Verwalten der Postfächern

  • Artikel
  • 17 Minuten Lesedauer

Ab Januar 2019 aktiviert Microsoft standardmäßig die Postfachüberwachungsprotokollierung für alle Organisationen. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretungen und Administratoren ausgeführt werden, automatisch protokolliert werden und die entsprechenden Postfachüberwachungsdatensätze verfügbar sind, wenn Sie im Postfachüberwachungsprotokoll danach suchen. Bevor die Postfachüberwachung standardmäßig aktiviert wurde, mussten Sie sie für jedes Benutzerpostfach in Ihrer Organisation manuell aktivieren.

Hier sind einige Vorteile der Standardmäßigen Postfachüberwachung:

  • Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen. Sie müssen es nicht manuell für neue Benutzer aktivieren.
  • Sie müssen die überwachten Postfachaktionen nicht verwalten. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Admin, Stellvertretung und Besitzer) überwacht.
  • Wenn Microsoft eine neue Postfachaktion freigibt, wird die Aktion möglicherweise automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (sofern der Benutzer über die entsprechende Lizenz verfügt). Dies bedeutet, dass Sie das Hinzufügen neuer Aktionen für Postfächer nicht überwachen müssen.
  • Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihrer Gesamten Organisation (da Sie dieselben Aktionen für alle Postfächer überwachen).

Hinweis

  • Wichtig bei der standardmäßigen Veröffentlichung der Postfachüberwachung ist: Sie müssen nichts tun, um die Postfachüberwachung zu verwalten. Wenn Sie jedoch mehr erfahren möchten, die Postfachüberwachung über die Standardeinstellungen anpassen oder sie ganz deaktivieren möchten, können Sie in diesem Artikel hilfreich sein.
  • Standardmäßig sind nur Postfachüberwachungsereignisse für Benutzer mit Lizenzen, die Microsoft Purview Audit (Premium) enthalten, in Überwachungsprotokollsuchen im Microsoft Purview-Complianceportal oder über die Office 365 Management Activity API verfügbar. Diese Lizenzen werden hier beschrieben. Aus Gründen der Übersichtlichkeit bezieht sich dieser Artikel zusammen auf Lizenzen, die Audit (Premium) als E5/A5/G5-Lizenzen enthalten.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Überprüfen, ob die Postfachüberwachung standardmäßig aktiviert ist

Um zu überprüfen, ob die Postfachüberwachung für Ihre Organisation standardmäßig aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-OrganizationConfig | Format-List AuditDisabled

Der Wert False gibt an, dass die Postfachüberwachung für die Organisation standardmäßig aktiviert ist. Dieser Organisationswert für setzt standardmäßig die Postfachüberwachungseinstellung für bestimmte Postfächer außer Kraft. Wenn beispielsweise die Postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist False ), werden die Standardpostfachaktionen für das Postfach weiterhin überwacht, da die Postfachüberwachung für die Organisation standardmäßig aktiviert ist.

Damit die Postfachüberwachung für bestimmte Postfächer deaktiviert bleibt, konfigurieren Sie die Postfachüberwachungsumgehung für den Postfachbesitzer und andere Benutzer, denen der Zugriff auf das Postfach delegiert wurde. Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Umgehen der Postfachüberwachungsprotokollierung .

Hinweis

Wenn die Postfachüberwachung für die Organisation standardmäßig aktiviert ist, wird die AuditEnabled-Eigenschaft für betroffene Postfächer nicht von False in True geändert. Anders ausgedrückt: Die Postfachüberwachung für ignoriert standardmäßig die AuditEnabled-Eigenschaft für Postfächer.

Unterstützte Postfachtypen

In der folgenden Tabelle sind die Postfachtypen aufgeführt, die derzeit standardmäßig von der Postfachüberwachung für unterstützt werden:

Postfachtyp Unterstützt
Benutzerpostfächer Häkchen
Freigegebene Postfächer Häkchen
Microsoft 365-Gruppenpostfächer Häkchen
Ressourcenpostfächer
Postfächer für öffentliche Ordner

Anmeldetypen und Postfachaktionen

Anmeldetypen klassifizieren den Benutzer, der die überwachten Aktionen für das Postfach ausgeführt hat. In der folgenden Liste werden die Anmeldetypen beschrieben, die in der Postfachüberwachungsprotokollierung verwendet werden:

  • Besitzer: Der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).
  • Delegat:
    • Ein Benutzer, dem die Berechtigung SendAs, SendOnBehalf oder FullAccess für ein anderes Postfach zugewiesen wurde.
    • Ein Administrator, dem die FullAccess-Berechtigung für das Postfach eines Benutzers zugewiesen wurde.
  • Admin:
    • Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
      • Inhaltssuche im Complianceportal.
      • eDiscovery oder eDiscovery (Premium) im Complianceportal.
      • In-Place eDiscovery in Exchange Online.
    • Der Zugriff auf das Postfach erfolgt über den Microsoft Exchange Server MAPI-Editor.

Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die in der Postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer verfügbar sind.

  • Ein Häkchen (Häkchen.) gibt an, dass die Postfachaktion für den Anmeldetyp protokolliert werden kann (nicht alle Aktionen sind für alle Anmeldetypen verfügbar).
  • Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Postfachaktion standardmäßig für den Anmeldetyp protokolliert wird.
  • Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Postfach als Stellvertretung betrachtet wird.
Postfachaktion Beschreibung Administrator Stellvertretung Besitzer
AddFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht.
ApplyRecord Ein Element wird als Datensatz bezeichnet. Häkchen.* Häkchen.* Häkchen.*
Copy Eine Nachricht wurde in einen anderen Ordner kopiert. Häkchen
Create Ein Element wurde im Ordner Kalender, Kontakte, Entwurf, Notizen oder Aufgaben im Postfach erstellt (z. B. wird eine neue Besprechungsanfrage erstellt). Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht. Häkchen.* Häkchen.* Häkchen
FolderBind Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.

Hinweis: Überwachungsdatensätze für Ordnerbindungsaktionen, die von Delegaten ausgeführt werden, werden konsolidiert. Innerhalb eines Zeitraums von 24 Stunden wird ein Überwachungsdatensatz für den Zugriff auf einzelne Ordner generiert.		 Häkchen Häkchen
HardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. Häkchen.* Häkchen.* Häkchen.*
MailboxLogin Der Benutzer hat sich bei ihrem Postfach angemeldet. Häkchen
MailItemsAccessed Hinweis: Dieser Wert ist nur für Benutzer mit E5/A5/G5-Lizenzen verfügbar. Weitere Informationen finden Sie unter Einrichten von Microsoft Purview Audit (Premium).For more information, see Set up Microsoft Purview Audit (Premium).

Auf E-Mail-Daten wird von E-Mail-Protokollen und -Clients zugegriffen.		 Häkchen.* Häkchen.* Häkchen*
MessageBind Hinweis: Dieser Wert ist nur für Benutzer ohne E5/A5/G5-Lizenzen verfügbar.

Eine Nachricht wurde im Vorschaubereich angezeigt oder von einem Administrator geöffnet.		 Häkchen
ModifyFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht.
Verschieben Eine Nachricht wurde in einen anderen Ordner verschoben. Häkchen Häkchen Häkchen
MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. Häkchen.* Häkchen.* Häkchen*
RecordDelete Ein Element, das als Datensatz bezeichnet ist, wurde vorläufig gelöscht (in den Ordner "Wiederherstellbare Elemente" verschoben). Als Datensätze bezeichnete Elemente können nicht endgültig gelöscht werden (aus dem Ordner "Wiederherstellbare Elemente" gelöscht). Häkchen Häkchen Häkchen
RemoveFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht.
SearchQueryInitiated Hinweis: Dieser Wert ist nur für Benutzer mit E5/A5/G5-Lizenzen verfügbar. Weitere Informationen finden Sie unter Einrichten von Microsoft Purview Audit (Premium).For more information, see Set up Microsoft Purview Audit (Premium).

Eine Person verwendet Outlook (Windows, Mac, iOS, Android oder Outlook im Web) oder die Mail-App für Windows 10, um nach Elementen in einem Postfach zu suchen.		 Häkchen
Send Hinweis: Dieser Wert ist nur für Benutzer mit E5/A5/G5-Lizenzen verfügbar. Weitere Informationen finden Sie unter Einrichten von Microsoft Purview Audit (Premium).For more information, see Set up Microsoft Purview Audit (Premium).

