Administrar la auditoría de buzones de correo
El registro de auditoría de buzones está activado de forma predeterminada en todas las organizaciones. Esto significa que ciertas acciones realizadas por los propietarios, delegados y administradores del buzón de correo se registran automáticamente. Los registros de auditoría de buzón correspondientes están disponibles para que los administradores busquen en el registro de auditoría del buzón.
Algunas ventajas de la auditoría de buzones en de forma predeterminada son:
- La auditoría se activa automáticamente al crear un nuevo buzón. No es necesario habilitar manualmente la auditoría de buzones para los nuevos usuarios.
- No es necesario administrar las acciones de buzón que se auditan. De forma predeterminada, se audita un conjunto predefinido de acciones de buzón para cada tipo de inicio de sesión (administrador, delegado y propietario).
- Cuando Microsoft publica una nueva acción de buzón de correo, es posible que la acción se agregue automáticamente a la lista de acciones de buzón auditadas de forma predeterminada (sujeto a que el usuario tenga la licencia adecuada). Este resultado significa que no es necesario agregar nuevas acciones en los buzones a medida que se publican.
- Tiene una directiva de auditoría de buzones coherente en toda la organización (porque está auditando las mismas acciones para todos los buzones).
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Para comprobar que la auditoría de buzones activada de forma predeterminada está activada para su organización, ejecute el siguiente comando en Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
El valor False indica que la auditoría de buzones activada de forma predeterminada está activada para la organización. La auditoría de buzones en de forma predeterminada en la organización invalida la configuración de auditoría de buzones en buzones individuales. Por ejemplo, si la auditoría del buzón de correo está desactivada para un buzón (la propiedad AuditEnabled del buzón es False), las acciones predeterminadas del buzón de correo se siguen auditando para el buzón, ya que la auditoría del buzón está activada de forma predeterminada para la organización.
Para mantener deshabilitada la auditoría de buzones para buzones específicos, configure la omisión de auditoría del buzón para el propietario del buzón y otros usuarios con acceso delegado al buzón. Para obtener más información, vea la sección Omitir registro de auditoría de buzones más adelante en este artículo.
Nota
Cuando la auditoría de buzones está activada de forma predeterminada para la organización, la propiedad AuditEnabled de los buzones afectados no cambiará de False a True. En otras palabras, la auditoría de buzones en omite de forma predeterminada la propiedad AuditEnabled en los buzones.
Los tipos de buzón admitidos por la auditoría de buzones en de forma predeterminada se describen en la tabla siguiente:
Tipo de buzón | Auditoría admitida | Activado de forma predeterminada compatible |
---|---|---|
Buzones de usuario | ✔ | ✔ |
Buzones compartidos | ✔ | ✔ |
Buzones de microsoft 365 group | ✔ | ✔ |
Buzones de recursos | ✔ | |
Buzones de carpetas públicas |
Los tipos de inicio de sesión clasifican quién es responsable de las acciones auditadas en el buzón. En la lista siguiente se describen los tipos de inicio de sesión que se usan en el registro de auditoría de buzones:
- Propietario: propietario del buzón (la cuenta asociada al buzón).
-
Delegado:
- Usuario al que se ha asignado el permiso SendAs, SendOnBehalf o FullAccess a otro buzón.
- Administrador al que se ha asignado el permiso FullAccess al buzón de correo de un usuario.
-
Administrador:
- El buzón de correo se busca con una de las siguientes herramientas de Exhibición de documentos electrónicos de Microsoft:
- eDiscovery en el portal o el portal de cumplimiento de Microsoft Purview.
- In-Place eDiscovery en Exchange Online.
- Se accede al buzón mediante el Editor MAPI de Microsoft Exchange Server.
- Se accede al buzón mediante una cuenta que suplanta a otro usuario. Esto ocurre cuando el rol ApplicationImpersonation se asigna a una cuenta, como una aplicación, que ahora tiene acceso activo a los datos. Para obtener más información, vea Configurar la suplantación.
