Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come analizzare l'attività delle cassette postali condivise usando il log di controllo di Microsoft Purview e Exchange Online PowerShell. Descrive modelli di ricerca pratici e passaggi di correzione per trovare eliminazioni, attività inviate come, esplorazione delle cartelle, regola delle cassette postali e modifiche di inoltro e altre azioni dei delegati.
Usare questi metodi per analizzare:
- Email le eliminazioni dalle cassette postali condivise
- Chi ha inviato messaggi di posta elettronica da cassette postali condivise
- Delegare le attività di accesso
- Email si sposta tra cartelle
- Inoltro e configurazioni delle regole
- Messaggi di posta elettronica mancanti nelle cassette postali condivise
Prima di iniziare
Per analizzare le attività delle cassette postali condivise, è necessario:
- Ruolo Log di controllo assegnato in Microsoft Purview
- Per connettersi a Exchange Online PowerShell tramite Connect-ExchangeOnline
Come analizzare le attività delle cassette postali condivise
Usare questi metodi per analizzare le attività nelle cassette postali condivise. Scegliere il metodo in base al tipo di attività in corso di analisi.
Cercare i messaggi di posta elettronica eliminati nelle cassette postali condivise
Per cercare record di controllo delle eliminazioni di posta elettronica da una cassetta postale condivisa, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
Questo comando cerca:
- SoftDelete: elementi spostati nella cartella Posta eliminata.
- HardDelete: elementi rimossi definitivamente dalla cassetta postale.
- MoveToDeletedItems: elementi spostati in Elementi eliminati per azione dell'utente.
Cercare i messaggi di posta elettronica inviati dalle cassette postali condivise
Per identificare chi ha inviato messaggi di posta elettronica da una cassetta postale condivisa usando le autorizzazioni dei delegati, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
Cercare gli spostamenti di posta elettronica tra cartelle
Per cercare operazioni di spostamento in una cassetta postale condivisa, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
Monitorare l'accesso alle cartelle dei delegati (FolderBind)
Per tenere traccia del momento in cui i delegati esplorano cartelle specifiche nelle cassette postali condivise, seguire questa procedura:
Controllare la configurazione di FolderBind:
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
Abilitare il controllo FolderBind:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
Cercare le attività di esplorazione delle cartelle:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
Importante
FolderBind tiene traccia solo dell'accesso alle cartelle delegate e admin. Non registra i proprietari delle cassette postali condivise che esplorano le cartelle. Abilitarlo in modo proattivo per il monitoraggio della conformità e della sicurezza.
Casi d'uso comuni:
- Monitorare l'accesso alle cartelle riservate nelle cassette postali condivise dei dirigenti
- Audit trail di conformità per i requisiti normativi
- Indagini sulla sicurezza dell'esplorazione di cartelle non autorizzate
- Delegare l'analisi del comportamento per la governance
Analizzare le attività di accesso dei delegati
Per identificare gli utenti con autorizzazioni delegate per una cassetta postale condivisa, eseguire il comando seguente:
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
Per cercare le attività eseguite da un delegato specifico, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
Importante
Usare -UserIds per trovare le attività eseguite da un utente delegato specifico. Non usare -UserIds con l'indirizzo della cassetta postale condivisa, perché questa azione non restituisce le attività delegate eseguite nella cassetta postale condivisa. Per le attività eseguite nella cassetta postale condivisa da qualsiasi utente (inclusi i delegati), usare il -FreeText parametro come illustrato in altre sezioni.
Monitorare le attività di accesso alla posta elettronica
Per cercare le attività di accesso alla posta elettronica nelle cassette postali condivise, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
Nota
Questo comando richiede Microsoft 365 E5 licenze per le operazioni di acquisizioneMailItemsAccessed.
