديهم حساب Microsoft (MSA)، مثل Outlook.com أو Live.com، سجلوا الدخول بنجاح إلى مؤسستك. في هذه الحالات، يكون النشاط المدقق هو تسجيل دخول المستخدم.

هذا السلوك حسب التصميم. يسمح Azure Active Directory (Azure AD)، وهي خدمة الدليل، بشيء يسمى مصادقة المرور عندما يحاول مستخدم خارجي الوصول إلى موقع SharePoint أو موقع OneDrive في مؤسستك. عندما يحاول المستخدم الخارجي القيام بذلك، تتم مطالبته بإدخال بيانات الاعتماد الخاصة به. يستخدم Azure AD بيانات الاعتماد لمصادقة المستخدم، ما يعني فقط Azure AD يتحقق من أن المستخدم هو من يقول أنه هو. الإشارة إلى تسجيل الدخول الناجح في سجل التدقيق هو نتيجة Azure AD مصادقة المستخدم. لا يعني تسجيل الدخول الناجح أن المستخدم كان قادرا على الوصول إلى أي موارد أو تنفيذ أي إجراءات أخرى في مؤسستك. يشير فقط إلى أن المستخدم تمت مصادقته بواسطة Azure AD. لكي يتمكن المستخدم التمريري من الوصول إلى موارد SharePoint أو OneDrive، يتعين على المستخدم في مؤسستك مشاركة مورد بشكل صريح مع المستخدم الخارجي عن طريق إرسال دعوة مشاركة أو ارتباط مشاركة مجهول له.

ملاحظة

يسمح Azure AD بالمصادقة التمريرية فقط لتطبيقات الطرف الأول، مثل SharePoint Online OneDrive for Business. غير مسموح به لتطبيقات الجهات الخارجية الأخرى.

فيما يلي مثال ووصف للخصائص ذات الصلة في سجل تدقيق لمستخدم قام بتسجيل الدخول في حدث ناتج عن مصادقة المرور. حدد سجل التدقيق لعرض صفحة القائمة المنبثقة التفاصيل ، ثم حدد مزيد من المعلومات.

أ. يشير هذا الحقل إلى أنه لم يتم العثور على المستخدم الذي حاول الوصول إلى مورد في مؤسستك في Azure AD مؤسستك.

ب. يعرض هذا الحقل UPN للمستخدم الخارجي الذي حاول الوصول إلى مورد في مؤسستك. يتم تعريف معرف المستخدم هذا أيضا في خصائص UserوUserId في سجل التدقيق.

ج. تحدد الخاصية ApplicationId التطبيق الذي قام بتشغيل طلب تسجيل الدخول. تشير قيمة 000000003-0000-0ff1-ce00-0000000000000 المعروضة في الخاصية ApplicationId في سجل التدقيق هذا إلى SharePoint Online. يحتوي OneDrive for Business أيضا على ApplicationId نفسه هذا.

د. يشير هذا إلى نجاح مصادقة المرور. بمعنى آخر، تمت مصادقة المستخدم بنجاح بواسطة Azure AD.

ه. تشير قيمة RecordTypeالبالغة 15 إلى أن النشاط المدقق (UserLoggedIn) هو حدث تسجيل دخول خدمة الرمز المميز الآمن (STS) في Azure AD.

لمزيد من المعلومات حول الخصائص الأخرى المعروضة في سجل تدقيق UserLoggedIn، راجع معلومات المخطط المتعلقة Azure AD في مخطط واجهة برمجة تطبيقات نشاط إدارة Office 365.

فيما يلي مثالان على السيناريوهات التي من شأنها أن تؤدي إلى تسجيل مستخدم ناجح في نشاط التدقيق بسبب مصادقة المرور:

• حاول مستخدم لديه حساب Microsoft (مثل SaraD@outlook.com) الوصول إلى مستند في حساب OneDrive for Business في fourthcoffee.onmicrosoft.com ولا يوجد حساب SaraD@outlook.com مستخدم ضيف مقابل في fourthcoffee.onmicrosoft.com.

• حاول مستخدم لديه حساب العمل أو المؤسسة التعليمية في مؤسسة (مثل pilarp@fabrikam.onmicrosoft.com) الوصول إلى موقع SharePoint في contoso.onmicrosoft.com ولا يوجد حساب pilarp@fabrikam.com مستخدم ضيف مقابل في contoso.onmicrosoft.com.

تلميحات للتحقيق في عمليات تسجيل الدخول الناجحة الناتجة عن المصادقة التمريرية

• ابحث في سجل التدقيق عن الأنشطة التي يقوم بها المستخدم الخارجي المحدد في سجل تدقيق المستخدم الذي قام بتسجيل الدخول . اكتب UPN للمستخدم الخارجي في المربع المستخدمون واستخدم نطاق تاريخ إذا كان ذا صلة بالسيناريو الخاص بك. على سبيل المثال، يمكنك إنشاء بحث باستخدام معايير البحث التالية:

  

  بالإضافة إلى أنشطة تسجيل دخول المستخدم ، قد يتم إرجاع سجلات تدقيق أخرى، مثل تلك التي تشير إلى مشاركة مستخدم في مؤسستك للموارد مع المستخدم الخارجي وما إذا كان المستخدم الخارجي قد قام بالوصول إلى مستند تمت مشاركته معه أو تعديله أو تنزيله.

• ابحث عن أنشطة مشاركة SharePoint التي تشير إلى مشاركة ملف مع المستخدم الخارجي الذي تم تعريفه بواسطة سجل تدقيق قام المستخدم بتسجيل الدخول . لمزيد من المعلومات، راجع استخدام تدقيق المشاركة في سجل التدقيق.