- El buzón de correo se busca con una de las siguientes herramientas de Exhibición de documentos electrónicos de Microsoft:
En la tabla siguiente se describen las acciones de buzón que están disponibles en el registro de auditoría de buzones de correo para buzones de usuario y buzones compartidos.
- Una marca de verificación (✔) indica que la acción del buzón se puede registrar para el tipo de inicio de sesión (no todas las acciones están disponibles para todos los tipos de inicio de sesión).
- Un asterisco ( * ) después de la marca de verificación indica que la acción del buzón se registra de forma predeterminada para el tipo de inicio de sesión.
- Recuerde que un administrador con permiso de acceso completo a un buzón se considera un delegado.
Acción buzón | Descripción | Admin | Delegado | Owner |
---|---|---|---|---|
AddFolderPermissions | Aunque este valor se acepta como una acción de buzón de correo, ya se incluye en la acción UpdateFolderPermissions y no se audita por separado. En otras palabras, no use este valor. | |||
ApplyRecord | Un elemento se etiqueta como un registro. | ✔* | ✔* | ✔* |
Copy | Se ha copiado un mensaje a otra carpeta. | ✔ | ||
Crear | Se creó un elemento en la carpeta Calendario, Contactos, Borrador, Notas o Tareas del buzón (por ejemplo, se crea una nueva convocatoria de reunión). No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta de buzón de correo. | ✔* | ✔* | ✔ |
FolderBind | Se tuvo acceso a una carpeta de buzón de correo. Esta acción también se registra cuando el administrador o un delegado abren el buzón de correo. Nota: Se consolidan los registros de auditoría de las acciones de enlace de carpeta realizadas por los delegados. Se genera un registro de auditoría para el acceso a carpetas individuales en un período de 24 horas. |
✔ | ✔ | |
HardDelete | Un mensaje se purgó de la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
MailboxLogin | El usuario ha iniciado sesión en su buzón de correo. | ✔ | ||
MailItemsAccessed | Se produce cuando los clientes y protocolos de correo acceden a los datos de correo. | ✔* | ✔* | ✔* |
MessageBind |
Nota: Este valor solo está disponible para los usuarios sin licencias E5/A5/G5. Un administrador ha visto un mensaje en el panel de vista previa o lo ha abierto. |
✔ | ||
ModifyFolderPermissions | Aunque este valor se acepta como una acción de buzón de correo, ya se incluye en la acción UpdateFolderPermissions y no se audita por separado. En otras palabras, no use este valor. | |||
Move | Se ha movido un mensaje a otra carpeta. | ✔ | ✔ | ✔ |
MoveToDeletedItems | Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados. | ✔* | ✔* | ✔* |
RecordDelete | Un elemento etiquetado como registro se eliminó temporalmente (se movió a la carpeta Elementos recuperables). Los elementos etiquetados como registros no se pueden eliminar permanentemente (purgados de la carpeta Elementos recuperables). | ✔ | ✔ | ✔ |
RemoveFolderPermissions | Aunque este valor se acepta como una acción de buzón de correo, ya se incluye en la acción UpdateFolderPermissions y no se audita por separado. En otras palabras, no use este valor. | |||
SearchQueryInitiated | Una persona usa Outlook (Windows, Mac, iOS, Android o Outlook en la web) o la aplicación Mail para Windows 10 para buscar elementos en un buzón. | ✔ | ||
Send | El usuario envía un mensaje de correo electrónico, responde a un mensaje de correo electrónico o reenvía un mensaje de correo electrónico. | ✔* | ✔* | |
SendAs | Un mensaje se ha enviado con el permiso Enviar como. Este permiso permite a otro usuario enviar el mensaje como si procediera del propietario del buzón. | ✔* | ✔* | |
SendOnBehalf | Un mensaje se ha enviado con el permiso SendOnBehalf. Este permiso permite que otro usuario envíe el mensaje en nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente. | ✔* | ✔* | |
SoftDelete | Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Los elementos eliminados de forma temporal se mueven a la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