Der Benutzer sendet eine E-Mail-Nachricht, antwortet auf eine E-Mail-Nachricht oder leitet eine E-Mail-Nachricht weiter.		 Häkchen.* Häkchen*
SendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint. Häkchen.* Häkchen*
SendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. Häkchen.* Häkchen*
SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. Häkchen.* Häkchen.* Häkchen*
Update Eine Nachricht oder eine der zugehörigen Eigenschaften wurde geändert. Häkchen.* Häkchen.* Häkchen*
UpdateCalendarDelegation Einem Postfach wurde eine Kalenderdelegierung zugewiesen. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. Häkchen.* Häkchen*
UpdateFolderPermissions Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. Häkchen.* Häkchen.* Häkchen*
UpdateInboxRules Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert. Posteingangsregeln werden verwendet, um Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen zu verarbeiten und Aktionen auszuführen, wenn die Bedingungen einer Regel erfüllt sind, z. B. das Verschieben einer Nachricht in einen angegebenen Ordner oder das Löschen einer Nachricht. Häkchen.* Häkchen* Häkchen*

Wichtig

Wenn Sie die Postfachaktionen so angepasst haben, dass sie für einen beliebigen Anmeldetyp überwacht werden, bevor die Postfachüberwachung standardmäßig in Ihrer Organisation aktiviert wurde, werden die benutzerdefinierten Einstellungen für das Postfach beibehalten und nicht durch die standardmäßigen Postfachaktionen überschrieben, wie in diesem Abschnitt beschrieben. Informationen zum Zurücksetzen der Überwachungspostfachaktionen auf ihre Standardwerte (was Sie jederzeit tun können), finden Sie im Abschnitt Wiederherstellen der Standardpostfachaktionen weiter unten in diesem Artikel.

Postfachaktionen für Microsoft 365-Gruppenpostfächer

Die Postfachüberwachung aktiviert standardmäßig die Postfachüberwachungsprotokollierung in Microsoft 365-Gruppenpostfächern, aber Sie können nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für jeden Anmeldetyp protokolliert werden).

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die für Microsoft 365-Gruppenpostfächer für jeden Anmeldetyp standardmäßig protokolliert werden.

Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Microsoft 365-Gruppenpostfach als Stellvertretung betrachtet wird.

Postfachaktion Beschreibung Administrator Stellvertretung Besitzer
Create Erstellen eines Kalenderelements. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Häkchen* Häkchen*
HardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. Häkchen.* Häkchen* Häkchen*
MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. Häkchen.* Häkchen* Häkchen*
SendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Häkchen* Häkchen*
SendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Häkchen* Häkchen*
SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. Häkchen.* Häkchen* Häkchen*
Update Eine Nachricht oder eine der zugehörigen Eigenschaften wurde geändert. Häkchen.* Häkchen* Häkchen*

Vergewissern Sie sich, dass standardpostfache Aktionen für jeden Anmeldetyp protokolliert werden.

Die Postfachüberwachung für fügt standardmäßig allen Postfächern eine neue DefaultAuditSet-Eigenschaft hinzu. Der Wert dieser Eigenschaft gibt an, ob die standardmäßigen Postfachaktionen (die von Microsoft verwaltet werden) für das Postfach überwacht werden.

Um den Wert für Benutzerpostfächer oder freigegebene Postfächer anzuzeigen, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Um den Wert für Microsoft 365-Gruppenpostfächer anzuzeigen, ersetzen Sie <MailboxIdentity> durch den Namen, Alias oder die E-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Der Wert Admin, Delegate, Owner gibt Folgendes an:

  • Die Standardpostfachaktionen für alle drei Anmeldetypen werden überwacht. Dies ist der einzige Wert, der in Microsoft 365 Gruppenpostfächern angezeigt wird.
  • Ein Administrator hat die überwachten Postfachaktionen für einen Anmeldetyp in einem Benutzerpostfach oder einem freigegebenen Postfach nicht geändert. Beachten Sie, dass dies der Standardzustand ist, nachdem die Postfachüberwachung standardmäßig in Ihrer Organisation aktiviert wurde.

Wenn ein Administrator jemals die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox ), ist der Eigenschaftswert anders.

Der Wert Owner für die DefaultAuditSet-Eigenschaft für ein Benutzerpostfach oder ein freigegebenes Postfach gibt beispielsweise Folgendes an:

  • Die Standardpostfachaktionen für den Postfachbesitzer werden überwacht.
  • Die überwachten Postfachaktionen für die Delegate Anmeldetypen und Admin wurden von den Standardaktionen geändert.

Ein leerer Wert für die DefaultAuditSet-Eigenschaft gibt an, dass die Postfachaktionen für alle drei Anmeldetypen für das Benutzerpostfach oder ein freigegebenes Postfach geändert wurden.

