Verwalten der Postfächern
Die Postfachüberwachungsprotokollierung ist in allen Organisationen standardmäßig aktiviert. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretungen und Administratoren ausgeführt werden, automatisch protokolliert werden. Die entsprechenden Postfachüberwachungsdatensätze können Administratoren im Postfachüberwachungsprotokoll durchsuchen.
Die Standardmäßige Postfachüberwachung hat folgende Vorteile:
- Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen. Sie müssen die Postfachüberwachung für neue Benutzer nicht manuell aktivieren.
- Sie müssen die überwachten Postfachaktionen nicht verwalten. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Administrator, Stellvertretung und Besitzer) überwacht.
- Wenn Microsoft eine neue Postfachaktion freigibt, wird die Aktion möglicherweise automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (sofern der Benutzer über die entsprechende Lizenz verfügt). Dieses Ergebnis bedeutet, dass Sie keine neuen Aktionen für Postfächer hinzufügen müssen, wenn sie freigegeben werden.
- Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihrer Organisation (da Sie dieselben Aktionen für alle Postfächer überwachen).
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Überprüfen, ob die Postfachüberwachung standardmäßig aktiviert ist
Um zu überprüfen, ob die Postfachüberwachung für Ihre Organisation standardmäßig aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-OrganizationConfig | Format-List AuditDisabled
Der Wert False gibt an, dass die Postfachüberwachung für die Organisation standardmäßig aktiviert ist. Die Postfachüberwachung in der Organisation setzt standardmäßig die Postfachüberwachungseinstellungen für einzelne Postfächer außer Kraft. Wenn beispielsweise die Postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist False), werden die Standardpostfachaktionen für das Postfach weiterhin überwacht, da die Postfachüberwachung für die Organisation standardmäßig aktiviert ist.
Damit die Postfachüberwachung für bestimmte Postfächer deaktiviert bleibt, konfigurieren Sie die Postfachüberwachungsumgehung für den Postfachbesitzer und andere Benutzer mit delegiertem Zugriff auf das Postfach. Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Umgehen der Postfachüberwachungsprotokollierung .
Hinweis
Wenn die Postfachüberwachung für die Organisation standardmäßig aktiviert ist, wird die AuditEnabled-Eigenschaft für betroffene Postfächer nicht von False in True geändert. Anders ausgedrückt: Die Postfachüberwachung für ignoriert standardmäßig die AuditEnabled-Eigenschaft für Postfächer.
Unterstützte Postfachtypen
Postfachtypen, die standardmäßig von der Postfachüberwachung für unterstützt werden, werden in der folgenden Tabelle beschrieben:
Postfachtyp | Überwachung unterstützt | Standardmäßig aktiviert |
---|---|---|
Benutzerpostfächer | ✔ | ✔ |
Freigegebene Postfächer | ✔ | ✔ |
Microsoft 365-Gruppenpostfächer | ✔ | ✔ |
Ressourcenpostfächer | ✔ | |
Postfächer für öffentliche Ordner |
Anmeldetypen und Postfachaktionen
Anmeldetypen klassifizieren, wer für die überwachten Aktionen im Postfach verantwortlich ist. In der folgenden Liste werden die Anmeldetypen beschrieben, die in der Postfachüberwachungsprotokollierung verwendet werden:
- Besitzer: Der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).
-
Delegat:
- Ein Benutzer, dem die Berechtigung SendAs, SendOnBehalf oder FullAccess für ein anderes Postfach zugewiesen wurde.
- Ein Administrator, dem die FullAccess-Berechtigung für das Postfach eines Benutzers zugewiesen wurde.
-
Administrator:
- Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
- eDiscovery im Microsoft Purview-Portal oder Complianceportal.
- In-Place eDiscovery in Exchange Online.
- Der Zugriff auf das Postfach erfolgt über den MapI-Editor von Microsoft Exchange Server.