Actualizar | Se ha cambiado un mensaje o cualquiera de sus propiedades. | ✔* | ✔* | ✔* |
UpdateCalendarDelegation | Se asignó una delegación de calendario a un buzón de correo. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón. | ✔* | ✔* | |
UpdateFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen. | ✔* | ✔* | ✔* |
UpdateInboxRules | Se agregó, quitó o cambió una regla de bandeja de entrada. Las reglas de bandeja de entrada procesan los mensajes en la Bandeja de entrada del usuario en función de las condiciones. Las acciones especifican qué hacer en los mensajes que coinciden con las condiciones de la regla. Por ejemplo, mueva el mensaje a una carpeta especificada o elimine el mensaje. | ✔* | ✔* | ✔* |
Importante
Si personalizó las acciones del buzón para auditar antes de que la auditoría del buzón se activara de forma predeterminada en su organización, la configuración de auditoría de buzones personalizada se conserva en el buzón y no se sobrescribe mediante las acciones predeterminadas del buzón, como se describe en esta sección. Para revertir las acciones del buzón de auditoría a sus valores predeterminados (que puede hacer en cualquier momento), consulte la sección Restaurar las acciones predeterminadas del buzón más adelante en este artículo.
La auditoría de buzones en de forma predeterminada lleva el registro de auditoría de buzón a los buzones de microsoft 365 Group, pero no puede personalizar lo que se registra (no puede agregar ni quitar acciones de buzón que se registran para cualquier tipo de inicio de sesión).
En la tabla siguiente se describen las acciones de buzón que se registran de forma predeterminada en los buzones de Microsoft 365 Group para cada tipo de inicio de sesión.
Recuerde que un administrador con permiso de acceso completo para un buzón de correo de grupo de Microsoft 365 se considera un delegado.
Acción buzón | Descripción | Admin | Delegado | Owner |
---|---|---|---|---|
Crear | Creación de un elemento de calendario. No se audita la creación, el envío ni la recepción de un mensaje. | ✔* | ✔* | |
HardDelete | Un mensaje se purgó de la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
MoveToDeletedItems | Un mensaje se ha eliminado y movido a la carpeta Elementos eliminados. | ✔* | ✔* | ✔* |
SendAs | Un mensaje se ha enviado con el permiso Enviar como. | ✔* | ✔* | |
SendOnBehalf | Un mensaje se ha enviado con el permiso SendOnBehalf. | ✔* | ✔* | |
SoftDelete | Un mensaje se ha eliminado de manera permanente o se ha eliminado de la carpeta Elementos eliminados. Los elementos eliminados de forma temporal se mueven a la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
Actualizar | Se ha cambiado un mensaje o cualquiera de sus propiedades. | ✔* | ✔* | ✔* |
Compruebe que las acciones predeterminadas del buzón de correo se registran para cada tipo de inicio de sesión.
La auditoría de buzones en agrega de forma predeterminada una nueva propiedad DefaultAuditSet a todos los buzones. El valor de esta propiedad indica si las acciones predeterminadas del buzón (administradas por Microsoft) se auditan en el buzón.
Para mostrar el valor en buzones de usuario o buzones compartidos, reemplace <MailboxIdentity> por el nombre, alias, dirección de correo electrónico o nombre principal de usuario (nombre de usuario) del buzón y ejecute el siguiente comando en Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Para mostrar el valor en los buzones de grupo de Microsoft 365, reemplace <MailboxIdentity> por el nombre, alias o dirección de correo electrónico del buzón compartido y ejecute el siguiente comando en Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
El valor Admin, Delegate, Owner
indica:
- Se están auditando las acciones predeterminadas de buzón de los tres tipos de inicio de sesión. Este valor es el único valor que se ve en los buzones de Microsoft 365 Group.
