Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come usare lo strumento di ricerca dei log di controllo per analizzare i problemi di supporto comuni. Ciò include l'uso del log di controllo per:
- Trovare l'indirizzo IP del computer usato per accedere a un account compromesso
- Determinare chi ha configurato l'inoltro della posta elettronica per una cassetta postale
- Determinare se un utente ha eliminato elementi di posta elettronica nella propria cassetta postale
- Determinare se un utente ha creato una regola di posta in arrivo
- Analizzare il motivo per cui l'accesso è stato eseguito correttamente da un utente esterno all'organizzazione
- Cercare le attività delle cassette postali eseguite dagli utenti con licenze non E5
- Cercare le attività delle cassette postali eseguite dagli utenti delegati
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Uso dello strumento di ricerca del log di controllo
Ognuno degli scenari di risoluzione dei problemi descritti in questo articolo si basa sull'uso dello strumento di ricerca dei log di controllo nel portale di Microsoft Purview. Questa sezione elenca le autorizzazioni necessarie per eseguire ricerche nel log di controllo e descrive i passaggi per accedere ed eseguire ricerche nei log di controllo. Ogni sezione dello scenario illustra come configurare una query di ricerca nel log di controllo e cosa cercare nelle informazioni dettagliate nei record di controllo che corrispondono ai criteri di ricerca.
Autorizzazioni necessarie per usare lo strumento di ricerca nel log di audit
Per eseguire ricerche nel log di controllo, è necessario assegnare i ruoli Log di controllo o Log di controllo solo visualizzazione in Purview. Per impostazione predefinita, questi ruoli vengono assegnati ai gruppi di ruoli Lettore di controllo e Audit Manager nella pagina Gruppi di ruoli nel portale di Microsoft Purview.
Per accedere ai cmdlet di controllo, è necessario assegnare i ruoli Log di controllo e Log di controllo solo visualizzazione nell'interfaccia di amministrazione di Exchange. Per impostazione predefinita, questi ruoli vengono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioni nell'interfaccia di amministrazione di Exchange.
Per altre informazioni, vedere Introduzione alle soluzioni di controllo.
Esecuzione di ricerche nel log di audit
Per indicazioni dettagliate su come eseguire una ricerca nel log di controllo, vedere Cercare nel log di controllo.
Trovare l'indirizzo IP del computer usato per accedere a un account compromesso
Nella maggior parte dei record di audit è presente l'indirizzo IP corrispondente all'attività svolta da un utente. Nel log di audit sono inclusi anche informazioni sul client utilizzato.
Di seguito è riportata la procedura per configurare una query di ricerca nel log di audit per questo scenario:
Attività: Se rilevante per il caso, selezionare un'attività specifica da cercare. Per la risoluzione dei problemi relativi agli account compromessi, è consigliabile selezionare l'attività Utente connesso alla cassetta postale inAttività cassetta postale di Exchange. In questo modo, verranno restituiti i record di audit che mostrano l'indirizzo IP utilizzato per accedere alla cassetta postale. In caso contrario, lasciare vuoto questo campo per ottenere i record di audit per tutte le attività.
Consiglio
Lasciando vuoto questo campo, vengono restituite le attività UserLoggedIn, ovvero un'attività Microsoft Entra che indica che un utente ha eseguito l'accesso a un account utente. Usare il filtro nei risultati della ricerca per visualizzare i record di controllo UserLoggedIn .
Data di inizio e data di fine: selezionare un intervallo di date applicabile all'indagine.
Gli utenti: Se si sta analizzando un account compromesso, selezionare l'utente il cui account è stato compromesso. In questo modo, verranno restituiti i record di audit relativi alle attività eseguite dall'account utente.
File, cartella o sito: Lasciare vuoto questo campo.
Dopo aver eseguito la ricerca, l'indirizzo IP per ogni attività viene visualizzato nella colonna Indirizzo IP nei risultati della ricerca. Selezionare il record nei risultati della ricerca per visualizzare informazioni più dettagliate nella pagina a comparsa.
