OMEPortal
Microsoft Purview-Nachrichtenverschlüsselung ist ein Dienst, mit dem Organisationen verschlüsselte E-Mails an beliebige Empfänger senden können.
OMEPortal ist ein Ereignistyp, der im Office 365 einheitlichen Überwachungsprotokoll aufgezeichnet wird. Es stellt jede Aktivität dar, um über das Portal für verschlüsselte Nachrichten von einem externen Empfänger auf eine verschlüsselte Nachricht zuzugreifen. Dieses Ereignis ist nützlich, um zu bestimmen, wann und wer auf das Portal zugegriffen hat.
- Authentifizieren
- Nachricht öffnen
- Anlage anzeigen
- Anlage herunterladen
- Nachricht antworten/weiterleiten
Zugreifen auf das Office 365 einheitliche Überwachungsprotokoll
Auf die Überwachungsprotokolle kann mit den folgenden Methoden zugegriffen werden.
- Das Überwachungsprotokoll-Suchtool im Microsoft Purview-Complianceportal.
- Das Search-UnifiedAuditLog-Cmdlet in Exchange Online PowerShell.
- Die Office 365-Verwaltungsaktivitäts-API.
Suchtool für Überwachungsprotokolle
Wechseln Sie zum Microsoft Purview-Complianceportal, und melden Sie sich an.
Wählen Sie im linken Bereich des Complianceportals Die Option Überwachen aus.
Hinweis
Wenn Überwachung im linken Bereich nicht angezeigt wird, finden Sie informationen zu Berechtigungen unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.
Legen Sie auf der Registerkarte Neue Suche den Eintragstyp auf OMEPortal fest, und konfigurieren Sie die anderen Parameter.
Weitere Informationen zum Anzeigen der Überwachungsprotokolle im Microsoft Purview-Complianceportal finden Sie unter Überwachungsprotokollaktivitäten.
Durchsuchen des einheitlichen Überwachungsprotokolls in PowerShell
Um mithilfe von PowerShell auf das einheitliche Überwachungsprotokoll zuzugreifen, öffnen Sie zunächst ein PowerShell-Fenster, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.
Search-UnifiedAuditLog-Cmdlet
Das cmdlet Search-UnifiedAuditLog ist ein PowerShell-Befehl, der zum Durchsuchen des Office 365 einheitlichen Überwachungsprotokolls verwendet werden kann. Das einheitliche Überwachungsprotokoll ist ein Datensatz der Benutzer- und Administratoraktivitäten in Office 365, der zum Nachverfolgen von Ereignissen verwendet werden kann. Bewährte Methoden für die Verwendung dieses Cmdlets finden Sie unter Bewährte Methoden für die Verwendung von Search-UnifiedAuditLog.
Um die OMEPortal-Ereignisse mithilfe von PowerShell aus dem einheitlichen Überwachungsprotokoll zu extrahieren, können Sie den folgenden Befehl verwenden. Dadurch wird das einheitliche Überwachungsprotokoll nach dem angegebenen Datumsbereich durchsucht und alle Ereignisse mit dem Datensatztyp "OMEPortal" zurückgegeben. Die Ergebnisse werden unter dem angegebenen Pfad in eine CSV-Datei exportiert.
Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
Im Folgenden finden Sie ein Beispiel für das OMEPortal-Ereignis aus PowerShell mit öffnender Nachricht in der Portalaktivität für verschlüsselte Nachrichten.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:00:59 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : MessageAccess
AuditData : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 6
ResultCount : 7
Identity : a3500d45-6ab3-4971-a762-a01a846015d0
IsValid : True
ObjectState : Unchanged
Verwenden Sie den folgenden Befehl, um speziell nach dem Szenario zu suchen, in dem der Benutzer eine Anlage anzeigt. Ein Beispiel für das Ergebnis des PowerShell-Cmdlets ist ebenfalls unten dargestellt.
Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)
Im Folgenden finden Sie ein Beispiel für das AipSensitivityLabelAction-Ereignis aus PowerShell mit aktualisierter Vertraulichkeitsbezeichnung.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:04:09 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : AttachmentReview
AuditData : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 4
ResultCount : 7
Identity : ef29c387-c81b-4812-9020-90b378d92cde
IsValid : True
ObjectState : Unchanged
Zu den anderen Vorgängen, nach denen in OMEPortal gezielt gesucht werden kann, gehören AttachmentDownload, AuthenticationRequest, MessageAccess und MessageForward.
Attribute des OMEPortal-Ereignisses
Die folgende Tabelle enthält Informationen im Zusammenhang mit OMEPortal-Ereignissen.
| Ereignis | Typ | Beschreibung |
|---|---|---|
| Aktivität | Zeichenfolge | Der Aktivitätstyp für das Überwachungsprotokoll. Vorgänge für OMEPortal können Folgendes umfassen: – AttachmentDownload – AttachmentReview -Authenticaterequest – MessageAccess – MessageForward |
| AttachmentName | Zeichenfolge | Teil von AuditData. Der Name der Anlage in der Nachricht. |
| Auditdata | Zeichenfolge | Die Protokolldetails zur OMEPortal-Aktivität. |
| AuthenticationMethod | Zeichenfolge | Teil von AuditData. Der Authentifizierungstyp, der für die Anmeldung beim Portal verwendet wird. Werte sind folgende: -OTP -Yahoo -Microsoft |
| AuthenticationStatus | Gleitkommawert mit doppelter Genauigkeit | Die status der Authentifizierung. 0 = erfolg 1= Fehler |
| CreationTime | Datum/Uhrzeit | Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer die Aktivität ausgeführt hat. |
| Id | GUID | Der eindeutige Bezeichner eines Überwachungsdatensatzes. |
| MessageId | Zeichenfolge | Die Nachrichten-ID. |
| Vorgang | Zeichenfolge | Der gleiche Wert wie die Aktivität. |
| OperationProperties | Zeichenfolge | Teil von AuditData. Enthält den E-Mail-Betreff. |
| Empfänger | Zeichenfolge | Teil von AuditData. Die E-Mail-Adresse des Benutzers, der im Portal für verschlüsselte Nachrichten auf die Nachricht zugreift. |
| RecordType | Gleitkommawert mit doppelter Genauigkeit | Der vom Datensatz angegebene Vorgangstyp. 154 stellt einen OMEPortal-Datensatz dar. |
| ResultsStatus | Zeichenfolge | Der Vorgang war entweder erfolgreich oder ein Fehler. |
| Absender | Zeichenfolge | Teil von AuditData. Die E-Mail-Adresse des Benutzers, der die verschlüsselte Nachricht gesendet hat. |
| Arbeitslast | Zeichenfolge | Exchange, um E-Mails im Portal für verschlüsselte Nachrichten anzugeben. |
| UserId | Zeichenfolge | Der Benutzerprinzipalname (UPN) des Benutzers in Ihrem organization, der die verschlüsselte E-Mail die Aktion gesendet hat, die zur Protokollierung des Datensatzes geführt hat. |