Ejecución de un informe de acceso de buzón de correo no propietario en Exchange 2013
Se aplica a: Exchange Server 2013
El informe de acceso de buzón de correo no propietario del Centro de administración de Exchange (EAC) muestra los buzones a los que accede alguien distinto de la persona propietaria del buzón. Cuando un usuario que no es propietario accede a un buzón, Microsoft Exchange registra información sobre esta acción. El registro de auditoría del buzón de correo se almacena como un mensaje de correo electrónico en una carpeta oculta en el buzón que se está auditando. Las entradas de este registro se muestran como resultados de la búsqueda e incluyen una lista de buzones de correo a los que ha obtenido acceso el usuario que no es el propietario, quién obtuvo acceso al buzón y cuándo, las acciones realizadas por el usuario que no es propietario y si la acción se ha llevado a cabo correctamente. De manera predeterminada, las entradas del registro de auditoría de buzones de correo se retienen durante 90 días.
Al habilitar el registro de auditoría de buzones para un buzón de correo, Microsoft Exchange registra acciones específicas por parte de los no propietarios, incluidos los administradores y los usuarios, denominados usuarios delegados, a los que se asignan permisos a un buzón. También puede limitar la búsqueda a los usuarios de dentro o de fuera de la organización.
¿Qué necesita saber antes de comenzar?
Tiempo estimado para finalizar: 5 minutos.
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Registro de auditoría de buzones" en el tema Permisos de directivas de mensajería y conformidad.
Para obtener información sobre los métodos abreviados de teclado que se aplican a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange en Exchange 2013.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.
Habilitación del registro de auditoría de buzones de correo
Tiene que habilitar el registro de auditoría de buzones de correo para el que desee ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de auditoría de buzones no está habilitado, no obtendrá ningún resultado al ejecutar un informe.
Para habilitar el registro de auditoría de buzones de correo para un solo buzón de correo, ejecute el siguiente comando de Shell.
Set-Mailbox <Identity> -AuditEnabled $true
Por ejemplo, para habilitar la auditoría de buzones de correo de un usuario que se llama Florence Flipo, ejecute el siguiente comando.
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Para habilitar la auditoría de buzones de correo para todos los buzones de la organización, ejecute los siguientes comandos.
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
¿Cómo saber si el proceso se ha completado correctamente?
Ejecute el siguiente comando para comprobar que ha configurado correctamente el registro de auditoría del buzón.
Get-Mailbox | Format-List Name,AuditEnabled
Un valor de True
para la propiedad AuditEnabled comprueba que el registro de auditoría está habilitado.
Ejecución de un informe de acceso al buzón de correo del que no se es propietario
En el EAC, vaya aAuditoríade administración de> cumplimiento.
Haga clic en Ejecutar un informe de acceso al buzón de correo del que no se es propietario.
De manera predeterminada, Microsoft Exchange ejecutará el informe para el acceso de no propietarios a cualquier buzón de correo de la organización durante las dos últimas semanas. Los buzones que aparecen en los resultados de búsqueda están habilitados para el registro de auditoría de buzones.
Para ver el acceso de usuarios no propietarios de un buzón específico, selecciónelo en la lista de buzones. Vea los resultados de la búsqueda en el panel de detalles.
Sugerencia
¿Desear limitar los resultados de la búsqueda? Seleccione la fecha de inicio, la fecha de finalización o ambas, y seleccione los buzones de correo concretos en los que se buscará. Haga clic en Buscar para volver a ejecutar el informe.
Búsqueda de tipos específicos de acceso de no propietarios
También puede especificar el tipo de acceso de no propietarios, denominado tipo de inicio de sesión, que se buscará. Estas son las opciones que tiene:
Todos los no propietarios Se busca el acceso por parte de administradores y usuarios delegados de la organización. También incluye usuario de acceso externo a la organización.
Usuarios externos Se busca acceso por usuarios externos a la organización.
Administradores y usuarios delegados Se busca el acceso por parte de administradores y usuarios delegados de la organización.
Administradores Se busca el acceso por parte de los administradores de la organización.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ejecutó correctamente un informe de acceso al buzón de correo del que no se es propietario, vea el panel de resultados. Los buzones de correo para los que ejecuta el informe se muestran en este panel. Si no hay resultados para un buzón específico, es posible que no haya acceso por parte de un no propietario o que el acceso no propietario no tenga lugar dentro del intervalo de fechas especificado. Como se describió anteriormente, asegúrese de comprobar que el registro de auditoría está habilitado para los buzones que desea buscar para que no sean propietarios.
¿Qué se almacena en el registro de auditoría de buzones de correo?
Al ejecutar un informe de acceso al buzón de correo del que no se es propietario, las entradas del registro de auditoría de buzones de correo se muestran en los resultados de la búsqueda en el EAC. Cada entrada del informe contiene esta información:
Quién tuvo acceso al buzón y cuándo
Las acciones realizadas por el usuario no propietario
El mensaje correspondiente y su ubicación de carpeta
Si la acción se realizó correctamente
En la tabla siguiente se enumeran las acciones realizadas por los usuarios no propietarios que se pueden registrar mediante el registro de auditoría del buzón de correo. En la tabla, Sí indica que la acción se puede registrar para ese tipo de inicio de sesión, y No indica que no se puede registrar la acción. Un asterisco ( * ) indica que la acción se registra de forma predeterminada cuando el registro de auditoría del buzón de correo está habilitado para el buzón. Si quiere realizar un seguimiento de las acciones que no se registran de forma predeterminada, use PowerShell para habilitar el registro de dichas acciones.
Nota:
Un administrador al que se haya asignado el permiso Acceso total en el buzón de un usuario se considera un usuario delegado.
Acción | Descripción | Administrador | Usuario delegado |
---|---|---|---|
Copy | Un mensaje se copió en otra carpeta. | Sí | No |
Create | Se crea un elemento en la carpeta Calendario, Contactos, Notas o Tareas del buzón; por ejemplo, se crea una nueva convocatoria de reunión. La creación de mensajes o carpetas no se audita. | Sí* | Sí* |
FolderBind | Se tuvo acceso a una carpeta de buzón de correo. | Sí* | Sí |
Eliminar de forma permanente | Un mensaje se purgó de la carpeta Elementos recuperables. | Sí* | Sí* |
MessageBind | Un mensaje se consultó en el panel de vista previa o se abrió. | Sí | No |
Mover | Un mensaje se movió a otra carpeta. | Sí* | Sí |
Mover a Elementos eliminados | Un mensaje se movió a la carpeta Elementos eliminados. | Sí* | Sí |
Enviar como | Un mensaje se envió mediante el permiso SendAs. Esto significa que otro usuario envió el mensaje como si procediera del propietario del buzón. | Sí* | Sí* |
Enviar en nombre de | Un mensaje se envió mediante el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje en nombre del propietario del buzón. El mensaje indica el destinatario en nombre de quien se envió el mensaje y quién lo envió realmente. | Sí* | Sí |
Eliminar temporalmente | Un mensaje se eliminó de la carpeta Elementos eliminados. | Sí* | Sí* |
Actualizar | Se cambió un mensaje. | Sí* | Sí* |
Nota:
* Se audita de forma predeterminada si la auditoría está habilitada para el buzón en cuestión.