• قم بتصدير نتائج البحث في سجل التدقيق التي تحتوي على سجلات ذات صلة بالتحقيق الخاص بك بحيث يمكنك استخدام Excel للبحث عن أنشطة أخرى تتعلق بالمستخدم الخارجي. لمزيد من المعلومات، راجع تصدير سجلات سجل التدقيق وتكوينها وعرضها.

البحث عن أنشطة علبة البريد التي يقوم بها المستخدمون الذين لديهم تراخيص غير E5

حتى عند تشغيل تدقيق علبة البريد بشكل افتراضي لمؤسستك، قد تلاحظ أنه لم يتم العثور على أحداث تدقيق علبة البريد لبعض المستخدمين في عمليات البحث في سجل التدقيق باستخدام مدخل التوافق أو Search-UnifiedAuditLog cmdlet أو Office 365 Management Activity API. والسبب في ذلك هو أن أحداث تدقيق علبة البريد سيتم إرجاعها فقط للمستخدمين الذين لديهم تراخيص E5 عند إحدى الطرق السابقة للبحث في سجل التدقيق الموحد.

لاسترداد سجلات سجل تدقيق علبة البريد للمستخدمين غير E5، يمكنك تنفيذ أحد الحلول البديلة التالية:

• تمكين تدقيق علبة البريد يدويا على علب البريد الفردية (قم بتشغيل Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true الأمر في Exchange Online PowerShell). بعد القيام بذلك، ابحث عن أنشطة تدقيق علبة البريد باستخدام مدخل التوافق أو Search-UnifiedAuditLog cmdlet أو Office 365 Management Activity API.

  ملاحظة

  إذا ظهر أن تدقيق علبة البريد قد تم تمكينه بالفعل على علبة البريد، ولكن عمليات البحث لا ترجع أي نتائج، فقم بتغيير قيمة المعلمة AuditEnabled إلى $false ثم العودة إلى $true.

• استخدم أوامر cmdlets التالية في Exchange Online PowerShell:

  • Search-MailboxAuditLog للبحث في سجل تدقيق علبة البريد لمستخدمين محددين.

  • New-MailboxAuditLogSearch للبحث في سجل تدقيق علبة البريد لمستخدمين محددين وإرسال النتائج عبر البريد الإلكتروني إلى مستلمين محددين.

البحث عن أنشطة علبة البريد التي يتم تنفيذها في علبة بريد معينة (بما في ذلك علب البريد المشتركة)

عند استخدام القائمة المنسدلة Users في أداة البحث في سجل التدقيق في مدخل التوافق أو الأمر Search-UnifiedAuditLog -UserIds في Exchange Online PowerShell، يمكنك البحث عن الأنشطة التي يقوم بها مستخدم معين. بالنسبة لأنشطة تدقيق علبة البريد، سيبحث هذا النوع من البحث عن الأنشطة التي يقوم بها المستخدم المحدد. لا يضمن إرجاع جميع الأنشطة التي يتم تنفيذها في علبة البريد نفسها في نتائج البحث. على سبيل المثال، لن يرجع البحث في سجل التدقيق سجلات التدقيق للأنشطة التي يقوم بها مستخدم مفوض لأن البحث عن أنشطة علبة البريد التي يقوم بها مستخدم معين لن يرجع الأنشطة التي يقوم بها مستخدم مفوض تم تعيين أذونات له للوصول إلى علبة بريد مستخدم آخر. (المستخدم المفوض هو شخص تم تعيين إذن علبة بريد SendAs أو SendOnBehalf أو FullAccess إلى علبة بريد مستخدم آخر.)

أيضا، لن يؤدي استخدام القائمة المنسدلة User في أداة البحث في سجل التدقيق أو Search-UnifiedAuditLog -UserIds إلى إرجاع نتائج الأنشطة التي تم تنفيذها في علبة بريد مشتركة.

للبحث عن الأنشطة التي تم تنفيذها في علبة بريد معينة أو للبحث عن الأنشطة التي تم تنفيذها في علبة بريد مشتركة، استخدم بناء الجملة التالي عند تشغيل الأمر Cmdlet Search-UnifiedAuditLog :

Search-UnifiedAuditLog  -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

على سبيل المثال، يقوم الأمر التالي بإرجاع سجلات التدقيق للأنشطة التي تم تنفيذها في علبة البريد المشتركة لفريق التوافق Contoso بين أغسطس 2020 وأكتوبر 2020:

Search-UnifiedAuditLog  -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid

بدلا من ذلك، يمكنك استخدام Search-MailboxAuditLog cmdlet للبحث عن سجلات التدقيق للنشاط الذي يتم تنفيذه في علبة بريد معينة. يتضمن ذلك البحث عن الأنشطة التي يتم تنفيذها في علبة بريد مشتركة.

يقوم المثال التالي بإرجاع سجلات سجل تدقيق علبة البريد للأنشطة التي تم تنفيذها في علبة البريد المشتركة لفريق التوافق Contoso:

Search-MailboxAuditLog -Identity complianceteam@contoso.onmicrosoft.com -StartDate 08/01/2020 -EndDate 10/31/2020 -ShowDetails

يقوم المثال التالي بإرجاع سجلات سجل تدقيق علبة البريد للأنشطة التي تم تنفيذها في علبة البريد المحددة من قبل المستخدمين المفوضين:

Search-MailboxAuditLog -Identity <mailbox identity> -StartDate <date> -EndDate <date> -LogonTypes Delegate -ShowDetails

يمكنك أيضا استخدام الأمر New-MailboxAuditLogSearch cmdlet للبحث في سجل التدقيق عن علبة بريد معينة وإرسال النتائج عبر البريد الإلكتروني إلى مستلمين محددين.