- Auf das Postfach wird durch ein Konto zugegriffen, das die Identität eines anderen Benutzers angibt. Dies tritt auf, wenn die ApplicationImpersonation-Rolle einem Konto zugewiesen wird, z. B. einer Anwendung, die jetzt aktiv auf die Daten zugreift. Weitere Informationen finden Sie unter Konfigurieren des Identitätswechsels.
- Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer
In der folgenden Tabelle werden die Postfachaktionen beschrieben, die in der Postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer verfügbar sind.
- Ein Häkchen (✔) gibt an, dass die Postfachaktion für den Anmeldetyp protokolliert werden kann (nicht alle Aktionen sind für alle Anmeldetypen verfügbar).
- Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Postfachaktion standardmäßig für den Anmeldetyp protokolliert wird.
- Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Postfach als Stellvertretung betrachtet wird.
Postfachaktion | Beschreibung | Administrator | Stellvertretung | Besitzer |
---|---|---|---|---|
AddFolderPermissions | Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht. | |||
ApplyRecord | Ein Element wird als Datensatz bezeichnet. | ✔* | ✔* | ✔* |
Copy | Eine Nachricht wurde in einen anderen Ordner kopiert. | ✔ | ||
Create | Ein Element wurde im Ordner Kalender, Kontakte, Entwurf, Notizen oder Aufgaben im Postfach erstellt (z. B. wird eine neue Besprechungsanfrage erstellt). Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht. | ✔* | ✔* | ✔ |
FolderBind | Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet. Hinweis: Überwachungsdatensätze für Ordnerbindungsaktionen, die von Delegaten ausgeführt werden, werden konsolidiert. Innerhalb eines Zeitraums von 24 Stunden wird ein Überwachungsdatensatz für den Zugriff auf einzelne Ordner generiert. |
✔ | ✔ | |
HardDelete | Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. | ✔* | ✔* | ✔* |
MailboxLogin | Der Benutzer hat sich bei ihrem Postfach angemeldet. | ✔ | ||
MailItemsAccessed | Tritt auf, wenn von E-Mail-Protokollen und Clients auf E-Mail-Daten zugegriffen wird. | ✔* | ✔* | ✔* |
MessageBind |
Hinweis: Dieser Wert ist nur für Benutzer ohne E5/A5/G5-Lizenzen verfügbar. Eine Nachricht wurde im Vorschaubereich angezeigt oder von einem Administrator geöffnet. |
✔ | ||
ModifyFolderPermissions | Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht. | |||
Move | Eine Nachricht wurde in einen anderen Ordner verschoben. | ✔ | ✔ | ✔ |
MoveToDeletedItems | Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. | ✔* | ✔* | ✔* |
RecordDelete | Ein Element, das als Datensatz bezeichnet ist, wurde vorläufig gelöscht (in den Ordner "Wiederherstellbare Elemente" verschoben). Als Datensätze bezeichnete Elemente können nicht endgültig gelöscht werden (aus dem Ordner "Wiederherstellbare Elemente" gelöscht). | ✔ | ✔ | ✔ |
RemoveFolderPermissions | Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht. | |||
SearchQueryInitiated | Eine Person verwendet Outlook (Windows, Mac, iOS, Android oder Outlook im Web) oder die Mail-App für Windows 10, um nach Elementen in einem Postfach zu suchen. | ✔ | ||
Send | Der Benutzer sendet eine E-Mail-Nachricht, antwortet auf eine E-Mail-Nachricht oder leitet eine E-Mail-Nachricht weiter. | ✔* | ✔* | |
SendAs | Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Diese Berechtigung ermöglicht es einem anderen Benutzer, die Nachricht so zu senden, als ob sie vom Postfachbesitzer stammte. | ✔* | ✔* | |
SendOnBehalf | Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Diese Berechtigung ermöglicht es einem anderen Benutzer, die Nachricht im Namen des Postfachbesitzers zu senden. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. | ✔* | ✔* | |
SoftDelete | Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. | ✔* | ✔* | ✔* |
Update | Eine Nachricht oder eine der zugehörigen Eigenschaften wurde geändert. | ✔* | ✔* | ✔* |