Determinare chi ha configurato l'inoltro della posta elettronica per una cassetta postale
Quando è configurato l'inoltro di posta elettronica per una cassetta postale, i messaggi di posta elettronica inviati a tale cassetta postale verranno inoltrati a un'altra cassetta postale. I messaggi possono essere inoltrati agli utenti all'interno o all'esterno dell'organizzazione. Quando l'inoltro di posta elettronica è configurato per una cassetta postale, il cmdlet di Exchange Online usato è Set-Mailbox.
Di seguito è riportata la procedura per configurare una query di ricerca nel log di audit per questo scenario:
Attività: Lasciare vuoto questo campo in modo che la ricerca restituisca i record di controllo per tutte le attività. Questa operazione è necessaria per restituire tutti i record di controllo correlati al cmdlet Set-Mailbox .
Data di inizio e data di fine: selezionare un intervallo di date applicabile all'indagine.
Gli utenti: A meno che non si stia esaminando un problema di inoltro della posta elettronica per un utente specifico, lasciare vuoto questo campo. In questo modo è possibile identificare se l'inoltro della posta elettronica è stato configurato per qualsiasi utente.
File, cartella o sito: Lasciare vuoto questo campo.
Dopo aver eseguito la ricerca, selezionare Filtra risultati nella pagina dei risultati della ricerca. Nella casella in Intestazione colonna Attività digitare Set-Mailbox in modo che vengano visualizzati solo i record di controllo correlati al cmdlet Set-Mailbox .
A questo punto, è necessario esaminare i dettagli di ogni record di audit per determinare se l'attività è correlata all'inoltro della posta elettronica. Selezionare il record di audit per visualizzare la pagina a comparsa Dettagli, quindi selezionare Altre informazioni. Lo screenshot e le descrizioni seguenti evidenziano le informazioni che indicano che l'inoltro della posta elettronica è stato impostato nella cassetta postale.
a. Nel campo ObjectId viene visualizzato l'alias della cassetta postale in cui è stato impostato l'inoltro di posta elettronica. Questa cassetta postale viene visualizzata anche nella colonna Elemento nella pagina dei risultati della ricerca.
b. Nel campo Parametri il valore ForwardingSmtpAddress indica che l'inoltro di posta elettronica è stato impostato sulla cassetta postale. In questo esempio la posta elettronica viene inoltrata all'indirizzo di posta elettronica mike@contoso.com, che si trova all'esterno dell'organizzazione alpinehouse.onmicrosoft.com.
c. Il valore True per il parametro DeliverToMailboxAndForward indica che una copia del messaggio viene recapitata esarad@alpinehouse.onmicrosoft.com inoltrata all'indirizzo di posta elettronica specificato dal parametro ForwardingSmtpAddress, che in questo esempio è mike@contoso.com. Se il valore del parametro DeliverToMailboxAndForward è impostato su False, la posta elettronica viene inoltrata solo all'indirizzo specificato dal parametro ForwardingSmtpAddress. Non viene recapitato alla cassetta postale specificata nel campo ObjectId.
d. Il campo UserId indica l'utente che ha impostato l'inoltro della posta elettronica nella cassetta postale specificata nel campo ObjectId . Questo utente viene visualizzato anche nella colonnaUtente nella pagina dei risultati della ricerca. In questo caso, sembra che il proprietario della cassetta postale abbia impostato l'inoltro della posta elettronica nella cassetta postale.
Nel caso in cui si decida di rimuovere l'inoltro di posta elettronica per la cassetta postale in questione, è possibile farlo tramite l'esecuzione del seguente comando in PowerShell di Exchange Online:
Set-Mailbox <mailbox alias> -ForwardingSmtpAddress $null
Per altre informazioni sui parametri relativi all'inoltro della posta elettronica, vedere l'articolo Set-Mailbox .
Determinare se un utente ha eliminato elementi di posta elettronica
A partire da gennaio 2019, Microsoft attiva per impostazione predefinita la registrazione di controllo delle cassette postali per tutte le organizzazioni Office 365 e Microsoft. Ciò significa che alcune azioni eseguite dai proprietari delle cassette postali vengono registrate automaticamente e i record di controllo delle cassette postali corrispondenti sono disponibili quando vengono cercati nel log di controllo delle cassette postali. Prima che il controllo delle cassette postali fosse attivato per impostazione predefinita, era necessario abilitarlo manualmente per ogni cassetta postale utente dell'organizzazione.
