Cercare le modifiche al gruppo di ruoli o i log di controllo amministratore in Exchange Online

Nota

L'interfaccia di amministrazione di Exchange classica è in fase di deprecazione nella distribuzione mondiale. È consigliabile eseguire una ricerca nel log di controllo nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Deprecation of the classic Exchange admin center in WW service (Deprecazione dell'interfaccia di amministrazione di Exchange classica nel servizio WW) e Cercare il log di controllo nel portale di conformità.

In Exchange Online organizzazioni o organizzazioni Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, è possibile usare le opzioni seguenti per cercare nei log di controllo dell'amministratore chi ha apportato modifiche alla configurazione dell'organizzazione e del destinatario:

• Eseguire un report del gruppo di ruoli amministratore nell'interfaccia di amministrazione di Exchange.Run an administrator role group report in the Exchange admin center (EAC).
• Usare PowerShell per cercare le voci del log di controllo amministratore e inviare i risultati a un destinatario.

Queste opzioni possono essere utili quando si tenta di tenere traccia della causa di comportamenti imprevisti, di identificare un amministratore dannoso o di verificare che siano soddisfatti i requisiti di conformità. Entrambe queste opzioni sono descritte in questo articolo.

Consiglio

È anche possibile usare EAC per visualizzare le voci nel log di controllo dell'amministratore. Per altre informazioni, vedere Visualizzare il log di controllo dell'amministratore.

Che cosa è necessario sapere prima di iniziare?

• Tempo stimato per il completamento di ciascuna procedura: meno di 5 minuti

• Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Registrazione di controllo dell'amministratore di sola visualizzazione" nell'argomento Autorizzazioni funzionalità in Exchange Online.

• Per aprire l'interfaccia di amministrazione di Exchange, vedere Interfaccia di amministrazione di Exchange in Exchange Online.

• Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi alla Exchange Online Protection autonoma di PowerShell, vedere Connettersi a Exchange Online Protection PowerShell.

• Per informazioni sui tasti di scelta rapida che possono essere applicati alle procedure in questo argomento, vedere Tasti di scelta rapida per l'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Online o Exchange Online Protection.

Esecuzione del report del gruppo di ruoli amministratore tramite EAC

Usare il report del gruppo di ruoli amministratore per visualizzare le modifiche apportate ai ruoli di gestione nell'appartenenza.

1. Nell'interfaccia di amministrazione di Exchange passare aControllo digestione> della conformità e quindi scegliere Esegui un report del gruppo di ruoli amministratore.

2. Nella pagina Cerca modifiche ai gruppi di ruoli amministratore visualizzata configurare le impostazioni seguenti:

   • Data di inizio e data di fine: immettere un intervallo di date. Per impostazione predefinita, il rapporto cerca le modifiche apportate ai gruppi di ruoli amministratore nelle ultime due settimane.

   • Selezionare gruppi di ruoli: per impostazione predefinita, viene eseguita la ricerca in tutti i gruppi di ruoli. Per filtrare i risultati in base a gruppi di ruoli specifici, fare clic su Seleziona gruppi di ruoli. Nella finestra di dialogo visualizzata selezionare un gruppo di ruoli e fare clic su aggiungi ->. Ripetere questo passaggio il numero di volte necessario e quindi fare clic su OK al termine.

3. Una volta terminato, fare clic su Cerca.

Se vengono trovate modifiche usando i criteri specificati, verranno visualizzate nel riquadro dei risultati. Fare clic su un gruppo di ruoli nei risultati della ricerca per visualizzare le modifiche nel riquadro dei dettagli.

Monitorare le modifiche apportate all'appartenenza ai gruppi di ruoli

Quando si aggiungono o si rimuovono i membri di un gruppo di ruoli, nei risultati di ricerca visualizzati nel riquadro dei dettagli viene indicato che l'appartenenza al gruppo di ruoli è stata aggiornata e vengono elencati i membri correnti. I risultati non dichiarano in modo esplicito quale utente è stato aggiunto o rimosso.

