Freigeben über


OMEPortal

Microsoft Purview-Nachrichtenverschlüsselung ist ein Dienst, mit dem Organisationen verschlüsselte E-Mails an beliebige Empfänger senden können.

OMEPortal ist ein Ereignistyp, der im Office 365 einheitlichen Überwachungsprotokoll aufgezeichnet wird. Es stellt jede Aktivität dar, um über das Portal für verschlüsselte Nachrichten von einem externen Empfänger auf eine verschlüsselte Nachricht zuzugreifen. Dieses Ereignis ist nützlich, um zu bestimmen, wann und wer auf das Portal zugegriffen hat.

  • Authentifizieren
  • Nachricht öffnen
  • Anlage anzeigen
  • Anlage herunterladen
  • Nachricht antworten/weiterleiten

Zugreifen auf das Office 365 einheitliche Überwachungsprotokoll

Auf die Überwachungsprotokolle kann mit den folgenden Methoden zugegriffen werden.

Suchtool für Überwachungsprotokolle

  1. Wechseln Sie zum Microsoft Purview-Complianceportal, und melden Sie sich an.

  2. Wählen Sie im linken Bereich des Complianceportals Die Option Überwachen aus.

    Hinweis

    Wenn Überwachung im linken Bereich nicht angezeigt wird, finden Sie informationen zu Berechtigungen unter Rollen und Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

  3. Legen Sie auf der Registerkarte Neue Suche den Eintragstyp auf OMEPortal fest, und konfigurieren Sie die anderen Parameter. Überwachungsdialogfeld mit neuen Suchoptionen

Weitere Informationen zum Anzeigen der Überwachungsprotokolle im Microsoft Purview-Complianceportal finden Sie unter Überwachungsprotokollaktivitäten.

Durchsuchen des einheitlichen Überwachungsprotokolls in PowerShell

Um mithilfe von PowerShell auf das einheitliche Überwachungsprotokoll zuzugreifen, öffnen Sie zunächst ein PowerShell-Fenster, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Search-UnifiedAuditLog-Cmdlet

Das cmdlet Search-UnifiedAuditLog ist ein PowerShell-Befehl, der zum Durchsuchen des Office 365 einheitlichen Überwachungsprotokolls verwendet werden kann. Das einheitliche Überwachungsprotokoll ist ein Datensatz der Benutzer- und Administratoraktivitäten in Office 365, der zum Nachverfolgen von Ereignissen verwendet werden kann. Bewährte Methoden für die Verwendung dieses Cmdlets finden Sie unter Bewährte Methoden für die Verwendung von Search-UnifiedAuditLog.

Um die OMEPortal-Ereignisse mithilfe von PowerShell aus dem einheitlichen Überwachungsprotokoll zu extrahieren, können Sie den folgenden Befehl verwenden. Dadurch wird das einheitliche Überwachungsprotokoll nach dem angegebenen Datumsbereich durchsucht und alle Ereignisse mit dem Datensatztyp "OMEPortal" zurückgegeben. Die Ergebnisse werden unter dem angegebenen Pfad in eine CSV-Datei exportiert.

Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file> 

Im Folgenden finden Sie ein Beispiel für das OMEPortal-Ereignis aus PowerShell mit öffnender Nachricht in der Portalaktivität für verschlüsselte Nachrichten.


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:00:59 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : MessageAccess 

AuditData    : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 6 

ResultCount  : 7 

Identity     : a3500d45-6ab3-4971-a762-a01a846015d0 

IsValid      : True 

ObjectState  : Unchanged 

Verwenden Sie den folgenden Befehl, um speziell nach dem Szenario zu suchen, in dem der Benutzer eine Anlage anzeigt. Ein Beispiel für das Ergebnis des PowerShell-Cmdlets ist ebenfalls unten dargestellt.

Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Im Folgenden finden Sie ein Beispiel für das AipSensitivityLabelAction-Ereignis aus PowerShell mit aktualisierter Vertraulichkeitsbezeichnung.


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:04:09 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : AttachmentReview 

AuditData    : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 4 

ResultCount  : 7 

Identity     : ef29c387-c81b-4812-9020-90b378d92cde 

IsValid      : True 

ObjectState  : Unchanged 

Zu den anderen Vorgängen, nach denen in OMEPortal gezielt gesucht werden kann, gehören AttachmentDownload, AuthenticationRequest, MessageAccess und MessageForward.

Attribute des OMEPortal-Ereignisses

Die folgende Tabelle enthält Informationen im Zusammenhang mit OMEPortal-Ereignissen.

Ereignis Typ Beschreibung
Aktivität Zeichenfolge Der Aktivitätstyp für das Überwachungsprotokoll. Vorgänge für OMEPortal können Folgendes umfassen:
– AttachmentDownload
– AttachmentReview
-Authenticaterequest
– MessageAccess
– MessageForward
AttachmentName Zeichenfolge Teil von AuditData.
Der Name der Anlage in der Nachricht.
Auditdata Zeichenfolge Die Protokolldetails zur OMEPortal-Aktivität.
AuthenticationMethod Zeichenfolge Teil von AuditData.
Der Authentifizierungstyp, der für die Anmeldung beim Portal verwendet wird. Werte sind folgende:
-OTP
-Google
-Yahoo
-Microsoft
AuthenticationStatus Gleitkommawert mit doppelter Genauigkeit Die status der Authentifizierung.
0 = erfolg
1= Fehler
CreationTime Datum/Uhrzeit Das Datum und die Uhrzeit in koordinierter Weltzeit (UTC), wann der Benutzer die Aktivität ausgeführt hat.
Id GUID Der eindeutige Bezeichner eines Überwachungsdatensatzes.
MessageId Zeichenfolge Die Nachrichten-ID.
Vorgang Zeichenfolge Der gleiche Wert wie die Aktivität.
OperationProperties Zeichenfolge Teil von AuditData.
Enthält den E-Mail-Betreff.
Empfänger Zeichenfolge Teil von AuditData.
Die E-Mail-Adresse des Benutzers, der im Portal für verschlüsselte Nachrichten auf die Nachricht zugreift.
RecordType Gleitkommawert mit doppelter Genauigkeit Der vom Datensatz angegebene Vorgangstyp. 154 stellt einen OMEPortal-Datensatz dar.
ResultsStatus Zeichenfolge Der Vorgang war entweder erfolgreich oder ein Fehler.
Absender Zeichenfolge Teil von AuditData.
Die E-Mail-Adresse des Benutzers, der die verschlüsselte Nachricht gesendet hat.
Arbeitslast Zeichenfolge Exchange, um E-Mails im Portal für verschlüsselte Nachrichten anzugeben.
UserId Zeichenfolge Der Benutzerprinzipalname (UPN) des Benutzers in Ihrem organization, der die verschlüsselte E-Mail die Aktion gesendet hat, die zur Protokollierung des Datensatzes geführt hat.