Cercare la configurazione di inoltro della posta elettronica
Per individuare chi ha configurato l'inoltro della posta elettronica in una cassetta postale condivisa, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
Cercare le modifiche alle regole della cassetta postale
Per cercare le attività di creazione o modifica delle regole della posta in arrivo, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
Consiglio
Per un'analisi completa delle regole delle cassette postali, vedere Identificare chi ha modificato le regole delle cassette postali per indicazioni dettagliate sull'identificazione delle regole delle cassette postali create, modificate o eliminate che potrebbero influire sul recapito della posta elettronica.
Operazioni da eseguire quando le ricerche non restituiscono risultati
Se le ricerche nel log di controllo non trovano record di attività delle cassette postali condivise, provare questi passaggi per verificare la configurazione del controllo.
- Verificare se il controllo è abilitato a livello di organizzazione.
Get-OrganizationConfig | Select AuditDisabled
- Verificare se il controllo è abilitato per la cassetta postale condivisa specifica.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- Abilitare il controllo se è disabilitato.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
Procedure avanzate
Le procedure seguenti illustrano come esportare i risultati del controllo e applicare correzioni comuni alle cassette postali condivise:
Per abilitare la copia di elementi inviati nella cassetta postale condivisa (in modo che i messaggi di posta elettronica inviati vengano visualizzati nella cassetta postale condivisa Elementi inviati), eseguire il comando seguente:
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
Per rimuovere l'inoltro della posta elettronica da una cassetta postale condivisa, eseguire il comando seguente:
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
Riferimento rapido
Operazioni di controllo comuni per le cassette postali condivise
| Operazione | Descrizione | Stato attivo dell'indagine |
|---|---|---|
| Creare | Messaggi di posta elettronica creati o inviati | Email attività di creazione |
| FolderBind | Delegare l'accesso/esplorazione delle cartelle | Monitorare chi ha eseguito l'accesso a cartelle specifiche |
| HardDelete | Elementi eliminati definitivamente | Eliminazioni permanenti dalla cassetta postale condivisa |
| MailItemsAccessed | Elementi della cassetta postale a cui si accede | Email il rilevamento degli accessi (obbligatorio E5) |
| Move | Elementi spostati tra cartelle | Modifiche all'organizzazione delle cartelle |
| New-InboxRule | Regole di posta in arrivo create | Analisi della creazione di regole |
| SendAs | Messaggi di posta elettronica inviati tramite autorizzazioni delegate | Identificare gli utenti inviati dalla cassetta postale condivisa |
| Set-Mailbox | Impostazioni cassetta postale modificate | Modifiche di inoltro e configurazione |
| SoftDelete | Elementi spostati nella cartella Posta eliminata | Eliminazioni utente dalla cassetta postale condivisa |
Parametri di ricerca chiave
| Parametro | Descrizione | Esempio |
|---|---|---|
| -Freetext | Attività eseguite in una cassetta postale specifica | <shared-mailbox@domain.com> |
| -Operazioni | Filtrare in base al tipo di operazione | SoftDelete,HardDelete,SendAs |
| -ResultSize | Limitare i risultati (massimo 5000) | 500 (standard), 1000 (completo) |
| -StartDate/-EndDate | Definire l'intervallo di tempo dell'indagine | 01/06/2020, 01/20/2020 |
| -UserIds | Attività eseguite da un utente specifico | <delegate@domain.com> |
Importante
Sostituire <shared-mailbox@domain.com> e <delegate@domain.com> con gli indirizzi di posta elettronica effettivi prima di eseguire i comandi.
Passaggi successivi
- Gestire il controllo delle cassette postali: modificare le azioni delle cassette postali condivise controllate per acquisire le attività necessarie.
- Identificare chi ha eliminato un messaggio di posta elettronica o perché manca un messaggio di posta elettronica: analizzare le eliminazioni di posta elettronica specifiche individuate nell'attività della cassetta postale condivisa.
- Esportare, configurare e visualizzare i record del log di controllo: esportare i risultati dell'analisi delle cassette postali condivise per la conservazione delle prove.