Le azioni della cassetta postale registrate per impostazione predefinita includono SoftDelete e HardDelete eseguite dai proprietari delle cassette postali. Ciò significa che è possibile usare la procedura seguente per cercare nel log di controllo gli eventi correlati agli elementi di posta elettronica eliminati. Per ulteriori informazioni sul controllo delle cassette postali attivato per impostazione predefinita, vedere Gestire il controllo delle cassette postali.
Di seguito è riportata la procedura per configurare una query di ricerca nel log di audit per questo scenario:
Attività: In Attività cassetta postale di Exchange selezionare una o entrambe le attività seguenti:
Messaggi eliminati dalla cartella Posta eliminata: Questa attività corrisponde all'azione di controllo delle cassette postali SoftDelete . Questa attività viene registrata anche quando un utente elimina definitivamente un elemento selezionandolo e premendo MAIUSC+CANC. Dopo l'eliminazione definitiva di un elemento, l'utente può recuperarlo fino alla scadenza del periodo di conservazione degli elementi eliminati.
Messaggi eliminati dalla cassetta postale: Questa attività corrisponde all'azione di controllo della cassetta postale HardDelete . Questa operazione viene registrata quando un utente elimina un elemento dalla cartella Elementi ripristinabili. Gli amministratori possono usare lo strumento di ricerca nel portale di Microsoft Purview per cercare e ripristinare gli elementi eliminati fino alla scadenza del periodo di conservazione degli elementi eliminati o più a lungo se la cassetta postale dell'utente è in attesa.
Data di inizio e data di fine: selezionare un intervallo di date applicabile all'indagine.
Gli utenti: Se si seleziona un utente in questo campo, lo strumento di ricerca del log di controllo restituisce i record di controllo per gli elementi di posta elettronica eliminati (SoftDeleted o HardDeleted) dall'utente specificato. A volte l'utente che elimina un messaggio di posta elettronica potrebbe non essere il proprietario della cassetta postale.
File, cartella o sito: Lasciare vuoto questo campo.
Dopo aver eseguito la ricerca, è possibile filtrare i risultati per visualizzare i record di audit relativi agli elementi eliminati temporaneamente o definitivamente. Selezionare il record di audit per visualizzare la pagina a comparsa Dettagli, quindi selezionare Altre informazioni. Ulteriori informazioni sull'elemento eliminato, ad esempio la riga dell'oggetto e la posizione dell'elemento quando è stato eliminato, vengono visualizzate nel campo AffectedItems. I seguenti screenshot mostrano un esempio del campo AffectedItems per un elemento eliminato temporaneamente e uno eliminato definitivamente.
Esempio di campo AffectedItems per l'elemento eliminato temporaneamente
Esempio di campo AffectedItems per l'elemento eliminato
Recuperare gli elementi di posta elettronica eliminati
Gli utenti possono recuperare gli elementi eliminati temporaneamente, a meno che il periodo di conservazione degli elementi eliminati non sia scaduto. In Exchange Online, il periodo di conservazione predefinito degli elementi eliminati è di 14 giorni, ma gli amministratori possono aumentare questa impostazione fino a un massimo di 30 giorni. Indirizzare gli utenti all'articolo Recuperare elementi o messaggi di posta elettronica eliminati in Outlook sul Web per istruzioni sul ripristino degli elementi eliminati.
Come spiegato in precedenza, gli amministratori potrebbero essere in grado di ripristinare gli elementi eliminati definitivamente se il periodo di conservazione degli elementi eliminati non è scaduto o se la cassetta postale è in attesa, nel qual caso gli elementi vengono conservati fino alla scadenza della durata del blocco. Quando si esegue una ricerca di contenuto, gli elementi eliminati temporaneamente e definitivamente nella cartella Elementi ripristinabili vengono restituiti nei risultati della ricerca se corrispondono alla query di ricerca. Per altre informazioni sull'esecuzione di ricerche di contenuto, vedere Ricerca contenuto in Office 365.