- Un administrador no ha cambiado las acciones del buzón auditado para ningún tipo de inicio de sesión en un buzón de usuario o en un buzón compartido.
Si un administrador ha cambiado alguna vez las acciones de buzón que se auditan para un tipo de inicio de sesión (mediante los parámetros AuditAdmin, AuditDelegate o AuditOwner en el cmdlet Set-Mailbox ), el valor de la propiedad es diferente.
Por ejemplo, el valor Owner
de la propiedad DefaultAuditSet en un buzón de usuario o buzón compartido indica lo siguiente:
- Se auditan las acciones predeterminadas del buzón de correo para el propietario del buzón.
- Las acciones de buzón auditadas para los
Delegate
tipos de inicio de sesión yAdmin
se han cambiado de las acciones predeterminadas.
Un valor en blanco para la propiedad DefaultAuditSet indica que las acciones de buzón de los tres tipos de inicio de sesión se han cambiado en el buzón de usuario o en un buzón compartido.
Para obtener más información, consulte la sección Cambiar o restaurar acciones de buzón de correo registradas de forma predeterminada en este artículo.
Para ver las acciones de buzón que están iniciando sesión actualmente en buzones de usuario o buzones compartidos, reemplace <MailboxIdentity> por el nombre, alias, dirección de correo electrónico o nombre principal de usuario (nombre de usuario) del buzón y ejecute uno o varios de los siguientes comandos en Exchange Online PowerShell.
Nota
Aunque puede agregar el -GroupMailbox
modificador a los siguientes comandos Get-Mailbox para buzones de Microsoft 365 Group, no crea los valores que se devuelven. Las acciones predeterminadas y estáticas de buzón de correo que se auditan para los buzones de microsoft 365 group se describen en la sección Acciones de buzón de correo para buzones de grupo de Microsoft 365 anteriormente en este artículo.
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Como se explicó anteriormente, una de las principales ventajas de la auditoría de buzones de correo de forma predeterminada es: no es necesario administrar las acciones de buzones que se auditan. Microsoft administra las acciones automáticamente y agregamos automáticamente nuevas acciones de buzón que se auditarán de forma predeterminada a medida que se publiquen.
Sin embargo, es posible que sea necesario que su organización audite un conjunto diferente de acciones de buzón de correo para buzones de usuario y buzones compartidos. Los procedimientos de esta sección muestran cómo cambiar las acciones de buzón que se auditan para cada tipo de inicio de sesión y cómo revertir a las acciones predeterminadas administradas por Microsoft.
Importante
Si usa los procedimientos siguientes para personalizar las acciones de buzón que han iniciado sesión en buzones de usuario o buzones compartidos, las nuevas acciones predeterminadas de buzón publicadas por Microsoft no se auditarán automáticamente en esos buzones. Tendrá que agregar manualmente las nuevas acciones de buzón a la lista personalizada de acciones.
Puede usar los parámetros AuditAdmin, AuditDelegate o AuditOwner en el cmdlet Set-Mailbox para cambiar las acciones de buzón auditadas para buzones de usuario y buzones compartidos (las acciones auditadas para los buzones de grupo de Microsoft 365 no se pueden personalizar).
Puede usar dos métodos diferentes para especificar las acciones del buzón:
-
Reemplace (sobrescriba) las acciones de buzón existentes mediante esta sintaxis:
action1,action2,...actionN
. -
Agregue o quite acciones de buzón sin afectar a otros valores existentes mediante esta sintaxis:
@{Add="action1","action2",..."actionN"}
o@{Remove="action1","action2",..."actionN"}
.
