Dado que los buzones de correo pueden contener información confidencial y de alto impacto comercial, así como información de identificación personal, es importante realizar un seguimiento de quién inicia sesión en los buzones de la organización y qué acciones se llevan a cabo. Es especialmente importante que lleve un seguimiento del acceso a los buzones por parte de usuarios que no sean el propietario del buzón en cuestión. Estos usuarios se conocen como usuarios delegados.
Mediante el registro de auditoría de buzones, puede registrar el acceso al buzón por parte de los propietarios de buzones, delegados (incluidos los administradores con permisos de acceso total a buzones) y administradores.
Al habilitar el registro de auditoría para un buzón de correo, se pueden especificar las acciones de usuario (por ejemplo, acceso, traslado o eliminación de mensajes) que se registrarán para un tipo de inicio de sesión (administrador, usuario delegado o propietario). Las entradas del registro de auditoría también incluyen información importante, tal como la dirección IP del cliente, el nombre de host y el proceso o cliente utilizado para acceder al buzón. Para los elementos movidos, la entrada incluye el nombre de la carpeta de destino.
Registros de auditoría de buzón de correo
Los registros de auditoría del buzón de correo se generan para cada buzón que tenga habilitado el registro de auditoría del buzón de correo. Las entradas del registro se almacenan en la carpeta de elementos recuperables en el buzón auditado, en la subcarpeta Auditorías. Esto garantiza que todas las entradas del registro de auditoría estén disponibles desde una sola ubicación, independientemente del método de acceso de cliente que se haya usado para acceder al buzón de correo o al servidor o estación de trabajo que un administrador haya usado para acceder al registro de auditoría del buzón. Si mueve un buzón de correo a otro servidor de buzones de correo, también se moverán los registros de auditoría del buzón de correo pertinentes porque se encuentran en el buzón de correo.
De forma predeterminada, las entradas de un registro de auditoría de buzón se conservan en el buzón de correo durante 90 días y luego se eliminan. Puede modificar este período de retención mediante el parámetro AuditLogAgeLimit con el cmdlet Set-Mailbox . Si un buzón está en retención en contexto o en retención por juicio, las entradas del registro de auditoría solo se conservarán hasta que se haya alcanzado el período de retención del registro de auditoría de buzón. Para conservar las entradas del registro de auditoría durante más tiempo, tiene que aumentar el período de retención cambiando el valor del parámetro AuditLogAgeLimit . También puede exportar entradas del registro de auditoría antes de que se alcance el período de retención. Para obtener más información, vea:
Al habilitar el registro de auditoría de buzón en un buzón de correo, el acceso al buzón de correo y algunas acciones realizadas por los administradores y delegados se registran de forma predeterminada. Para registrar las acciones que lleva a cabo el propietario del buzón de correo, es necesario especificar las acciones de propietario que se deben auditar.
Acciones de buzón de correo registradas por el registro de auditoría de buzón
En la siguiente tabla se enumeran las acciones registradas por el registro de auditoría de buzón de correo, incluidos los tipos de inicio de sesión para los que se puede registrar la acción.
Acción
Descripción
Administrador
Delegado
Owner
Copiar
Se copia un elemento en otra carpeta.
Sí
No
No
Crear
Se crea un elemento en la carpeta Calendario, Contactos, Notas o Tareas del buzón; por ejemplo, se crea una nueva convocatoria de reunión. Tenga en cuenta que la creación de mensajes o carpetas no se audita.
Sí*
Sí*
Sí
FolderBind
Se obtiene acceso a una carpeta de buzón de correo.
Sí*
Sí**
No
HardDelete
Se elimina un elemento de la carpeta Elementos recuperables de forma permanente.
Sí*
Sí*
Sí
MessageBind
Se abre o se obtiene acceso a un elemento desde el panel de lectura.
Sí
No
No
Mover
Se mueve un elemento a otra carpeta.
Sí*
Sí
Sí
MoveToDeletedItems
Se mueve un elemento a la carpeta Elementos eliminados.
Sí*
Sí
Sí
SendAs
Se envía un mensaje con los permisos Enviar como.
Sí*
Sí*
No aplicable
SendOnBehalf
Se envía un mensaje con los permisos Enviar en nombre de.
Sí*
Sí
No aplicable
SoftDelete
Se elimina un elemento de la carpeta Elementos eliminados.
Sí*
Sí*
Sí
Actualizar
Se actualizan las propiedades de un elemento.
Sí*
Sí*
Sí
* Se audita de forma predeterminada si la auditoría está habilitada para el buzón en cuestión.
** Se consolidan las entradas de las acciones de enlace de carpeta realizadas por delegados. Se genera una entrada de registro para el acceso a cada carpeta en un plazo de 24 horas.
Si ya no necesita que se auditen determinados tipos de acciones de buzón de correo, tendrá que modificar la configuración de registro de auditoría del buzón para deshabilitarlas. Las entradas de registro existentes no se purgan hasta que se ha alcanzado el límite de antigüedad de las entradas del registro de auditaría.
Búsqueda de entradas de registro de auditoría de buzones
Puede usar los métodos indicados a continuación para buscar entradas del registro de auditoría de buzón:
Buscar sincrónicamente en un único buzón: puede usar el cmdlet Search-MailboxAuditLog para buscar de forma sincrónica entradas de registro de auditoría de buzón de correo para un único buzón. El cmdlet muestra los resultados de la búsqueda en la ventana del Shell de administración de Exchange. Para obtener información detallada, vea Buscar el registro de auditoría de un buzón.
