Freigeben über

Durchsuchen des Überwachungsprotokolls, um häufige Supportprobleme zu untersuchen

In diesem Artikel wird beschrieben, wie Sie das Suchtool für Überwachungsprotokolle verwenden, um häufige Supportprobleme zu untersuchen. Dies umfasst die Verwendung des Überwachungsprotokolls für Folgendes:

  • Ermitteln der IP-Adresse des Computers, der für den Zugriff auf ein kompromittiertes Konto verwendet wird
  • Bestimmen, wer die E-Mail-Weiterleitung für ein Postfach eingerichtet hat
  • Ermitteln, ob ein Benutzer E-Mail-Elemente in ihrem Postfach gelöscht hat
  • Ermitteln, ob ein Benutzer eine Posteingangsregel erstellt hat
  • Untersuchen Sie, warum eine erfolgreiche Anmeldung durch einen Benutzer außerhalb Ihres organization
  • Suchen nach Postfachaktivitäten, die von Benutzern mit Nicht-E5-Lizenzen ausgeführt werden
  • Suchen nach Postfachaktivitäten, die von Stellvertretungsbenutzern ausgeführt werden

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Verwenden des Suchtools für Überwachungsprotokolle

Jedes der in diesem Artikel beschriebenen Problembehandlungsszenarien basiert auf der Verwendung des Überwachungsprotokoll-Suchtools im Microsoft Purview-Portal. In diesem Abschnitt werden die Berechtigungen aufgeführt, die zum Durchsuchen des Überwachungsprotokolls erforderlich sind, und die Schritte zum Zugreifen auf und Ausführen von Überwachungsprotokollsuchen beschrieben. In jedem Szenarioabschnitt wird erläutert, wie Eine Überwachungsprotokollsuchabfrage konfiguriert wird und was in den detaillierten Informationen in den Überwachungsdatensätzen gesucht werden soll, die den Suchkriterien entsprechen.

Erforderliche Berechtigungen für die Verwendung des Überwachungsprotokollsuche-Tools

Zum Durchsuchen des Überwachungsprotokolls müssen Ihnen die Rollen Überwachungsprotokolle oder Nur Anzeigen von Überwachungsprotokollen in purview zugewiesen sein. Standardmäßig werden diese Rollen den Rollengruppen Audit Reader und Audit Manager auf der Seite Rollengruppen im Microsoft Purview-Portal zugewiesen.

Für den Zugriff auf Überwachungs-Cmdlets müssen Ihnen die Rollen Überwachungsprotokolle und Überwachungsprotokolle nur anzeigen im Exchange Admin Center zugewiesen sein. Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center zugewiesen.

Weitere Informationen finden Sie unter Erste Schritte mit Überwachungslösungen.

Ausführen von Überwachungsprotokollsuchen

Eine ausführliche Anleitung zum Ausführen einer Suche im Überwachungsprotokoll finden Sie unter Durchsuchen des Überwachungsprotokolls.

Ermitteln der IP-Adresse des Computers, der für den Zugriff auf ein kompromittiertes Konto verwendet wird

Die IP-Adresse, die einer Aktivität entspricht, die von einem beliebigen Benutzer ausgeführt wird, ist in den meisten Überwachungsdatensätzen enthalten. Informationen zum verwendeten Client sind ebenfalls im Überwachungsdatensatz enthalten.

Hier erfahren Sie, wie Sie eine Überwachungsprotokoll-Suchabfrage für dieses Szenario konfigurieren:

Aktivitäten: Falls für Ihren Fall relevant, wählen Sie eine bestimmte Aktivität aus, nach der gesucht werden soll. Für die Problembehandlung bei kompromittierten Konten sollten Sie die Aktivität Benutzer bei Postfach angemeldet unter Exchange-Postfachaktivitäten auswählen. Dadurch werden Überwachungsdatensätze mit der IP-Adresse zurückgegeben, die bei der Anmeldung beim Postfach verwendet wurde. Lassen Sie andernfalls dieses Feld leer, um Überwachungsdatensätze für alle Aktivitäten zurückzugeben.

Tipp

Wenn dieses Feld leer bleibt, werden UserLoggedIn-Aktivitäten zurückgegeben. Dies ist eine Microsoft Entra Aktivität, die angibt, dass sich jemand bei einem Benutzerkonto angemeldet hat. Verwenden Sie Filterung in den Suchergebnissen, um die UserLoggedIn-Überwachungsdatensätze anzuzeigen.