En este ejemplo se cambian las acciones del buzón de administración para el buzón denominado "Gabriela Laureano" al sobrescribir las acciones predeterminadas con SoftDelete y HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
En este ejemplo se agrega la acción de propietario MailboxLogin al buzón de correo laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
En este ejemplo se quita la acción de delegado MoveToDeletedItems para el buzón de team discussion.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Independientemente del método que use, la personalización de las acciones de buzón auditadas en buzones de usuario o buzones compartidos tiene los siguientes resultados:
- Para el tipo de inicio de sesión que ha personalizado, Microsoft ya no administra las acciones de buzón auditadas.
- El tipo de inicio de sesión que ha personalizado ya no se muestra en el valor de la propiedad DefaultAuditSet del buzón, como se describió anteriormente.
Nota
Los procedimientos siguientes no se aplican a los buzones de Microsoft 365 Group (se limitan a las acciones predeterminadas, como se describe aquí).
Si personalizó las acciones de buzón de correo que se auditan en un buzón de usuario o un buzón compartido, puede restaurar las acciones predeterminadas de buzón de correo para uno o todos los tipos de inicio de sesión mediante esta sintaxis:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Puede especificar varios valores DefaultAuditSet separados por comas.
En este ejemplo se restauran las acciones predeterminadas del buzón auditado para todos los tipos de inicio de sesión en el buzón mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
En este ejemplo se restauran las acciones de buzón auditadas predeterminadas para el tipo de inicio de sesión Admin en el buzón de correo chris@contoso.onmicrosoft.com, pero se dejan las acciones de buzón auditadas personalizadas para los tipos de inicio de sesión Delegado y Propietario.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
La restauración de las acciones predeterminadas del buzón auditado para un tipo de inicio de sesión tiene los siguientes resultados:
- La lista actual de acciones de buzón se reemplaza por las acciones predeterminadas de buzón para el tipo de inicio de sesión.
- Las nuevas acciones de buzón publicadas por Microsoft se agregan automáticamente a la lista de acciones auditadas para el tipo de inicio de sesión.
- El valor de la propiedad DefaultAuditSet del buzón de correo se actualiza para incluir el tipo de inicio de sesión restaurado.
Puede desactivar la auditoría de buzones de correo activada de forma predeterminada para toda la organización mediante la ejecución del siguiente comando en Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
La desactivación de la auditoría de buzones activada de forma predeterminada tiene los siguientes resultados:
- La auditoría de buzones está desactivada para su organización.
- Desde el momento en que desactiva la auditoría de buzones de correo de forma predeterminada, no se audita ninguna acción de buzón, incluso si la auditoría de buzones está habilitada en un buzón (la propiedad AuditEnabled del buzón es True).
- La auditoría de buzones no está activada para los buzones nuevos y se omite la configuración de la propiedad AuditEnabled en un buzón nuevo o existente en True .
- Cualquier configuración de asociación de omisión de auditoría de buzón (configurada mediante el cmdlet Set-MailboxAuditBypassAssociation ) se omite.
- Los registros de auditoría de buzones existentes se conservan hasta que expire el límite de antigüedad del registro de auditoría para el registro.
Para volver a activar la auditoría de buzones de correo para su organización, ejecute el siguiente comando en PowerShell de Exchange Online:
Set-OrganizationConfig -AuditDisabled $false
Actualmente, no puede deshabilitar la auditoría de buzones de correo para buzones específicos cuando la auditoría de buzones está activada de forma predeterminada en la organización. Por ejemplo, se omite establecer la propiedad de buzón AuditEnabled en False .
Sin embargo, todavía puede usar el cmdlet Set-MailboxAuditBypassAssociation en PowerShell de Exchange Online para evitar que se registren todas las acciones de buzón de correo de los usuarios especificados, independientemente de dónde se produzcan las acciones. Por ejemplo:
- Las acciones de propietario del buzón realizadas por los usuarios omitidos no se registran.
- Las acciones de delegación realizadas por los usuarios omitidos en los buzones de otros usuarios (incluidos los buzones compartidos) no se registran.
- Las acciones de administración realizadas por los usuarios omitidos no se registran.