Consiglio
Per cercare gli elementi di posta elettronica eliminati, cercare tutta o parte della riga dell'oggetto visualizzata nel campo AffectedItems nel record di controllo.
Determinare se un utente ha creato una regola di posta in arrivo
Quando gli utenti creano una regola Posta in arrivo per la cassetta postale di Exchange Online, un record di controllo corrispondente viene salvato nel log di audit. Per altre informazioni sulle regole della posta in arrivo, vedere:
- Usare le regole di posta in arrivo in Outlook sul web
- Gestire i messaggi di posta elettronica in Outlook usando le regole
Di seguito è riportata la procedura per configurare una query di ricerca nel log di audit per questo scenario:
Attività: In Attività cassetta postale di Exchange selezionare una o entrambe le attività seguenti:
New-InboxRule Creare una nuova regola Posta in arrivo da Outlook Web App. Questa attività restituisce i record di controllo quando le regole Posta in arrivo vengono create usando Outlook Web App o PowerShell di Exchange Online.
Regole Posta in arrivo aggiornate dal client di Outlook. Questa attività restituisce i record di controllo quando le regole Posta in arrivo vengono create, modificate o rimosse tramite il client desktop di Outlook.
Data di inizio e data di fine: selezionare un intervallo di date applicabile all'indagine.
Gli utenti: A meno che non si stia analizzando un utente specifico, lasciare vuoto questo campo. In questo modo è possibile identificare le nuove regole della posta in arrivo configurate da qualsiasi utente.
File, cartella o sito: Lasciare vuoto questo campo.
Dopo aver eseguito la ricerca, tutti i record di controllo per questa attività vengono visualizzati nei risultati. Selezionare un record di controllo per visualizzare la pagina a comparsa Dettagli, quindi selezionare Altre informazioni. Le informazioni sulle impostazioni delle regole Posta in arrivo vengono visualizzate nel campo Parametri. Lo screenshot e le descrizioni seguenti evidenziano le informazioni sulle regole Posta in arrivo.
a. Nel campo ObjectId viene visualizzato il nome completo della regola di posta in arrivo. Questo nome include l'alias della cassetta postale dell'utente (ad esempio, SaraD) e il nome della regola Posta in arrivo (ad esempio, "Sposta messaggi dall'amministratore").
b. Nel campo Parametri viene visualizzata la condizione della regola di posta in arrivo. In questo esempio la condizione viene specificata dal parametroFrom . Il valore definito per il parametro From indica che la regola di posta in arrivo agisce sul messaggio di posta elettronica inviato da admin@alpinehouse.onmicrosoft.com. Per un elenco completo dei parametri che possono essere usati per definire le condizioni delle regole della posta in arrivo, vedere l'articolo New-InboxRule .
c. Il parametro MoveToFolder consente di specificare l'azione per la regola di posta in arrivo. In questo esempio, i messaggi ricevuti da admin@alpinehouse.onmicrosoft.com vengono spostati nella cartella denominata AdminSearch. Vedere anche l'articolo New-InboxRule per un elenco completo dei parametri che possono essere usati per definire l'azione di una regola di posta in arrivo.
d. Il campo UserId indica l'utente che ha creato la regola di posta in arrivo specificata nel campo ObjectId . Questo utente viene visualizzato anche nella colonnaUtente nella pagina dei risultati della ricerca.
Analizzare il motivo per cui l'accesso è stato eseguito correttamente da un utente esterno all'organizzazione
Quando si esaminano i record di controllo nel log di controllo, è possibile che vengano visualizzati record che indicano che un utente esterno è stato autenticato da Microsoft Entra ID e ha eseguito correttamente l'accesso all'organizzazione. Ad esempio, un amministratore in contoso.onmicrosoft.com potrebbe visualizzare un record di controllo che mostra che un utente di un'organizzazione diversa (ad esempio, fabrikam.onmicrosoft.com) ha eseguito correttamente l'accesso a contoso.onmicrosoft.com. Analogamente, è possibile che vengano visualizzati record di controllo che indicano che gli utenti con un account Microsoft, ad esempio un Outlook.com o un Live.com, hanno eseguito correttamente l'accesso all'organizzazione. In queste situazioni, l'attività sottoposta a controllo è User logged In.