Startdatum und Enddatum: Wählen Sie einen Datumsbereich aus, der für Ihre Untersuchung gilt.

Benutzer: Wenn Sie ein kompromittiertes Konto untersuchen, wählen Sie den Benutzer aus, dessen Konto kompromittiert wurde. Dadurch werden Überwachungsdatensätze für Aktivitäten zurückgegeben, die von diesem Benutzerkonto ausgeführt werden.

Datei, Ordner oder Website: Lassen Sie dieses Feld leer.

Nachdem Sie die Suche ausgeführt haben, wird die IP-Adresse für jede Aktivität in der Spalte IP-Adresse in den Suchergebnissen angezeigt. Wählen Sie den Datensatz in den Suchergebnissen aus, um ausführlichere Informationen auf der Flyoutseite anzuzeigen.

Bestimmen, wer die E-Mail-Weiterleitung für ein Postfach eingerichtet hat

Wenn die E-Mail-Weiterleitung für ein Postfach konfiguriert ist, werden E-Mail-Nachrichten, die an das Postfach gesendet werden, an ein anderes Postfach weitergeleitet. Nachrichten können an Benutzer innerhalb oder außerhalb Ihrer organization weitergeleitet werden. Wenn die E-Mail-Weiterleitung für ein Postfach eingerichtet ist, ist das zugrunde liegende Exchange Online-Cmdlet, das verwendet wird, Set-Mailbox.

Hier erfahren Sie, wie Sie eine Überwachungsprotokoll-Suchabfrage für dieses Szenario konfigurieren:

Aktivitäten: Lassen Sie dieses Feld leer, damit die Suche Überwachungsdatensätze für alle Aktivitäten zurückgibt. Dies ist erforderlich, um alle Überwachungsdatensätze im Zusammenhang mit dem Cmdlet Set-Mailbox zurückzugeben.

Startdatum und Enddatum: Wählen Sie einen Datumsbereich aus, der für Ihre Untersuchung gilt.

Benutzer: Lassen Sie dieses Feld leer, es sei denn, Sie untersuchen ein Problem mit der E-Mail-Weiterleitung für einen bestimmten Benutzer. Auf diese Weise können Sie ermitteln, ob die E-Mail-Weiterleitung für einen Beliebigen Benutzer eingerichtet wurde.

Datei, Ordner oder Website: Lassen Sie dieses Feld leer.

Nachdem Sie die Suche ausgeführt haben, wählen Sie auf der Seite mit den Suchergebnissen die Ergebnisse filtern aus. Geben Sie im Feld unter Der Spaltenüberschrift Aktivitätset-Mailbox ein, damit nur Überwachungsdatensätze angezeigt werden, die sich auf das Cmdlet Set-Mailbox beziehen.

Filtern der Ergebnisse einer Überwachungsprotokollsuche.

An diesem Punkt müssen Sie sich die Details jedes Überwachungsdatensatzes ansehen, um festzustellen, ob die Aktivität mit der E-Mail-Weiterleitung zusammenhängt. Wählen Sie den Überwachungsdatensatz aus, um die Flyoutseite Details anzuzeigen, und wählen Sie dann Weitere Informationen aus. Der folgende Screenshot und die Beschreibungen heben die Informationen hervor, die angeben, dass die E-Mail-Weiterleitung für das Postfach festgelegt wurde.

Detaillierte Informationen aus dem Überwachungsdatensatz.

a. Im Feld ObjectId wird der Alias des Postfachs angezeigt, für das die E-Mail-Weiterleitung festgelegt wurde. Dieses Postfach wird auch in der Spalte Element auf der Seite mit den Suchergebnissen angezeigt.

b. Im Feld Parameter gibt der Wert ForwardingSmtpAddress an, dass die E-Mail-Weiterleitung für das Postfach festgelegt wurde. In diesem Beispiel werden E-Mails an die E-Mail-Adresse mike@contoso.com weitergeleitet, die sich außerhalb der Organisation „alpinehouse.onmicrosoft.com“ befindet.