Búsqueda asincrónica en uno o varios buzones: puede crear una búsqueda de registros de auditoría de buzón para buscar de forma asincrónica los registros de auditoría de buzones de uno o varios buzones y, a continuación, enviar los resultados de la búsqueda a una dirección de correo electrónico especificada. Los resultados de la búsqueda se envían como datos adjuntos XML. Para crear la búsqueda, use el cmdlet New-MailboxAuditLogSearch. Para obtener más información, vea Crear una búsqueda en los registros de auditoría de buzones.
Usar informes de auditoría en el Centro de administración de Exchange (EAC): puede usar la pestaña Auditoría del EAC para ejecutar un informe de acceso al buzón de correo no propietario o exportar entradas desde el registro de auditoría de buzones. Para más información, vea:
En la siguiente tabla se describen los campos registrados en una entrada del registro de auditoría de buzón.
Campo
Se rellena con
Operación
Una de las acciones siguientes:
Copiar
Crear
FolderBind
HardDelete
MessageBind
Mover
MoveToDeletedItems
SendAs
SendOnBehalf
SoftDelete
Update
OperationResult
Uno de los resultados siguientes:
Failed
Parcialmentesucceeded
Succeeded
LogonType
Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
Propietario
Delegado
Administrador
DestFolderId
GUID de la carpeta de destino para las operaciones de movimiento.
DestFolderPathName
Ruta de acceso de la carpeta de destino para las operaciones de movimiento.
FolderId
GUID de la carpeta.
FolderPathName
Ruta de acceso de la carpeta.
ClientInfoString
Detalles que identifican qué cliente o qué componente de Exchange realizó la operación.
ClientIPAddress
Dirección IP del equipo cliente.
ClientMachineName
Nombre del equipo cliente.
ClientProcessName
Nombre del proceso de la aplicación cliente.
ClientVersion
Versión de la aplicación cliente.
InternalLogonType
Tipo de inicio de sesión del usuario que realizó la operación. Entre los tipos de inicio de sesión, se incluyen:
Propietario
Delegado
Admin
MailboxOwnerUPN
Nombre principal de usuario (UPN) del propietario del buzón.
MailboxOwnerSid
Identificador de seguridad del propietario del buzón (SID).
DestMailboxOwnerUPN
Nombre principal de usuario (UPN) del propietario del buzón de destino, registrado para operaciones entre buzones.
DestMailboxOwnerSid
SID del propietario del buzón de destino, registrado para operaciones entre buzones.
DestMailboxOwnerGuid
GUID del propietario del buzón de destino.
CrossMailboxOperation
Información sobre si la operación registrada es una operación entre buzones (por ejemplo, copiar o mover mensajes entre buzones).
LogonUserDisplayName
Nombre para mostrar del usuario que ha iniciado sesión.
DelegateUserDisplayName
Nombre para mostrar del usuario delegado.
LogonUserSid
SID del usuario que ha iniciado sesión.
SourceItems
Identificador de elemento de los elementos de buzón donde se haya realizado la acción registrada (por ejemplo, mover o eliminar). Para las operaciones realizados en varios elementos, este campo se devuelve como un conjunto de elementos.
SourceFolders
GUID de la carpeta de origen.
ItemId
Identificador del elemento.
ItemSubject
Asunto del elemento.
MailboxGuid
GUID del buzón.
MailboxResolvedOwnerName
Nombre resuelto por el usuario del buzón con el formato DOMAIN_SamAccountName_.
LastAccessed
Hora en que se realizó la operación.
Identity
Identificador de entrada de registro de auditoría.
Más información
Acceso de administrador a buzones: los buzones se consideran accesibles por un administrador solo en los siguientes escenarios:
Omitir el registro de auditoría de buzones: el acceso al buzón mediante procesos automatizados autorizados, como cuentas usadas por herramientas de terceros o cuentas usadas para la supervisión legal, puede crear un gran número de entradas de registro de auditoría de buzones de correo y puede que no sea de interés para su organización. Puede configurar estas cuentas para que se omita el registro de auditoría de buzón. Para obtener más información, vea Omitir una cuenta de usuario desde el registro de auditoría de buzones.
Registrar acciones de propietario del buzón de correo: para buzones como el buzón de búsqueda de detección, que puede contener información más confidencial, considere la posibilidad de habilitar el registro de auditoría de buzones para las acciones del propietario del buzón, como la eliminación de mensajes.
Obtenga información sobre cómo utiliza Microsoft 365 el registro y la supervisión de auditoría exhaustivos para admitir la supervisión de seguridad, mantener la disponibilidad del servicio y cumplir los requisitos de cumplimiento.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.
Resumen: obtenga información sobre los tipos de inicio de sesión específicos y las acciones de usuario que se pueden auditar al habilitar el registro de auditoría de buzones de correo para los buzones de usuario en Exchange Server 2016 y Exchange Server 2019.
Resumen: obtenga información sobre cómo habilitar el registro de auditoría de buzones en Exchange 2016 o Exchange 2019 para que ejecute informes sobre el acceso al buzón que no es propietario.