UpdateCalendarDelegation | Einem Postfach wurde eine Kalenderdelegierung zugewiesen. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. | ✔* | ✔* | |
UpdateFolderPermissions | Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. | ✔* | ✔* | ✔* |
UpdateInboxRules | Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert. Posteingangsregeln verarbeiten Nachrichten im Posteingang des Benutzers basierend auf Bedingungen. Aktionen geben an, was mit Nachrichten geschehen soll, die den Bedingungen der Regel entsprechen. Verschieben Sie beispielsweise die Nachricht in einen angegebenen Ordner, oder löschen Sie die Nachricht. | ✔* | ✔* | ✔* |
Wichtig
Wenn Sie die Postfachaktionen für die Überwachung angepasst haben, bevor die Postfachüberwachung standardmäßig in Ihrer Organisation aktiviert wurde, werden die benutzerdefinierten Postfachüberwachungseinstellungen für das Postfach beibehalten und nicht durch die standardmäßigen Postfachaktionen überschrieben, wie in diesem Abschnitt beschrieben. Informationen zum Zurücksetzen der Überwachungspostfachaktionen auf ihre Standardwerte (was Sie jederzeit tun können), finden Sie im Abschnitt Wiederherstellen der Standardpostfachaktionen weiter unten in diesem Artikel.
Postfachaktionen für Microsoft 365-Gruppenpostfächer
Die Postfachüberwachung aktiviert standardmäßig die Postfachüberwachungsprotokollierung für Microsoft 365-Gruppenpostfächer, aber Sie können nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für jeden Anmeldetyp protokolliert werden).
In der folgenden Tabelle werden die Postfachaktionen beschrieben, die standardmäßig in Microsoft 365-Gruppenpostfächern für jeden Anmeldetyp protokolliert werden.
Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Microsoft 365-Gruppenpostfach als Stellvertretung betrachtet wird.
Postfachaktion | Beschreibung | Administrator | Stellvertretung | Besitzer |
---|---|---|---|---|
Create | Erstellen eines Kalenderelements. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. | ✔* | ✔* | |
HardDelete | Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. | ✔* | ✔* | ✔* |
MoveToDeletedItems | Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. | ✔* | ✔* | ✔* |
SendAs | Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. | ✔* | ✔* | |
SendOnBehalf | Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. | ✔* | ✔* | |
SoftDelete | Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. | ✔* | ✔* | ✔* |
Update | Eine Nachricht oder eine der zugehörigen Eigenschaften wurde geändert. | ✔* | ✔* | ✔* |
Vergewissern Sie sich, dass standardpostfache Aktionen für jeden Anmeldetyp protokolliert werden.
Die Postfachüberwachung für fügt standardmäßig allen Postfächern eine neue DefaultAuditSet-Eigenschaft hinzu. Der Wert dieser Eigenschaft gibt an, ob die (von Microsoft verwalteten) Standardpostfachaktionen für das Postfach überwacht werden.
Um den Wert für Benutzerpostfächer oder freigegebene Postfächer anzuzeigen, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Um den Wert in Microsoft 365-Gruppenpostfächern anzuzeigen, ersetzen <Sie MailboxIdentity> durch den Namen, Alias oder die E-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
Der Wert Admin, Delegate, Owner
gibt Folgendes an:
- Die Standardpostfachaktionen für alle drei Anmeldetypen werden überwacht. Dieser Wert ist der einzige Wert, der in Microsoft 365-Gruppenpostfächern angezeigt wird.
- Ein Administrator hat die überwachten Postfachaktionen für jeden Anmeldetyp in einem Benutzerpostfach oder einem freigegebenen Postfach nicht geändert.
Wenn ein Administrator jemals die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox ), ist der Eigenschaftswert anders.
Der Wert Owner
für die DefaultAuditSet-Eigenschaft für ein Benutzerpostfach oder ein freigegebenes Postfach gibt beispielsweise Folgendes an:
- Die Standardpostfachaktionen für den Postfachbesitzer werden überwacht.