c. Der Wert True für den Parameter DeliverToMailboxAndForward gibt an, dass eine Kopie der Nachricht an sarad@alpinehouse.onmicrosoft.com die E-Mail-Adresse weitergeleitet wird, die durch den ForwardingSmtpAddress-Parameter angegeben wird, der in diesem Beispiel istmike@contoso.com. Wenn der Wert für den Parameter DeliverToMailboxAndForward auf False festgelegt ist, wird die E-Mail nur an die Adresse weitergeleitet, die durch den Parameter ForwardingSmtpAddress angegeben ist. Sie wird nicht an das Postfach zugestellt, das im Feld ObjectId angegeben ist.

d. Das Feld UserId gibt den Benutzer an, der die E-Mail-Weiterleitung für das im Feld ObjectId angegebene Postfach festgelegt hat. Dieser Benutzer wird auch in der Spalte Benutzer auf der Suchergebnisseite angezeigt. In diesem Fall scheint es, dass der Besitzer des Postfachs die E-Mail-Weiterleitung für das Postfach festgelegt hat.

Wenn Sie bestimmen, dass die E-Mail-Weiterleitung für das Postfach nicht festgelegt werden soll, können Sie sie entfernen, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null

Weitere Informationen zu den Parametern im Zusammenhang mit der E-Mail-Weiterleitung finden Sie im Artikel Set-Mailbox .

Ermitteln, ob ein Benutzer E-Mail-Elemente gelöscht hat

Ab Januar 2019 aktiviert Microsoft die Postfachüberwachungsprotokollierung standardmäßig für alle Office 365- und Microsoft-Organisationen. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern ausgeführt werden, automatisch protokolliert werden und die entsprechenden Postfachüberwachungsdatensätze verfügbar sind, wenn Sie im Postfachüberwachungsprotokoll danach suchen. Bevor die Postfachüberwachung standardmäßig aktiviert wurde, mussten Sie sie für jedes Benutzerpostfach in Ihrem organization manuell aktivieren.

Zu den standardmäßig protokollierten Postfachaktionen gehören die Postfachaktionen SoftDelete und HardDelete, die von Postfachbesitzern ausgeführt werden. Dies bedeutet, dass Sie die folgenden Schritte ausführen können, um das Überwachungsprotokoll nach Ereignissen im Zusammenhang mit gelöschten E-Mail-Elementen zu durchsuchen. Weitere Informationen zur standardmäßigen Postfachüberwachung finden Sie unter Verwalten der Postfachüberwachung.

Hier erfahren Sie, wie Sie eine Überwachungsprotokoll-Suchabfrage für dieses Szenario konfigurieren:

Aktivitäten: Wählen Sie unter Exchange-Postfachaktivitäten eine oder beide der folgenden Aktivitäten aus:

  • Gelöschte Nachrichten aus dem Ordner "Gelöschte Elemente": Diese Aktivität entspricht der Postfachüberwachungsaktion SoftDelete . Diese Aktivität wird auch protokolliert, wenn ein Benutzer ein Element endgültig löscht, indem er es auswählt und UMSCHALT+ENTF drückt. Nachdem ein Element endgültig gelöscht wurde, kann der Benutzer es bis zum Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wiederherstellen.

  • Gelöschte Nachrichten aus dem Postfach: Diese Aktivität entspricht der Postfachüberwachungsaktion HardDelete . Dies wird protokolliert, wenn ein Benutzer ein Element aus dem Ordner "Wiederherstellbare Elemente" löscht. Administratoren können das Suchtool im Microsoft Purview-Portal verwenden, um nach gelöschten Elementen zu suchen und wiederherzustellen, bis der Aufbewahrungszeitraum für gelöschte Elemente abläuft oder länger, wenn sich das Postfach des Benutzers im Haltefeld befindet.

Startdatum und Enddatum: Wählen Sie einen Datumsbereich aus, der für Ihre Untersuchung gilt.

Benutzer: Wenn Sie in diesem Feld einen Benutzer auswählen, gibt das Überwachungsprotokoll-Suchtool Überwachungsdatensätze für E-Mail-Elemente zurück, die vom angegebenen Benutzer gelöscht wurden (SoftDeleted oder HardDeleted). Manchmal ist der Benutzer, der eine E-Mail löscht, möglicherweise nicht der Postfachbesitzer.

Datei, Ordner oder Website: Lassen Sie dieses Feld leer.