Weitere Informationen finden Sie im Abschnitt Ändern oder Wiederherstellen von Standardmäßig protokollierten Postfachaktionen in diesem Artikel.

Anzeigen der Postfachaktionen, die in Postfächern protokolliert werden

Um die Postfachaktionen anzuzeigen, die derzeit in Benutzerpostfächern oder freigegebenen Postfächern angemeldet werden, ersetzen <Sie MailboxIdentity> durch den Namen, den Alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie einen oder mehrere der folgenden Befehle in Exchange Online PowerShell aus.

Hinweis

Obwohl Sie den -GroupMailbox folgenden Get-Mailbox-Befehlen für Microsoft 365 Gruppenpostfächer den Schalter hinzufügen können, glauben Sie den zurückgegebenen Werten nicht. Die standardmäßigen und statischen Postfachaktionen, die für Microsoft 365 Gruppenpostfächer überwacht werden, werden weiter oben in diesem Artikel im Abschnitt Postfachaktionen für Microsoft 365-Gruppenpostfächer beschrieben.

Besitzeraktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Delegieren von Aktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Admin Aktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen

Wie bereits erläutert, ist einer der Hauptvorteile der standardmäßig aktivierten Postfachüberwachung: Sie müssen die überwachten Postfachaktionen nicht verwalten. Microsoft dies für Sie erledigt, und wir fügen automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, sobald sie veröffentlicht werden.

Ihre Organisation muss jedoch möglicherweise einen anderen Satz von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer überwachen. Die Verfahren in diesem Abschnitt zeigen Ihnen, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie zu den Microsoft verwalteten Standardaktionen zurückkehren.

Wichtig

Wenn Sie die folgenden Verfahren verwenden, um die Postfachaktionen anzupassen, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle neuen Standardpostfachaktionen, die von Microsoft veröffentlicht werden, nicht automatisch für diese Postfächer überwacht. Sie müssen ihrer angepassten Liste von Aktionen manuell neue Postfachaktionen hinzufügen.

Ändern der Postfachaktionen in Überwachung

Sie können die Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox verwenden, um die Postfachaktionen zu ändern, die für Benutzerpostfächer und freigegebene Postfächer überwacht werden (überwachte Aktionen für Microsoft 365-Gruppenpostfächer können nicht angepasst werden).

Sie können zwei verschiedene Methoden verwenden, um die Postfachaktionen anzugeben:

  • Ersetzen (überschreiben) Sie die vorhandenen Postfachaktionen mithilfe der folgenden Syntax: action1,action2,...actionN.
  • Hinzufügen oder Entfernen von Postfachaktionen ohne Auswirkungen auf andere vorhandene Werte mithilfe der folgenden Syntax: @{Add="action1","action2",..."actionN"} oder @{Remove="action1","action2",..."actionN"}.

In diesem Beispiel werden die Aktionen des Administratorpostfachs für das Postfach mit dem Namen "Gabriela Laureano" geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In diesem Beispiel wird dem Postfach laura@contoso.onmicrosoft.comdie MailboxLogin-Besitzeraktion hinzugefügt.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In diesem Beispiel wird die MoveToDeletedItems-Delegataktion für das Teamdiskumessionspostfach entfernt.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Unabhängig von der verwendeten Methode führt das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer zu den folgenden Ergebnissen:

  • Für den von Ihnen angepassten Anmeldetyp werden die überwachten Postfachaktionen nicht mehr von Microsoft verwaltet.
  • Der von Ihnen angepasste Anmeldetyp wird nicht mehr wie zuvor beschrieben im DefaultAuditSet-Eigenschaftswert für das Postfach angezeigt.

Wiederherstellen der Standardpostfachaktionen

Hinweis

Die folgenden Verfahren gelten nicht für Microsoft 365-Gruppenpostfächer (sie sind auf die hier beschriebenen Standardaktionen beschränkt).

Wenn Sie die Postfachaktionen angepasst haben, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standardpostfachaktionen für einen oder alle Anmeldetypen mithilfe dieser Syntax wiederherstellen:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Sie können mehrere DefaultAuditSet-Werte durch Kommas getrennt angeben.