- Die überwachten Postfachaktionen für die
Delegate
Anmeldetypen undAdmin
wurden gegenüber den Standardaktionen geändert.
Ein leerer Wert für die DefaultAuditSet-Eigenschaft gibt an, dass die Postfachaktionen für alle drei Anmeldetypen im Benutzerpostfach oder in einem freigegebenen Postfach geändert wurden.
Weitere Informationen finden Sie im Abschnitt Ändern oder Wiederherstellen von Standardmäßig protokollierten Postfachaktionen in diesem Artikel.
Anzeigen der Postfachaktionen, die in Postfächern protokolliert werden
Um die Postfachaktionen anzuzeigen, die derzeit in Benutzerpostfächern oder freigegebenen Postfächern angemeldet werden, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie einen oder mehrere der folgenden Befehle in Exchange Online PowerShell aus.
Hinweis
Obwohl Sie den -GroupMailbox
folgenden Get-Mailbox-Befehlen für Microsoft 365-Gruppenpostfächer den Schalter hinzufügen können, glauben Sie den zurückgegebenen Werten nicht. Die standardmäßigen und statischen Postfachaktionen, die für Microsoft 365-Gruppenpostfächer überwacht werden, werden weiter oben in diesem Artikel im Abschnitt Postfachaktionen für Microsoft 365-Gruppenpostfächer beschrieben.
Besitzeraktionen
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Delegieren von Aktionen
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Administratoraktionen
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen
Wie bereits erläutert, ist einer der Hauptvorteile der standardmäßig aktivierten Postfachüberwachung: Sie müssen die überwachten Postfachaktionen nicht verwalten. Microsoft verwaltet die Aktionen für Sie, und wir fügen automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, sobald sie freigegeben werden.
Ihre Organisation muss jedoch möglicherweise einen anderen Satz von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer überwachen. Die Verfahren in diesem Abschnitt zeigen Ihnen, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie zu den von Microsoft verwalteten Standardaktionen zurückkehren.
Wichtig
Wenn Sie die folgenden Verfahren verwenden, um die Postfachaktionen anzupassen, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle von Microsoft veröffentlichten neuen Standardpostfachaktionen nicht automatisch für diese Postfächer überwacht. Sie müssen ihrer angepassten Liste von Aktionen manuell neue Postfachaktionen hinzufügen.
Ändern der Postfachaktionen in Überwachung
Sie können die Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox verwenden, um die Postfachaktionen zu ändern, die für Benutzerpostfächer und freigegebene Postfächer überwacht werden (überwachte Aktionen für Microsoft 365-Gruppenpostfächer können nicht angepasst werden).
Sie können zwei verschiedene Methoden verwenden, um die Postfachaktionen anzugeben:
-
Ersetzen (überschreiben) Sie die vorhandenen Postfachaktionen mithilfe der folgenden Syntax:
action1,action2,...actionN
. -
Hinzufügen oder Entfernen von Postfachaktionen ohne Auswirkungen auf andere vorhandene Werte mithilfe der folgenden Syntax:
@{Add="action1","action2",..."actionN"}
oder@{Remove="action1","action2",..."actionN"}
.
In diesem Beispiel werden die Aktionen des Administratorpostfachs für das Postfach mit dem Namen "Gabriela Laureano" geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
In diesem Beispiel wird dem Postfach laura@contoso.onmicrosoft.comdie MailboxLogin-Besitzeraktion hinzugefügt.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
In diesem Beispiel wird die MoveToDeletedItems-Delegataktion für das Teamdiskumessionspostfach entfernt.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Unabhängig von der verwendeten Methode führt das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer zu den folgenden Ergebnissen:
- Für den von Ihnen angepassten Anmeldetyp werden die überwachten Postfachaktionen nicht mehr von Microsoft verwaltet.
- Der von Ihnen angepasste Anmeldetyp wird nicht mehr wie zuvor beschrieben im DefaultAuditSet-Eigenschaftswert für das Postfach angezeigt.
