Registrazione di controllo delle cassette postali
Si applica a: Exchange Server 2013
Dal momento che le cassette postali possono contenere informazioni riservate sia a livello aziendale che di singolo utente, è fondamentale tenere traccia di chi accede alle cassette postali nell'organizzazione e che attività esegue su di esse. È soprattutto importante controllare gli accessi alle cassette postali eseguiti da utenti che non ne sono i legittimi proprietari. Questi utenti sono definiti delegati.
Utilizzando la registrazione di controllo delle cassette postali, è possibile registrare gli accessi effettuati dai proprietari delle cassette postali, dai delegati (inclusi gli amministratori con autorizzazioni di accesso completo alle cassette postali) e dagli amministratori.
Quando si abilita la registrazione di controllo delle cassette postali, è possibile specificare quali azioni (ad esempio, accesso oppure spostamento o eliminazione di un messaggio) verranno registrate per ciascun tipo di utente (amministratore, utente delegato o proprietario). Le registrazioni includono anche informazioni importanti quali indirizzo IP del client, nome host e processo o client utilizzato per accedere alla cassetta postale. Per gli elementi spostati, nella registrazione viene riportato il nome della cartella di destinazione.
Registri di controllo delle cassette postali
I registri di controllo vengono generati per tutte le cassette postali per cui è abilitata la registrazione di controllo. Le voci del registro vengono archiviate nella cartella degli elementi ripristinabili nella cassetta postale controllata, nella sottocartella Controlli. In questo modo, tutte le voci registrate sono disponibili in un unico percorso, indipendentemente dal metodo scelto per accedere alla cassetta postale o dal server o workstation che l'amministratore ha utilizzato per accedere al registro di controllo. Se si sposta una cassetta postale su un altro server Cassette postali, anche i registri di controllo della cassetta postale vengono spostati perché si trovano al suo interno.
Per impostazione predefinita, le voci del registro di controllo di una cassetta postale vengono conservate nella cassetta postale per 90 giorni e quindi eliminate. È possibile modificare questo periodo di conservazione usando il parametro AuditLogAgeLimit con il cmdlet Set-Mailbox . Se una cassetta postale è in Archiviazione sul posto o in conservazione per controversia legale., le voci del registro di controllo vengono conservate solo fino alla scadenza del periodo di mantenimento del registro di controllo per la cassetta postale. Per mantenere più a lungo le voci del log di controllo, è necessario aumentare il periodo di conservazione modificando il valore per il parametro AuditLogAgeLimit . È anche possibile esportare le voci del registro di controllo prima della scadenza del periodo di mantenimento. Per ulteriori informazioni consulta:
- Esportare i log di controllo delle cassette postali
- Creare una ricerca dei registri di controllo delle cassette postali
Abilitazione della registrazione di controllo delle cassette postali
La registrazione di controllo delle cassette postali è abilitata per ogni cassetta postale. Utilizzare il cmdlet Set-Mailbox per abilitare o disabilitare la registrazione di controllo delle cassette postali. Per ulteriori informazioni, vedere Abilitare o disabilitare la registrazione per una cassetta postale di controllo delle cassette postali.
Quando si abilita la registrazione di controllo per una cassetta postale, gli accessi alla cassetta e alcune azioni eseguite dagli amministratori e dai delegati vengono registrate per impostazione predefinita. Per registrare anche le azioni eseguite dal proprietario della cassetta postale, è necessario specificare le azioni da sottoporre a controllo.
Azioni inserite nella registrazione di controllo delle cassette postali
Nella tabella seguente vengono indicate le azioni inserite nel registro di controllo delle cassette postali, incluso il tipo di accesso che genera la registrazione di ciascuna tipologia di azione.
| Azione | Descrizione | Amministratore | Delegato | Proprietario |
|---|---|---|---|---|
| Copia | Un elemento viene copiato in un'altra cartella. | Sì | No | No |
| Creare | Elemento creato nella cartella Calendario, Contatti, Note o Attività nella cassetta postale; ad esempio, viene creata una nuova convocazione di riunione. La creazione della cartella o del messaggio non viene sottoposta a controllo. | Sì* | Sì* | Sì |
| FolderBind | Accesso effettuato a una cartella della cassetta postale. | Sì* | Sì** | No |
| HardDelete | Un elemento viene eliminato definitivamente dalla cartella Elementi ripristinabili. | Sì* | Sì* | Sì |
| MessageBind | Un elemento viene aperto o vi si accede nel riquadro di lettura. | Sì | No | No |
| Move | Un elemento viene spostato in un'altra cartella. | Sì* | Sì | Sì |
| MoveToDeletedItems | Un elemento viene spostato nella cartella Posta eliminata. | Sì* | Sì | Sì |
| SendAs | Un messaggio viene inviato con l'autorizzazione Invia come. | Sì* | Sì* | Non applicabile |
| SendOnBehalf | Un messaggio viene inviato con l'autorizzazione Invia per conto di. | Sì* | Sì | Non applicabile |
| SoftDelete | Un elemento viene eliminato dalla cartella Posta eliminata. | Sì* | Sì* | Sì |
| Update | Le proprietà di un elemento vengono aggiornate. | Sì* | Sì* | Sì |
* Controllo eseguito per impostazione predefinita, se per la cassetta postale è abilitato il controllo.
** Le voci per le azioni bind eseguite sulla cartella dai delegati vengono consolidate. Per ogni singolo accesso in un periodo di 24 ore viene generata una voce.