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für alle Anmeldetypen im Postfach mark@contoso.onmicrosoft.comwiederhergestellt.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Admin Anmeldetyp für das Postfach chris@contoso.onmicrosoft.comwiederhergestellt, die benutzerdefinierten überwachten Postfachaktionen werden jedoch für die Anmeldetypen Stellvertretung und Besitzer beibehalten.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Das Wiederherstellen der standardmäßigen überwachten Postfachaktionen für einen Anmeldetyp hat die folgenden Ergebnisse:

  • Die aktuelle Liste der Postfachaktionen wird durch die Standardpostfachaktionen für den Anmeldetyp ersetzt.
  • Alle neuen Postfachaktionen, die von Microsoft freigegeben werden, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.
  • Der DefaultAuditSet-Eigenschaftswert für das Postfach wird aktualisiert, um den wiederhergestellten Anmeldetyp einzuschließen.

Standardmäßiges Deaktivieren der Postfachüberwachung für Ihre Organisation

Sie können die Postfachüberwachung standardmäßig für Ihre gesamte Organisation deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Set-OrganizationConfig -AuditDisabled $true

Wenn Sie die Postfachüberwachung standardmäßig deaktivieren, hat dies folgende Ergebnisse:

  • Die Postfachüberwachung ist für Ihre Organisation deaktiviert.
  • Ab dem Zeitpunkt, an dem Sie die Postfachüberwachung standardmäßig deaktiviert haben, werden keine Postfachaktionen überwacht, auch wenn die Überwachung für ein Postfach aktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist True).
  • Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled-Eigenschaft für ein neues oder vorhandenes Postfach auf True wird ignoriert.
  • Alle Zuordnungseinstellungen für die Postfachüberwachungsumgehung (konfiguriert mit dem Cmdlet Set-MailboxAuditBypassAssociation ) werden ignoriert.
  • Vorhandene Postfachüberwachungsdatensätze werden aufbewahrt, bis die Altersgrenze des Überwachungsprotokolls für den Datensatz abläuft.

Aktivieren der Postfachüberwachung standardmäßig

Um die Postfachüberwachung für Ihre Organisation wieder zu aktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Set-OrganizationConfig -AuditDisabled $false

Umgehen der Postfachüberwachungsprotokollierung

Derzeit können Sie die Postfachüberwachung nicht für bestimmte Postfächer deaktivieren, wenn die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert ist. Beispielsweise wird das Festlegen der AuditEnabled-Postfacheigenschaft auf False ignoriert.

Sie können jedoch weiterhin das Cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern, dass alle Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen auftreten. Zum Beispiel:

  • Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
  • Delegieren von Aktionen, die von den umgangenen Benutzern in den Postfächern anderer Benutzer (einschließlich freigegebener Postfächer) ausgeführt werden, werden nicht protokolliert.
  • Admin Aktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.

Wenn Sie die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer umgehen möchten, ersetzen Sie <MailboxIdentity> durch den Namen, die E-Mail-Adresse, das Alias oder den Benutzerprinzipalnamen (Benutzernamen) des Benutzers, und führen Sie den folgenden Befehl aus:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird, führen Sie den folgenden Befehl aus:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Der Wert True gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.

Weitere Informationen

  • Wie bereits erwähnt, ist die Postfachüberwachungsanmeldung standardmäßig für alle Organisationen aktiviert, aber nur Benutzer mit Lizenzen, die Audit (Premium) enthalten (in diesem Artikel zusammen als E5/A5/G5-Lizenzen bezeichnet), geben Postfachüberwachungsprotokollereignisse bei Überwachungsprotokollsuchen im Microsoft Purview-Complianceportal oder über die Office 365 Standardmäßig verwaltungsaktivitäts-API.

    Zum Abrufen von Postfachüberwachungsprotokolleinträgen für Benutzer ohne E5/A5/G5-Lizenzen können Sie eine der folgenden Problemumgehungen verwenden:

    • Manuelles Aktivieren der Postfachüberwachung für einzelne Postfächer (führen Sie den Befehl aus Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true. Anschließend können Sie Überwachungsprotokollsuchen im Microsoft Purview-Complianceportal oder über die Office 365 Management Activity-API verwenden.

      Hinweis

      Wenn die Postfachüberwachung für das Postfach bereits aktiviert zu sein scheint, Ihre Suchvorgänge jedoch keine Ergebnisse zurückgeben, ändern Sie den Wert des Parameters AuditEnabled in $false und dann zurück in $true.

    • Verwenden Sie die folgenden Cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog , um das Postfachüberwachungsprotokoll nach bestimmten Benutzern zu durchsuchen.
      • New-MailboxAuditLogSearch , um das Postfachüberwachungsprotokoll nach bestimmten Benutzern zu durchsuchen und die Ergebnisse per E-Mail an bestimmte Empfänger zu senden.