Per determinare se un utente è stato aggiunto o rimosso, è necessario confrontare due voci separate del rapporto. Ad esempio, osservare le voci di registro seguenti per il gruppo di ruoli HelpDesk:

27/1/2021 16:43
Amministratore
Membri aggiornati: Administrator;annb,florencef;pilarp
06/2/2018 10:09
Amministratore
Membri aggiornati: Administrator;annb;florencef;pilarp;tonip
19/2/2021 14:12
Amministratore
Membri aggiornati: Administrator;annb;florencef;tonip

In questo esempio, l'account utente Amministratore ha apportato le modifiche seguenti:

• Il 06/02/2021 hanno aggiunto il tonip utente.
• Il 19/2/2021 hanno rimosso l'utente pilarp.

Usare EAC per esportare il log di controllo amministratore

Nota

In EOP autonomo non è possibile esportare il log di controllo amministratore da EAC. È tuttavia possibile usare PowerShell per cercare le voci del log di controllo e inviare i risultati a un destinatario

Se si intende usare Outlook sul web (in precedenza noto come Outlook Web App) per visualizzare le voci esportate, è necessario abilitare .xml allegati in Outlook sul web. Per informazioni dettagliate, vedere Configurare Outlook sul web per consentire allegati XML.

L'esportazione del log di controllo amministratore scrive le informazioni in un file XML e le invia come allegato in un messaggio di posta elettronica. La dimensione massima del file XML è 10 megabyte (MB).

1. Nell'interfaccia di amministrazione di Exchange selezionareControllo di gestione >della conformitàe quindi fare clic su Esporta log di controllo amministratore.
2. Selezionare un intervallo di date utilizzando i campi Data di inizio e Data di fine.
3. Nel campo Invia il rapporto di controllo a fare clic su Seleziona utenti e quindi selezionare il destinatario a cui si desidera inviare il report.
4. Fare clic su Esporta.

Se vengono individuate delle voci utilizzando i criteri specificati, verrà creato un file XML che sarà inviato come allegato di posta elettronica al destinatario specificato.

Usare PowerShell per cercare le voci del log di controllo

È possibile usare Exchange Online PowerShell o powershell autonomo Exchange Online Protection per cercare voci del log di controllo che soddisfino i criteri specificati. Per un elenco dei criteri di ricerca, vedere Cmdlet Search-AdminAuditLog. Questa procedura usa il cmdlet Search-AdminAuditLog e visualizza i risultati della ricerca in PowerShell. È possibile usare questo cmdlet quando è necessario restituire un set di risultati che supera i limiti definiti nel cmdlet New-AdminAuditLogSearch o nei report di controllo EAC.

Per effettuare una ricerca nel log di controllo in base ai criteri specificati, utilizzare la sintassi seguente.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Nota

Per impostazione predefinita, il cmdlet Search-AdminAuditLog restituisce un massimo di 1.000 voci di registro. Usare il parametro ResultSize per specificare fino a 250.000 voci di log. In alternativa, usare il valore Unlimited per restituire tutte le voci.

In questo esempio viene eseguita la ricerca di tutte le voci del log di controllo con i seguenti criteri:

• Data di inizio: 04/08/2020
• Data di fine: 03/10/2020
• ID utente: davids, , chrisdkima
• Cmdlet: Set-Mailbox
• Parametri: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

In questo esempio vengono cercate le modifiche apportate a una cassetta postale specifica. Questa ricerca è utile per la risoluzione dei problemi o se è necessario fornire informazioni per un'analisi. Vengono utilizzati i seguenti criteri:

• Data di inizio: 01/05/2020
• Data di fine: 03/10/2020
• ID oggetto: contoso.com/Users/DavidS

Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

Se le ricerche restituiscono molte voci di log, è consigliabile usare la procedura descritta in Usare PowerShell per cercare le voci del log di controllo e inviare i risultati a un destinatario più avanti in questo articolo. Nella procedura descritta nella sezione citata, viene inviato un file XML come allegato di posta elettronica ai destinatari specificati, consentendo di estrarre più facilmente i dati a cui si è interessati.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Search-AdminAuditLog.