Nachdem Sie die Suche ausgeführt haben, können Sie die Suchergebnisse filtern, um die Überwachungsdatensätze für vorläufig gelöschte oder für endgültig gelöschte Elemente anzuzeigen. Wählen Sie den Überwachungsdatensatz aus, um die Flyoutseite Details anzuzeigen, und wählen Sie dann Weitere Informationen aus. Zusätzliche Informationen zum gelöschten Element, z. B. die Betreffzeile und den Speicherort des Elements beim Löschen, werden im Feld AffectedItems angezeigt. Die folgenden Screenshots zeigen ein Beispiel für das Feld AffectedItems eines vorläufig gelöschten Elements und eines endgültig gelöschten Elements.

Beispiel für das Feld "AffectedItems" für vorläufig gelöschte Elemente

Überwachungsdatensatz für vorläufig gelöschte Elemente.

Beispiel für das Feld "AffectedItems" für ein endgültig gelöschtes Element

Überwachungsdatensatz für endgültig gelöschte E-Mail-Elemente.

Wiederherstellen gelöschter E-Mail-Elemente

Benutzer können vorläufig gelöschte Elemente wiederherstellen, wenn der Aufbewahrungszeitraum für gelöschte Elemente noch nicht abgelaufen ist. In Exchange Online beträgt der Standardaufbewahrungszeitraum für gelöschte Elemente 14 Tage, aber Administratoren können diese Einstellung auf maximal 30 Tage erhöhen. Verweisen Sie Benutzer auf den Artikel Wiederherstellen gelöschter Elemente oder E-Mails in Outlook im Web, wo sie Anweisungen zum Wiederherstellen gelöschter Elemente finden.

Wie bereits erläutert, können Administratoren möglicherweise endgültig gelöschte Elemente wiederherstellen, wenn der Aufbewahrungszeitraum für gelöschte Elemente nicht abgelaufen ist oder wenn sich das Postfach in der Warteschleife befindet. In diesem Fall werden Elemente bis zum Ablauf der Aufbewahrungsdauer aufbewahrt. Wenn Sie eine Inhaltssuche ausführen, werden vorläufig gelöschte und endgültig gelöschte Elemente aus dem Ordner Wiederherstellbare Elemente in den Suchergebnissen zurückgegeben, wenn sie mit der Suchabfrage übereinstimmen. Weitere Informationen zum Ausführen von Inhaltssuchen finden Sie unter Inhaltssuche in Office 365.

Tipp

Um nach gelöschten E-Mail-Elementen zu suchen, suchen Sie nach der gesamten oder einem Teil der Betreffzeile, die im Feld AffectedItems im Überwachungsdatensatz angezeigt wird.

Ermitteln, ob ein Benutzer eine Posteingangsregel erstellt hat

Wenn Benutzer eine Posteingangsregel für ihr Exchange Online-Postfach erstellen, wird ein entsprechender Überwachungsdatensatz im Überwachungsprotokoll gespeichert. Weitere Informationen zu Posteingangsregeln finden Sie unter:

Hier erfahren Sie, wie Sie eine Überwachungsprotokoll-Suchabfrage für dieses Szenario konfigurieren:

Aktivitäten: Wählen Sie unter Exchange-Postfachaktivitäten eine oder beide der folgenden Aktivitäten aus:

  • New-InboxRule Erstellen einer neuen Posteingangsregel mit Outlook Web App. Diese Aktivität gibt Überwachungsdatensätze zurück, wenn Posteingangsregeln mit Outlook Web App oder Exchange Online PowerShell erstellt werden.

  • Posteingangsregeln des Outlook-Clients aktualisiert. Diese Aktivität gibt Überwachungsdatensätze zurück, wenn Posteingangsregeln mithilfe des Outlook-Desktopclients erstellt, geändert oder entfernt werden.

Startdatum und Enddatum: Wählen Sie einen Datumsbereich aus, der für Ihre Untersuchung gilt.

Benutzer: Lassen Sie dieses Feld leer, es sei denn, Sie untersuchen einen bestimmten Benutzer. Dies hilft Ihnen, neue Posteingangsregeln zu identifizieren, die von jedem Benutzer eingerichtet wurden.

Datei, Ordner oder Website: Lassen Sie dieses Feld leer.

Nachdem Sie die Suche ausgeführt haben, werden alle Überwachungsdatensätze für diese Aktivität in den Suchergebnissen angezeigt. Wählen Sie einen Überwachungsdatensatz aus, um die Flyoutseite Details anzuzeigen, und wählen Sie dann Weitere Informationen aus. Informationen zu den Einstellungen der Posteingangsregel werden im Feld Parameter angezeigt. Der folgende Screenshot und die Beschreibungen heben die Informationen zu Posteingangsregeln hervor.