Para omitir el registro de auditoría del buzón de un usuario específico, reemplace <MailboxIdentity> por el nombre, la dirección de correo electrónico, el alias o el nombre principal de usuario (nombre de usuario) del usuario y ejecute el siguiente comando:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Para comprobar que se omite la auditoría para el usuario especificado, ejecute el siguiente comando:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
El valor True indica que el registro de auditoría del buzón se omite para el usuario.
De forma predeterminada, los registros de auditoría de buzones se conservan durante 90 días antes de que se eliminen. Puede cambiar el límite de edad de los registros de auditoría mediante el parámetro AuditLogAgeLimit en el cmdlet Set-Mailbox de Exchange Online PowerShell. Sin embargo, el aumento de este valor no permite buscar eventos que tengan más de 90 días en el registro de auditoría.
Si aumenta el límite de edad, debe usar el cmdlet Search-MailboxAuditLog en PowerShell de Exchange Online para buscar registros de auditoría del buzón de correo del usuario en busca de registros que tengan más de 90 días.
Si ha cambiado la propiedad AuditLogAgeLimit de un buzón antes de la auditoría del buzón activada de forma predeterminada para la organización, el límite de antigüedad del registro de auditoría existente del buzón no cambia. En otras palabras, la auditoría de buzones de correo activada de forma predeterminada no afecta al límite de edad actual para los registros de auditoría de buzones.
Para cambiar el valor AuditLogAgeLimit en un buzón de Microsoft 365 Group, debe incluir el
-GroupMailbox
modificador en el comando Set-Mailbox .Los registros de auditoría de buzones se almacenan en una subcarpeta (denominada Auditorías) en la carpeta Elementos recuperables del buzón de cada usuario. Tenga en cuenta lo siguiente sobre los registros de auditoría del buzón y la carpeta Elementos recuperables:
Los registros de auditoría de buzones cuentan con la cuota de almacenamiento de la carpeta Elementos recuperables, que es de 30 GB de forma predeterminada (la cuota de advertencia es de 20 GB). La cuota de almacenamiento se aumenta automáticamente a 100 GB (con una cuota de advertencia de 90 GB) cuando:
- Se coloca una suspensión en un buzón.
- El buzón se asigna a una directiva de retención en el portal de Microsoft Purview o en el portal de cumplimiento.
Los registros de auditoría de buzones también cuentan con el límite de carpetas de la carpeta Elementos recuperables. Se puede almacenar un máximo de 3 millones de elementos (registros de auditoría) en la subcarpeta Auditorías.
Nota
Es poco probable que la auditoría de buzones en de forma predeterminada afecte a la cuota de almacenamiento o al límite de carpetas de la carpeta Elementos recuperables.
Puede ejecutar el siguiente comando en Exchange Online PowerShell para mostrar el tamaño y el número de elementos en la subcarpeta Auditorías de la carpeta Elementos recuperables:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
No puede acceder directamente a un registro de auditoría en la carpeta Elementos recuperables; en su lugar, use el cmdlet Search-MailboxAuditLog o busque en el registro de auditoría para buscar y ver los registros de auditoría del buzón.
Si un buzón se coloca en espera o se asigna a una directiva de retención, los registros de auditoría se conservan durante la duración definida por la propiedad AuditLogAgeLimit del buzón (90 días de forma predeterminada). Para conservar los registros de auditoría durante más tiempo para los buzones en espera, debe aumentar el valor AuditLogAgeLimit del buzón.
En un entorno multigeográfico, no se admite la auditoría entre buzones de correo. Por ejemplo, si a un usuario se le asignan permisos para acceder a un buzón compartido en otra ubicación geográfica, las acciones de buzón realizadas por ese usuario no se registran en el registro de auditoría de buzones del buzón compartido. Los eventos de auditoría del administrador de Exchange están disponibles para todas las ubicaciones a través de Microsoft Purview y el cmdlet Search-UnifiedAuditLog .