Wiederherstellen der Standardpostfachaktionen
Hinweis
Die folgenden Verfahren gelten nicht für Microsoft 365-Gruppenpostfächer (sie sind auf die hier beschriebenen Standardaktionen beschränkt).
Wenn Sie die Postfachaktionen angepasst haben, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standardpostfachaktionen für einen oder alle Anmeldetypen mithilfe der folgenden Syntax wiederherstellen:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Sie können mehrere DefaultAuditSet-Werte durch Kommas getrennt angeben.
In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für alle Anmeldetypen im Postfach mark@contoso.onmicrosoft.comwiederhergestellt.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Anmeldetyp Administrator für das Postfach chris@contoso.onmicrosoft.comwiederhergestellt, aber die angepassten überwachten Postfachaktionen für die Anmeldetypen Stellvertretung und Besitzer bleiben erhalten.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
Das Wiederherstellen der standardmäßigen überwachten Postfachaktionen für einen Anmeldetyp führt zu den folgenden Ergebnissen:
- Die aktuelle Liste der Postfachaktionen wird durch die Standardpostfachaktionen für den Anmeldetyp ersetzt.
- Alle neuen Postfachaktionen, die von Microsoft veröffentlicht werden, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.
- Der DefaultAuditSet-Eigenschaftswert für das Postfach wird aktualisiert, um den wiederhergestellten Anmeldetyp einzuschließen.
Standardmäßiges Deaktivieren der Postfachüberwachung für Ihre Organisation
Sie können die Postfachüberwachung standardmäßig für Ihre gesamte Organisation deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:
Set-OrganizationConfig -AuditDisabled $true
Wenn Sie die Postfachüberwachung standardmäßig deaktivieren, hat dies folgende Ergebnisse:
- Die Postfachüberwachung ist für Ihre Organisation deaktiviert.
- Ab dem Zeitpunkt, an dem Sie die Postfachüberwachung standardmäßig deaktivieren, werden keine Postfachaktionen überwacht, auch wenn die Postfachüberwachung für ein Postfach aktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist True).
- Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled-Eigenschaft für ein neues oder vorhandenes Postfach auf True wird ignoriert.
- Alle Zuordnungseinstellungen für die Postfachüberwachungsumgehung (konfiguriert mit dem Cmdlet Set-MailboxAuditBypassAssociation ) werden ignoriert.
- Vorhandene Postfachüberwachungsdatensätze werden aufbewahrt, bis die Altersgrenze des Überwachungsprotokolls für den Datensatz abläuft.
Aktivieren der Postfachüberwachung standardmäßig
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Postfachüberwachung für Ihre Organisation wieder zu aktivieren:
Set-OrganizationConfig -AuditDisabled $false
Umgehen der Postfachüberwachungsprotokollierung
Derzeit können Sie die Postfachüberwachung nicht für bestimmte Postfächer deaktivieren, wenn die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert ist. Beispielsweise wird das Festlegen der AuditEnabled-Postfacheigenschaft auf False ignoriert.
Sie können jedoch weiterhin das Cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern, dass alle Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen auftreten. Zum Beispiel:
- Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
- Delegieren von Aktionen, die von den umgangenen Benutzern in den Postfächern anderer Benutzer (einschließlich freigegebener Postfächer) ausgeführt werden, werden nicht protokolliert.
- Von den umgangenen Benutzern ausgeführte Administratoraktionen werden nicht protokolliert.
Wenn Sie die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer umgehen möchten, ersetzen Sie <MailboxIdentity> durch den Namen, die E-Mail-Adresse, das Alias oder den Benutzerprinzipalnamen (Benutzernamen) des Benutzers, und führen Sie den folgenden Befehl aus:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird, führen Sie den folgenden Befehl aus:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
Der Wert True gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.