Si tratta di un comportamento legato alla progettazione del prodotto. Microsoft Entra ID, il servizio directory, consente un'autenticazione pass-through quando un utente esterno tenta di accedere a un sito di SharePoint o a una posizione di OneDrive nell'organizzazione. Quando l'utente esterno tenta di eseguire questa operazione, viene richiesto di immettere le credenziali. Microsoft Entra ID usa le credenziali per autenticare l'utente, ovvero solo Microsoft Entra ID verifica che l'utente sia quello che dichiara di essere. L'indicazione dell'accesso riuscito nel record di controllo è il risultato di Microsoft Entra l'autenticazione dell'utente. L'accesso riuscito non significa che l'utente sia stato in grado di accedere a risorse o di eseguire altre azioni nell'organizzazione. Indica solo che l'utente è stato autenticato da Microsoft Entra ID. Per consentire a un utente pass-through di accedere alle risorse di SharePoint o OneDrive, un utente dell'organizzazione deve condividere in modo esplicito una risorsa con l'utente esterno inviandogli un invito alla condivisione o un collegamento di condivisione anonima.
Nota
Microsoft Entra ID consente l'autenticazione pass-through solo per le applicazioni di prima parte, ad esempio SharePoint Online e OneDrive for Business. Non è consentito per altre applicazioni di terze parti.
Ecco un esempio e le descrizioni delle proprietà rilevanti in un record di controllo per un evento User logged In che è il risultato dell'autenticazione pass-through. Selezionare il record di controllo per visualizzare la pagina a comparsa Dettagli, quindi selezionare Altre informazioni.
a. Questo campo indica che l'utente che ha tentato di accedere a una risorsa nell'organizzazione non è stato trovato nel Microsoft Entra ID dell'organizzazione.
b. Questo campo visualizza l'UPN dell'utente esterno che ha tentato di accedere a una risorsa nell'organizzazione. Questo ID utente viene identificato anche nelle proprietà User e UserId nel record di controllo.
c. La proprietà ApplicationId identifica l'applicazione che ha attivato la richiesta di accesso. Il valore 00000003-0000-0ff1-ce00-000000000000 visualizzato nella proprietà ApplicationId in questo record di controllo indica SharePoint Online. OneDrive for Business ha anche lo stesso ApplicationId.
d. Ciò indica che l'autenticazione pass-through ha avuto esito positivo. In altre parole, l'utente è stato autenticato correttamente da Microsoft Entra ID.
e. Il valore RecordTypepari a 15 indica che l'attività verificata (UserLoggedIn) è un evento di accesso stS (Secure Token Service) in Microsoft Entra ID.
Per altre informazioni sulle altre proprietà visualizzate in un record di controllo UserLoggedIn, vedere Microsoft Entra informazioni sullo schema correlate nello schema dell'API attività di gestione Office 365.
Di seguito sono riportati due scenari di esempio che comportano un'attività di controllo con accesso utente riuscita a causa dell'autenticazione pass-through:
Un utente con un account Microsoft, ad SaraD@outlook.comesempio , ha tentato di accedere a un documento in un account OneDrive for Business in fourthcoffee.onmicrosoft.com e non esiste un account utente guest corrispondente per SaraD@outlook.com in fourthcoffee.onmicrosoft.com.
Un utente con un account aziendale o dell'istituto di istruzione in un'organizzazione, ad pilarp@fabrikam.onmicrosoft.comesempio , ha tentato di accedere a un sito di SharePoint in contoso.onmicrosoft.com e non esiste un account utente guest corrispondente per pilarp@fabrikam.com in contoso.onmicrosoft.com.
Suggerimenti per l'analisi degli accessi riusciti risultanti dall'autenticazione pass-through
Cercare nel log di audit le attività eseguite dall'utente esterno identificato nel record di controllo User logged in . Digitare l'UPN per l'utente esterno nella casella Utenti e usare un intervallo di date, se pertinente per lo scenario. Ad esempio, è possibile creare una ricerca usando i seguenti criteri di ricerca:
Oltre alle attività Utente connesso , potrebbero essere restituiti altri record di controllo, ad esempio quelli che indicano che un utente dell'organizzazione ha condiviso le risorse con l'utente esterno e se l'utente esterno ha eseguito l'accesso, modificato o scaricato un documento condiviso con loro.