Visualizzazione dei dettagli del log di controllo

Il cmdlet Search-AdminAuditLog restituisce i campi descritti in Contenuto del log di controllo. Dei due campi restituiti dal cmdlet, due, ovvero CmdletParameters e ModifiedProperties, contengono ulteriori informazioni non visualizzabili per impostazione predefinita.

Per visualizzare il contenuto dei campi CmdletParameters e ModifiedProperties, attenersi alla procedura riportata di seguito. In alternativa, è possibile usare la procedura in Usare PowerShell per cercare le voci del log di controllo e inviare i risultati a un destinatario più avanti in questo articolo per creare un file XML.

In questa procedura vengono utilizzati i seguenti concetti:

• Matrici di PowerShell
• Variabili di PowerShell

1. Scegliere i criteri in base ai quali eseguire la ricerca, eseguire il cmdlet Search-AdminAuditLog e memorizzare i risultati in una variabile utilizzando il comando seguente.

   $Results = Search-AdminAuditLog <search criteria>
   

2. Ogni voce del log di controllo viene archiviata come elemento di matrice nella variabile $Results. È possibile selezionare un elemento di matrice specificandone l'indice. Gli indici degli elementi di matrice iniziano da zero (0) per il primo elemento della matrice. Ad esempio, per recuperare il quinto elemento della matrice, il cui indice è 4, utilizzare il comando seguente.

   $Results[4]
   

3. Il comando precedente restituisce la voce di registro memorizzata nell'elemento 4 della matrice. Per visualizzare il contenuto nei campi CmdletParameters e ModifiedProperties per questa voce di registro, utilizzare il comando seguente.

   $Results[4].CmdletParameters
   $Results[4].ModifiedProperties
   

4. Per visualizzare il contenuto dei campi CmdletParameters o ModifiedParameters in un'altra voce di registro, modificare l'indice degli elementi di matrice.

Usare PowerShell per cercare le voci del log di controllo e inviare i risultati a un destinatario

Nota

Le dimensioni del report generato dal cmdlet New-AdminAuditLogSearch possono raggiungere un massimo di 10 MB. Se la ricerca restituisce un report di dimensioni superiori a 10 MB, modificare i criteri di ricerca specificati. Ad esempio, ridurre l'intervallo di date ed eseguire più report per coprire l'intervallo di date originale.

Se si intende usare Outlook sul web (in precedenza noto come Outlook Web App) per visualizzare le voci esportate, è necessario abilitare .xml allegati in Outlook sul web. Per informazioni dettagliate, vedere Configurare Outlook sul web per consentire allegati XML.

È possibile usare Exchange Online PowerShell o powershell autonomo Exchange Online Protection per cercare le voci del log di controllo che soddisfano i criteri specificati e quindi inviare i risultati a un destinatario specificato come file allegato XML. I risultati vengono inviati al destinatario nel giro di 15 minuti. Per un elenco dei criteri di ricerca, vedere Criteri del cmdlet Search-AdminAuditLog.

Per effettuare una ricerca nel log di controllo in base ai criteri specificati, utilizzare la sintassi seguente.

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

In questo esempio viene eseguita la ricerca di tutte le voci del log di controllo con i seguenti criteri:

• Data di inizio: 04/08/2020
• Data di fine: 03/10/2020
• ID utente davids chrisd, kima
• Cmdlet: Set-Mailbox
• Parametri: ProhibitSendQuota, ProhibitSendReceiveQuota, IssueWarningQuota, MaxSendSize, MaxReceiveSize

Il comando invia i risultati all'indirizzo davids@contoso.com SMTP con "Modifiche al limite delle cassette postali" incluse nella riga dell'oggetto del messaggio.

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

Per altre informazioni sul formato del file XML, vedere Struttura del log di controllo amministratore.

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-AdminAuditLogSearch.