Weitere Informationen
Standardmäßig werden Postfachüberwachungsprotokolldatensätze 90 Tage lang aufbewahrt, bevor sie gelöscht werden. Sie können die Altersgrenze für Überwachungsprotokolldatensätze ändern, indem Sie den Parameter AuditLogAgeLimit im Cmdlet Set-Mailbox in Exchange Online PowerShell verwenden. Wenn Sie diesen Wert erhöhen, können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll sind.
Wenn Sie die Altersgrenze erhöhen, müssen Sie das Cmdlet Search-MailboxAuditLog in Exchange Online PowerShell verwenden, um das Postfachüberwachungsprotokoll des Benutzers nach Datensätzen zu durchsuchen, die älter als 90 Tage sind.
Wenn Sie die AuditLogAgeLimit-Eigenschaft für ein Postfach geändert haben, bevor die Postfachüberwachung standardmäßig für die Organisation aktiviert ist, wird das vorhandene Alterslimit des Überwachungsprotokolls des Postfachs nicht geändert. Anders ausgedrückt: Die Postfachüberwachung bei aktiviert wirkt sich standardmäßig nicht auf die aktuelle Altersgrenze für Postfachüberwachungsdatensätze aus.
Um den AuditLogAgeLimit-Wert für ein Microsoft 365-Gruppenpostfach zu ändern, müssen Sie den
-GroupMailbox
Schalter in den Befehl Set-Mailbox einschließen.Postfachüberwachungsprotokolldatensätze werden in einem Unterordner (mit dem Namen Überwachungen) im Ordner Wiederherstellbare Elemente im Postfach jedes Benutzers gespeichert. Beachten Sie folgendes in Bezug auf Postfachüberwachungsdatensätze und den Ordner "Wiederherstellbare Elemente":
Die Anzahl der Postfachüberwachungsdatensätze entspricht dem Speicherkontingent des Ordners "Wiederherstellbare Elemente", das standardmäßig 30 GB beträgt (das Warnungskontingent beträgt 20 GB). Das Speicherkontingent wird automatisch auf 100 GB (mit einem Warnungskontingent von 90 GB) erhöht, wenn:
- Ein Halteraum wird für ein Postfach platziert.
- Das Postfach wird einer Aufbewahrungsrichtlinie im Microsoft Purview-Portal oder im Complianceportal zugewiesen.
Postfachüberwachungsdatensätze werden auch auf den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" angerechnet. Im Unterordner Überwachungen können maximal 3 Millionen Elemente (Überwachungsdatensätze) gespeichert werden.
Hinweis
Es ist unwahrscheinlich, dass sich die Postfachüberwachung standardmäßig auf das Speicherkontingent oder den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.
Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner Überwachung im Ordner Wiederherstellbare Elemente anzuzeigen:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
Sie können nicht direkt auf einen Überwachungsprotokolldatensatz im Ordner "Wiederherstellbare Elemente" zugreifen. Verwenden Sie stattdessen das Cmdlet Search-MailboxAuditLog , oder durchsuchen Sie das Überwachungsprotokoll, um Postfachüberwachungsdatensätze zu suchen und anzuzeigen.
Wenn ein Postfach gehalten oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden Überwachungsprotokolldatensätze weiterhin für die Dauer aufbewahrt, die durch die AuditLogAgeLimit-Eigenschaft des Postfachs definiert wird (standardmäßig 90 Tage). Um Überwachungsprotokolldatensätze für postfächer im Haltespeicher länger aufzubewahren, müssen Sie den AuditLogAgeLimit-Wert des Postfachs erhöhen.
In einer Multi-Geo-Umgebung wird die geoübergreifende Postfachüberwachung nicht unterstützt. Wenn einem Benutzer beispielsweise Berechtigungen für den Zugriff auf ein freigegebenes Postfach an einem anderen geografischen Standort zugewiesen sind, werden von diesem Benutzer ausgeführte Postfachaktionen nicht im Postfachüberwachungsprotokoll des freigegebenen Postfachs protokolliert. Exchange-Administratorüberwachungsereignisse sind für alle Speicherorte über Microsoft Purview und das Cmdlet Search-UnifiedAuditLog verfügbar.