Cercare le attività di condivisione di SharePoint che indicherebbero che un file è stato condiviso con l'utente esterno identificato da un record di controllo User logged in. Per altre informazioni, vedere Usare il controllo della condivisione nel log di controllo.
Esportare i risultati della ricerca nel log di controllo contenenti record rilevanti per l'indagine in modo che sia possibile usare Excel per cercare altre attività correlate all'utente esterno. Per ulteriori informazioni, vedi Esportare, configurare e visualizzare i record del log di audit.
Cercare le attività delle cassette postali eseguite dagli utenti con licenze non E5
Anche quando il controllo delle cassette postali è attivato per impostazione predefinita per l'organizzazione, è possibile notare che gli eventi di controllo delle cassette postali per alcuni utenti non vengono trovati nelle ricerche nei log di controllo usando il portale di Microsoft Purview, il cmdlet Search-UnifiedAuditLog o l'API attività di gestione Office 365. Il motivo è che gli eventi di controllo delle cassette postali vengono restituiti solo per gli utenti con licenze E5 quando si usa uno dei metodi precedenti per eseguire ricerche nel log di controllo unificato.
Per recuperare i record del log di controllo delle cassette postali per gli utenti non E5, è possibile eseguire una delle soluzioni alternative seguenti:
Abilitare manualmente il controllo delle cassette postali nelle singole cassette postali (eseguire il
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $truecomando in Exchange Online PowerShell). Dopo aver eseguito questa operazione, cercare le attività di controllo delle cassette postali usando il portale di Microsoft Purview, il cmdlet Search-UnifiedAuditLog o l'API Office 365 Management Activity.Nota
Se il controllo delle cassette postali sembra già abilitato nella cassetta postale, ma le ricerche non restituiscono risultati, modificare il valore del parametro
$falseAuditEnabled in e quindi tornare a$true.
Cercare le attività delle cassette postali eseguite in una cassetta postale specifica (incluse le cassette postali condivise)
Quando si usa l'elenco a discesa Utenti nello strumento di ricerca del log di controllo nel portale di Microsoft Purview o nel comando Search-UnifiedAuditLog -UserIds in Exchange Online PowerShell, è possibile cercare le attività eseguite da un utente specifico. Per le attività di controllo delle cassette postali, questo tipo di ricerca trova le attività eseguite dall'utente specificato. Non garantisce che tutte le attività eseguite nella stessa cassetta postale vengano restituite nei risultati della ricerca. Ad esempio, una ricerca nel log di controllo non restituirà i record di controllo per le attività eseguite da un utente delegato perché la ricerca delle attività delle cassette postali eseguite da un utente specifico non restituirà le attività eseguite da un utente delegato a cui sono state assegnate le autorizzazioni per accedere alla cassetta postale di un altro utente. Un utente delegato è un utente a cui è stata assegnata l'autorizzazione della cassetta postale SendAs, SendOnBehalf o FullAccess per la cassetta postale di un altro utente.
Inoltre, l'uso dell'elenco a discesa Utente nello strumento di ricerca del log di controllo o in Search-UnifiedAuditLog -UserIds non restituisce risultati per le attività eseguite in una cassetta postale condivisa.
Per cercare le attività eseguite in una cassetta postale specifica o per cercare le attività eseguite in una cassetta postale condivisa, usare la sintassi seguente quando si esegue il cmdlet Search-UnifiedAuditLog :
Search-UnifiedAuditLog -StartDate <date> -EndDate <date> -FreeText (Get-Mailbox <mailbox identity).ExchangeGuid
Ad esempio, il seguente comando restituisce i record di controllo per le attività eseguite nella cassetta postale condivisa del team di conformità di Contoso tra agosto 2020 e ottobre 2020:
Search-UnifiedAuditLog -StartDate 08/01/2020 -EndDate 10/31/2020 -FreeText (Get-Mailbox complianceteam@contoso.onmicrosoft.com).ExchangeGuid