Ejecución de un informe de acceso al buzón de correo del que no se es propietario
El informe de acceso de buzón de correo no propietario del Centro de administración de Exchange (EAC) muestra los buzones a los que accede alguien distinto de la persona propietaria del buzón. Cuando un no propietario accede a un buzón de correo, Exchange registra información sobre esta acción. Exchange almacena este registro de auditoría de buzón como un mensaje de correo electrónico en una carpeta oculta del buzón auditado. El informe muestra las entradas de este registro como resultados de búsqueda e incluye los buzones a los que accede un no propietario, que ha accedido a cada buzón y cuándo, las acciones realizadas por los no propietarios y si las acciones se han realizado correctamente o no.
Exchange registra acciones específicas por parte de usuarios que no son propietarios, lo que incluye administradores y usuarios a los que se asignan permisos a un buzón (a los que se denominan usuarios delegados). También puede limitar la búsqueda a los usuarios de dentro o de fuera de la organización. De forma predeterminada, Exchange conserva las entradas en el registro de auditoría del buzón durante 90 días.
Habilite el registro de auditoría de buzones en el Shell de administración de Exchange.
¿Qué necesita saber antes de comenzar?
Tiempo estimado para finalizar: 5 minutos.
Para abrir el EAC, consulte Centro de administración de Exchange en Exchange Server. Para abrir el Shell de administración de Exchange, consulte Abrir el Shell de administración de Exchange.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Registro de auditoría de buzones" en el artículo Directiva de mensajería y permisos de cumplimiento en Exchange Server.
Para obtener información sobre los métodos abreviados de teclado que se aplican a los procedimientos de este artículo, vea Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.
Paso 1: Uso del Shell de administración de Exchange para habilitar el registro de auditoría de buzones
Tiene que habilitar el registro de auditoría de buzones para cada buzón que quiera incluir en un informe de acceso de buzón que no sea propietario. Si no habilita el registro de auditoría de buzones de correo, no obtendrá ningún resultado al ejecutar un informe.
Para habilitar el registro de auditoría de buzones para un único buzón de correo, ejecute el siguiente comando en el Shell de administración de Exchange:
Set-Mailbox <Identity> -AuditEnabled $true
Por ejemplo, para habilitar la auditoría de buzones de correo de un usuario que se llama Florence Flipo, ejecute el siguiente comando.
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Para habilitar la auditoría de buzones de correo para todos los buzones de correo de usuario de la organización, ejecute los siguientes comandos:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
¿Cómo saber si el proceso se ha completado correctamente?
Ejecute el siguiente comando para comprobar que ha configurado correctamente el registro de auditoría del buzón.
Get-Mailbox | Format-List Name,AuditEnabled
Un valor de True
para la propiedad AuditEnabled comprueba que el registro de auditoría está habilitado.
Paso 2: Uso del EAC para ejecutar un informe de acceso de buzón de correo no propietario
En el EAC, vaya aAuditoríade administración de> cumplimiento.
Seleccione Ejecutar un informe de acceso de buzón de correo que no es propietario.
De forma predeterminada, Exchange ejecuta el informe para el acceso no propietario a los buzones de correo de la organización durante las últimas dos semanas. El registro de auditoría se ha habilitado para los buzones que aparecen en los resultados de la búsqueda.
Para ver el acceso de usuarios no propietarios de un buzón específico, selecciónelo en la lista de buzones. Vea los resultados de la búsqueda en el panel de detalles.
Notas:
¿Desear limitar los resultados de la búsqueda? Seleccione la fecha de inicio, la fecha de finalización o ambas, y seleccione los buzones de correo concretos en los que se buscará. Seleccione Buscar para volver a ejecutar el informe.
También puede especificar que desea buscar el tipo de acceso no propietario, también denominado tipo de inicio de sesión. Estas son las opciones que tiene:
Todos los usuarios que no son propietarios: busque acceso por parte de administradores y usuarios delegados dentro de la organización. También incluye usuario de acceso externo a la organización.
Usuarios externos: busque acceso por parte de usuarios fuera de su organización.
Administradores y usuarios delegados: busque acceso por parte de administradores y usuarios delegados dentro de la organización.
Administradores: busque acceso por parte de los administradores de su organización.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ejecutó correctamente un informe de acceso al buzón de correo del que no se es propietario, vea el panel de resultados. El panel de resultados muestra los buzones para los que ejecutó el informe, ya sea un usuario individual o un grupo de buzones. Si no hay resultados para un buzón específico, es posible que no haya ningún acceso que no sea de propietario o que no haya habido acceso que no sea de propietario en el intervalo de fechas especificado. Como se ha recomendado anteriormente, asegúrese de comprobar que ha habilitado el registro de auditoría para los buzones de correo en los que quiere buscar acceso por parte de los no propietarios.
¿Qué se almacena en el registro de auditoría de buzones de correo?
Al ejecutar un informe de acceso al buzón de correo que no es propietario, los resultados de la búsqueda de EAC muestran entradas del registro de auditoría del buzón. Cada entrada del informe contiene esta información:
Quién accedió al buzón y cuándo.
Las acciones realizadas por el no propietario.
El mensaje afectado y su ubicación de carpeta.
Si la acción se realizó correctamente
En la tabla siguiente se describen los tipos de acciones registradas y si estas acciones se registran de forma predeterminada para el acceso de los administradores y para el acceso de los usuarios delegados. Si desea realizar un seguimiento de las acciones que no se registran de forma predeterminada, debe usar el Shell de administración de Exchange para habilitar el registro de esas acciones.
Acción | Descripción | Administradores | Usuarios delegados |
---|---|---|---|
Actualizar | Se cambió un mensaje. | Sí | Sí |
Copy | Se ha copiado un mensaje a otra carpeta. | No | No |
Mover | Se ha movido un mensaje a otra carpeta. | Sí | No |
Mover a Elementos eliminados | Un mensaje se movió a la carpeta Elementos eliminados. | Sí | No |
Eliminar temporalmente | Un mensaje se eliminó de la carpeta Elementos eliminados. | Sí | Sí |
Eliminar de forma permanente | Un mensaje se purgó de la carpeta Elementos recuperables. | Sí | Sí |
FolderBind | Se tuvo acceso a una carpeta de buzón de correo. | Sí | No |
Enviar como | Un mensaje se envió mediante el permiso SendAs. Esto significa que otro usuario envió el mensaje como si procediera del propietario del buzón. | Sí | Sí |
Enviar en nombre de | Un mensaje se envió mediante el permiso SendOnBehalf. Esto significa que otro usuario envió el mensaje en nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente. | Sí | No |
MessageBind | Un mensaje se consultó en el panel de vista previa o se abrió. | No | No |