Überwachungsdatensatz für neue Posteingangsregel.

a. Im Feld ObjectId wird der vollständige Name der Posteingangsregel angezeigt. Dieser Name enthält den Alias des Postfachs des Benutzers (z. B. SaraD) und den Namen der Posteingangsregel (z. B. „Nachrichten vom Administrator verschieben“).

b. Im Feld Parameter wird die Bedingung der Posteingangsregel angezeigt. In diesem Beispiel wird die Bedingung durch den Parameter From angegeben. Der für den From-Parameter definierte Wert gibt an, dass die Posteingangsregel auf von gesendete admin@alpinehouse.onmicrosoft.comE-Mails reagiert. Eine vollständige Liste der Parameter, die zum Definieren von Bedingungen von Posteingangsregeln verwendet werden können, finden Sie im Artikel New-InboxRule .

c. Der MoveToFolder-Parameter gibt die Aktion für die Posteingangsregel an. In diesem Beispiel werden Nachrichten, die von admin@alpinehouse.onmicrosoft.com empfangen werden, in den Ordner AdminSearch verschoben. Eine vollständige Liste der Parameter, die zum Definieren der Aktion einer Posteingangsregel verwendet werden können, finden Sie auch im Artikel New-InboxRule .

d. Das Feld UserId gibt den Benutzer an, der die im Feld ObjectId angegebene Posteingangsregel erstellt hat. Dieser Benutzer wird auch in der Spalte Benutzer auf der Suchergebnisseite angezeigt.

Untersuchen Sie, warum eine erfolgreiche Anmeldung durch einen Benutzer außerhalb Ihres organization

Beim Überprüfen von Überwachungsdatensätzen im Überwachungsprotokoll werden möglicherweise Datensätze angezeigt, die darauf hinweisen, dass ein externer Benutzer von Microsoft Entra ID authentifiziert und erfolgreich bei Ihrem organization angemeldet wurde. Beispielsweise kann einem Administrator in contoso.onmicrosoft.com ein Überwachungsdatensatz angezeigt werden, der anzeigt, dass sich ein Benutzer aus einem anderen organization (z. B. fabrikam.onmicrosoft.com) erfolgreich bei contoso.onmicrosoft.com angemeldet hat. Ebenso können Überwachungsdatensätze angezeigt werden, die angeben, dass Benutzer mit einem Microsoft-Konto (MSA), z. B. einem Outlook.com oder Live.com, erfolgreich bei Ihrem organization angemeldet sind. In diesen Situationen lautet die überwachte Aktivität Benutzer angemeldet.

Es handelt sich hierbei um ein beabsichtigtes Verhalten. Microsoft Entra ID, der Verzeichnisdienst, ermöglicht eine so genannte Passthrough-Authentifizierung, wenn ein externer Benutzer versucht, auf eine SharePoint-Website oder einen OneDrive-Speicherort in Ihrem organization zuzugreifen. Wenn der externe Benutzer versucht, dies zu tun, wird er aufgefordert, seine Anmeldeinformationen einzugeben. Microsoft Entra ID verwendet die Anmeldeinformationen, um den Benutzer zu authentifizieren, was bedeutet, dass nur Microsoft Entra ID überprüft, ob der Benutzer der ist, für den er sich ausgibt. Die Angabe der erfolgreichen Anmeldung im Überwachungsdatensatz ist das Ergebnis Microsoft Entra Authentifizierung des Benutzers. Die erfolgreiche Anmeldung bedeutet nicht, dass der Benutzer auf Ressourcen zugreifen oder andere Aktionen in Ihrem organization ausführen konnte. Es gibt nur an, dass der Benutzer von Microsoft Entra ID authentifiziert wurde. Damit ein Passthrough-Benutzer auf SharePoint- oder OneDrive-Ressourcen zugreifen kann, muss ein Benutzer in Ihrem organization eine Ressource explizit für den externen Benutzer freigeben, indem er eine Freigabeaufladung oder einen anonymen Freigabelink sendet.

Hinweis

Microsoft Entra ID ermöglicht die Passthrough-Authentifizierung nur für Erstanbieteranwendungen wie SharePoint Online und OneDrive for Business. Sie ist für andere Anwendungen von Drittanbietern nicht zulässig.