    • Verwenden Sie das Exchange Admin Center (EAC) in Exchange Online, um die folgenden Aktionen auszuführen:

  • Standardmäßig werden Postfachüberwachungsprotokolldatensätze 90 Tage lang aufbewahrt, bevor sie gelöscht werden. Sie können die Altersgrenze für Überwachungsprotokolldatensätze ändern, indem Sie den Parameter AuditLogAgeLimit im Cmdlet Set-Mailbox in Exchange Online PowerShell verwenden. Wenn Sie diesen Wert erhöhen, können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll sind.

    Wenn Sie die Altersgrenze erhöhen, müssen Sie das Cmdlet Search-MailboxAuditLog in Exchange Online PowerShell verwenden, um das Postfachüberwachungsprotokoll des Benutzers nach Datensätzen zu durchsuchen, die älter als 90 Tage sind.

  • Wenn Sie die AuditLogAgeLimit-Eigenschaft für ein Postfach geändert haben, bevor die Postfachüberwachung standardmäßig für die Organisation aktiviert ist, wird das vorhandene Überwachungsprotokollalter des Postfachs nicht geändert. Anders ausgedrückt: Die Postfachüberwachung bei aktiviert wirkt sich standardmäßig nicht auf die aktuelle Altersgrenze für Postfachüberwachungsdatensätze aus.

  • Um den AuditLogAgeLimit-Wert für ein Microsoft 365-Gruppenpostfach zu ändern, müssen Sie den -GroupMailbox Schalter in den Befehl Set-Mailbox einschließen.

  • Postfachüberwachungsprotokolldatensätze werden in einem Unterordner (mit dem Namen Überwachungen) im Ordner Wiederherstellbare Elemente im Postfach jedes Benutzers gespeichert. Beachten Sie folgendes in Bezug auf Postfachüberwachungsdatensätze und den Ordner "Wiederherstellbare Elemente":

    • Die Anzahl der Postfachüberwachungsdatensätze entspricht dem Speicherkontingent des Ordners "Wiederherstellbare Elemente", das standardmäßig 30 GB beträgt (das Warnungskontingent beträgt 20 GB). Das Speicherkontingent wird automatisch auf 100 GB (mit einem Warnungskontingent von 90 GB) erhöht, wenn:

      • Ein Halteraum wird für ein Postfach platziert.
      • Das Postfach wird einer Aufbewahrungsrichtlinie im Complianceportal zugewiesen.

    • Postfachüberwachungsdatensätze werden auch auf den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" angerechnet. Im Unterordner Überwachungen können maximal 3 Millionen Elemente (Überwachungsdatensätze) gespeichert werden.

      Hinweis

      Es ist unwahrscheinlich, dass sich die Postfachüberwachung standardmäßig auf das Speicherkontingent oder den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.

      • Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner Überwachung im Ordner Wiederherstellbare Elemente anzuzeigen:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder

      • Sie können nicht direkt auf einen Überwachungsprotokolldatensatz im Ordner "Wiederherstellbare Elemente" zugreifen. Verwenden Sie stattdessen das Cmdlet Search-MailboxAuditLog , oder durchsuchen Sie das Überwachungsprotokoll, um Postfachüberwachungsdatensätze zu suchen und anzuzeigen.

  • Wenn ein Postfach im Complianceportal in den Halteraum versetzt oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden Überwachungsprotokolldatensätze weiterhin für die Dauer aufbewahrt, die durch die AuditLogAgeLimit-Eigenschaft des Postfachs definiert wird (standardmäßig 90 Tage). Um Überwachungsprotokolldatensätze für postfächer im Haltespeicher länger aufzubewahren, müssen Sie den AuditLogAgeLimit-Wert des Postfachs erhöhen.

  • In einer Multi-Geo-Umgebung wird die geoübergreifende Postfachüberwachung nicht unterstützt. Wenn einem Benutzer beispielsweise Berechtigungen für den Zugriff auf ein freigegebenes Postfach an einem anderen geografischen Standort zugewiesen sind, werden von diesem Benutzer ausgeführte Postfachaktionen nicht im Postfachüberwachungsprotokoll des freigegebenen Postfachs protokolliert. Exchange-Administratorüberwachungsereignisse sind derzeit nur für den Standardspeicherort verfügbar.