Se non è più necessario registrare determinati tipi di azioni, modificare la configurazione di registrazione per disabilitarle. Le voci presenti nel registro non vengono eliminate fino a quando non raggiungono la loro scadenza naturale.
Ricerche nelle voci del registro di controllo delle cassette postali
È possibile utilizzare i seguenti metodi per effettuare una ricerca nelle voci nel registro di controllo:
Eseguire una ricerca sincrona in una singola cassetta postale: è possibile usare il cmdlet Search-MailboxAuditLog per cercare in modo sincrono le voci del log di controllo delle cassette postali per una singola cassetta postale. Il cmdlet visualizza i risultati della ricerca nella finestra di Exchange Management Shell. Per ulteriori informazioni, vedere Il Registro di controllo delle cassette postali per una cassetta postale di ricerca.
Ricerca asincrona in una o più cassette postali: è possibile creare una ricerca nel log di controllo delle cassette postali per cercare in modo asincrono nei log di controllo delle cassette postali una o più cassette postali e quindi inviare i risultati della ricerca a un indirizzo di posta elettronica specificato. I risultati della ricerca vengono inviati come allegato XML. Per creare la ricerca, utilizzare il cmdlet New-MailboxAuditLogSearch. Per ulteriori informazioni, vedere Creare una ricerca dei registri di controllo delle cassette postali.
Usare i report di controllo nell'interfaccia di amministrazione di Exchange: è possibile usare la scheda Controllo nell'interfaccia di amministrazione di Exchange per eseguire un report di accesso alle cassette postali non proprietario o esportare voci dal log di controllo delle cassette postali. Per dettagli, vedere:
Voci del registro di controllo delle cassette postali
Nella tabella seguente vengono illustrati i campi inseriti nel registro di controllo delle cassette postali.
| Campo | Compilato con |
|---|---|
| Operazione | Una delle seguenti azioni:
|
| Operationresult | Una dei seguenti risultati:
|
| LogonType | Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:
|
| DestFolderId | GUID della cartella di destinazione per le operazioni di spostamento. |
| DestFolderPathName | Percorso della cartella di destinazione per le operazioni di spostamento. |
| FolderId | GUID della cartella. |
| FolderPathName | Percorso della cartella. |
| ClientInfoString | Dettagli che identificano quale client o componente di Exchange ha eseguito l'operazione. |
| ClientIPAddress | Indirizzo IP del computer client. |
| ClientMachineName | Nome del computer client. |
| ClientProcessName | Nome del processo dell'applicazione client. |
| ClientVersion | Versione dell'applicazione client. |
| InternalLogonType | Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono:
|
| MailboxOwnerUPN | Nome dell'entità utente (UPN) del proprietario della cassetta postale. |
| MailboxOwnerSid | ID di sicurezza (SID) del proprietario della cassetta postale. |
| DestMailboxOwnerUPN | Nome dell'entità utente (UPN) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
| DestMailboxOwnerSid | ID di sicurezza (SID) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
| DestMailboxOwnerGuid | GUID del proprietario della cassetta postale di destinazione. |
| CrossMailboxOperation | Indica se l'operazione registrata viene eseguita tra più cassette postali (ad esempio, la copia o lo spostamento dei messaggi tra cassette postali). |
| LogonUserDisplayName | Nome visualizzato dell'utente che ha eseguito l'accesso. |
| DelegateUserDisplayName | Nome visualizzato dell'utente delegato. |
| LogonUserSid | ID di sicurezza (SID) dell'utente che ha eseguito l'accesso. |
| SourceItems | ID degli elementi della cassetta postale su cui viene eseguita l'azione registrata (ad esempio, lo spostamento o l'eliminazione). Se l'operazione viene eseguita su diversi elementi, in questo campo viene riportata la raccolta di elementi. |
| SourceFolders | GUID della cartella di origine. |
| Itemid | ID dell'elemento. |
| ItemSubject | Oggetto dell'elemento. |
| MailboxGuid | GUID della cassetta postale. |
| MailboxResolvedOwnerName | Nome risolto dell'utente della cassetta postale nel formato DOMAIN_SamAccountName_. |
| LastAccessed | Ora di esecuzione dell'operazione. |
| Identità | ID della voce del registro di controllo. |
Ulteriori informazioni
Accesso amministratore alle cassette postali: le cassette postali sono considerate accessibili da un amministratore solo negli scenari seguenti:
- La funzionalità eDiscovery in locale viene utilizzata per effettuare una ricerca in una cassetta postale.
- Il cmdlet New-MailboxExportRequest viene utilizzato per esportare una cassetta postale.
- Microsoft Exchange Server client MAPI e gli oggetti dati di collaborazione vengono usati per accedere alla cassetta postale.
Ignorare la registrazione del controllo delle cassette postali: l'accesso alle cassette postali da parte di processi automatizzati autorizzati, ad esempio account usati da strumenti di terze parti o account usati per il monitoraggio legittimo, può creare un numero elevato di voci del log di controllo delle cassette postali e potrebbe non essere di interesse per l'organizzazione. È possibile configurare questi account in modo che vengano ignorati dalle registrazioni di controllo delle cassette postali. Per ulteriori informazioni, vedere Bypass di un account utente dal controllo delle cassette postali registrazione.
Registrazione delle azioni del proprietario della cassetta postale: per le cassette postali, ad esempio la cassetta postale di ricerca di individuazione, che può contenere informazioni più sensibili, valutare la possibilità di abilitare la registrazione di controllo delle cassette postali per le azioni del proprietario della cassetta postale, ad esempio l'eliminazione dei messaggi.