Hier sehen Sie ein Beispiel und Beschreibungen der relevanten Eigenschaften in einem Überwachungsdatensatz für ein Vom Benutzer angemeldetes Ereignis, das ein Ergebnis der Passthrough-Authentifizierung ist. Wählen Sie den Überwachungsdatensatz aus, um die Flyoutseite Details anzuzeigen, und wählen Sie dann Weitere Informationen aus.

Beispiel für einen Überwachungsdatensatz für eine erfolgreiche Pass-Thru-Authentifizierung.

a. Dieses Feld gibt an, dass der Benutzer, der versucht hat, auf eine Ressource in Ihrem organization zuzugreifen, nicht im Microsoft Entra ID Ihres organization gefunden wurde.

b. In diesem Feld wird der UPN des externen Benutzers angezeigt, der versucht hat, auf eine Ressource in Ihrem organization zuzugreifen. Diese Benutzer-ID wird auch in den Eigenschaften User und UserId im Überwachungsdatensatz identifiziert.

c. Die ApplicationId-Eigenschaft identifiziert die Anwendung, die die Anmeldeanforderung ausgelöst hat. Der Wert von „00000003-0000-0ff1-ce00-000000000000“, der in der Eigenschaft ApplicationId in diesem Überwachungsdatensatz angezeigt wird, zeigt SharePoint Online an. OneDrive for Business hat auch dieselbe ApplicationId.

d. Dies gibt an, dass die Passthrough-Authentifizierung erfolgreich war. Anders ausgedrückt: Der Benutzer wurde erfolgreich von Microsoft Entra ID authentifiziert.

e. Der RecordType-Wert15 gibt an, dass die überwachte Aktivität (UserLoggedIn) ein STS-Anmeldeereignis (Secure Token Service) in Microsoft Entra ID ist.

Weitere Informationen zu den anderen Eigenschaften, die in einem UserLoggedIn-Überwachungsdatensatz angezeigt werden, finden Sie in den Microsoft Entra zugehörigen Schemainformationen in Office 365 Verwaltungsaktivitäts-API-Schema.

Im Folgenden finden Sie zwei Beispiele für Szenarien, die aufgrund der Passthrough-Authentifizierung zu einer erfolgreichen Überwachungsaktivität vom Typ "Benutzer angemeldet " führen:

  • Ein Benutzer mit einem Microsoft-Konto (zSaraD@outlook.com. B. ) hat versucht, auf ein Dokument in einem OneDrive for Business-Konto in fourthcoffee.onmicrosoft.com zuzugreifen, und es gibt kein entsprechendes Gastbenutzerkonto für SaraD@outlook.com in fourthcoffee.onmicrosoft.com.

  • Ein Benutzer mit einem Geschäfts-, Schul- oder Unikonto in einem organization (zpilarp@fabrikam.onmicrosoft.com. B. ) hat versucht, auf eine SharePoint-Website in contoso.onmicrosoft.com zuzugreifen, und es gibt kein entsprechendes Gastbenutzerkonto für pilarp@fabrikam.com in contoso.onmicrosoft.com.

Tipps zum Untersuchen erfolgreicher Anmeldungen aufgrund der Passthrough-Authentifizierung

  • Durchsuchen Sie das Überwachungsprotokoll nach Aktivitäten, die von dem externen Benutzer ausgeführt werden, der im Überwachungsdatensatz Benutzer angemeldet identifiziert wird. Geben Sie den UPN für den externen Benutzer in das Feld Benutzer ein, und verwenden Sie einen Datumsbereich, falls für Ihr Szenario relevant. Beispielsweise können Sie eine Suche mit den folgenden Suchkriterien erstellen:

    Suchen Sie nach allen Aktivitäten, die vom externen Benutzer ausgeführt werden.

    Zusätzlich zu den Aktivitäten angemeldeter Benutzer können andere Überwachungsdatensätze zurückgegeben werden, z. B. solche, die einen Benutzer in Ihrer organization freigegebenen Ressourcen mit dem externen Benutzer angeben und angeben, ob der externe Benutzer auf ein Dokument zugegriffen, geändert oder heruntergeladen hat, das für diesen freigegeben wurde.

  • Suchen Sie nach SharePoint-Freigabeaktivitäten, die anzeigen würden, dass eine Datei für den externen Benutzer freigegeben wurde, der von einem Überwachungsdatensatz Benutzer angemeldet identifiziert wurde. Weitere Informationen finden Sie unter Verwenden der Freigabeüberwachung im Überwachungsprotokoll.

  • Exportieren Sie die Überwachungsprotokollsuchergebnisse, die für Ihre Untersuchung relevante Datensätze enthalten, damit Sie excel verwenden können, um nach anderen Aktivitäten im Zusammenhang mit dem externen Benutzer zu suchen. Weitere Informationen finden Sie unterExportieren, Konfigurieren und Anzeigen von Überwachungsprotokoll-Datensätzen.

Suchen nach Postfachaktivitäten, die von Benutzern mit Nicht-E5-Lizenzen ausgeführt werden

Selbst wenn die Postfachüberwachung standardmäßig aktiviert für Ihre organization aktiviert ist, stellen Sie möglicherweise fest, dass Postfachüberwachungsereignisse für einige Benutzer mithilfe des Microsoft Purview-Portals, des Cmdlets Search-UnifiedAuditLog oder der Office 365 Management Activity-API bei Überwachungsprotokollsuchen nicht gefunden werden. Der Grund dafür ist, dass Postfachüberwachungsereignisse nur für Benutzer mit E5-Lizenzen zurückgegeben werden, wenn Sie eine der vorherigen Methoden zum Durchsuchen des einheitlichen Überwachungsprotokolls verwenden.

Zum Abrufen von Postfachüberwachungsprotokolldatensätzen für Benutzer ohne E5 können Sie eine der folgenden Problemumgehungen ausführen:

  • Manuelles Aktivieren der Postfachüberwachung für einzelne Postfächer (führen Sie den Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true Befehl in Exchange Online PowerShell aus). Suchen Sie anschließend mithilfe des Microsoft Purview-Portals, des Cmdlets Search-UnifiedAuditLog oder der Office 365 Management Activity-API nach Postfachüberwachungsaktivitäten.

    Hinweis

    Wenn die Postfachüberwachung für das Postfach bereits aktiviert zu sein scheint, Ihre Suchvorgänge jedoch keine Ergebnisse zurückgeben, ändern Sie den Wert des Parameters AuditEnabled in $false und dann zurück in $true.

Suchen nach Postfachaktivitäten, die in einem bestimmten Postfach (einschließlich freigegebener Postfächer) ausgeführt werden

Wenn Sie die Dropdownliste Benutzer im Überwachungsprotokollsuchtool im Microsoft Purview-Portal oder den Befehl Search-UnifiedAuditLog -UserIds in Exchange Online PowerShell verwenden, können Sie nach Aktivitäten suchen, die von einem bestimmten Benutzer ausgeführt werden. Bei Postfachüberwachungsaktivitäten sucht dieser Suchtyp nach Aktivitäten, die vom angegebenen Benutzer ausgeführt werden. Es wird nicht garantiert, dass alle Aktivitäten, die im selben Postfach ausgeführt werden, in den Suchergebnissen zurückgegeben werden. Beispielsweise gibt eine Überwachungsprotokollsuche keine Überwachungsdatensätze für Aktivitäten zurück, die von einem Stellvertretungsbenutzer ausgeführt werden, da bei der Suche nach Postfachaktivitäten, die von einem bestimmten Benutzer ausgeführt werden, keine Aktivitäten zurückgegeben werden, die von einem Stellvertretungsbenutzer ausgeführt werden, dem Berechtigungen für den Zugriff auf das Postfach eines anderen Benutzers zugewiesen wurden. (Ein Stellvertretungsbenutzer ist eine Person, der die Postfachberechtigung SendAs, SendOnBehalf oder FullAccess für das Postfach eines anderen Benutzers zugewiesen wurde.)

Außerdem gibt die Verwendung der Dropdownliste Benutzer im Überwachungsprotokoll-Suchtool oder search-UnifiedAuditLog -UserIds keine Ergebnisse für Aktivitäten zurück, die in einem freigegebenen Postfach ausgeführt werden.

Verwenden Sie beim Ausführen des Cmdlets Search-UnifiedAuditLog die folgende Syntax, um nach aktivitäten zu suchen, die in einem bestimmten Postfach ausgeführt werden oder nach Aktivitäten, die in einem freigegebenen Postfach ausgeführt werden:

Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid

Der folgende Befehl gibt beispielsweise Überwachungsdatensätze für Aktivitäten zurück, die zwischen August 2020 und Oktober 2020 im freigegebenen Postfach des Contoso-Complianceteams ausgeführt wurden:

Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid