Postvakcontrole beheren

Vanaf januari 2019 schakelt Microsoft auditlogboekregistratie voor postvakken standaard in voor alle organisaties. Dit betekent dat bepaalde acties die worden uitgevoerd door postvakeigenaren, gedelegeerden en beheerders automatisch worden geregistreerd en dat de bijbehorende auditrecords voor postvakken beschikbaar zijn wanneer u ernaar zoekt in het auditlogboek van het postvak. Voordat postvakcontrole standaard was ingeschakeld, moest u dit handmatig inschakelen voor elk gebruikerspostvak in uw organisatie.

Hier zijn enkele voordelen van postvakcontrole standaard ingeschakeld:

  • Controle wordt automatisch ingeschakeld wanneer u een nieuw postvak maakt. U hoeft deze niet handmatig in te schakelen voor nieuwe gebruikers.
  • U hoeft de postvakacties die worden gecontroleerd, niet te beheren. Een vooraf gedefinieerde set postvakacties wordt standaard gecontroleerd voor elk aanmeldingstype (Beheer, gemachtigde en eigenaar).
  • Wanneer Microsoft een nieuwe postvakactie uitbrengt, wordt de actie mogelijk automatisch toegevoegd aan de lijst met postvakacties die standaard worden gecontroleerd (afhankelijk van de gebruiker die de juiste licentie heeft). Dit betekent dat u geen nieuwe acties voor postvakken hoeft te controleren.
  • U hebt een consistent postvakcontrolebeleid in uw organisatie (omdat u dezelfde acties controleert voor alle postvakken).

Notitie

  • Het is belangrijk om te onthouden dat postvakcontrole standaard wordt uitgebracht: u hoeft niets te doen om postvakcontrole te beheren. Voor meer informatie, het aanpassen van postvakcontrole vanuit de standaardinstellingen of het helemaal uitschakelen, kan dit artikel u helpen.
  • Standaard zijn alleen auditgebeurtenissen voor E5-gebruikers beschikbaar in zoekopdrachten in auditlogboeken in de Microsoft Purview-nalevingsportal of via de Office 365 Management Activity-API. Zie de sectie Meer informatie in dit artikel voor meer informatie.

Controleren of postvakcontrole standaard is ingeschakeld

Als u wilt controleren of postvakcontrole standaard is ingeschakeld voor uw organisatie, voert u de volgende opdracht uit in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

De waarde False geeft aan dat postvakcontrole standaard is ingeschakeld voor de organisatie. Deze standaardinstelling voor organisatiewaarde overschrijft de instelling voor postvakcontrole voor specifieke postvakken. Als postvakcontrole bijvoorbeeld is uitgeschakeld voor een postvak (de eigenschap AuditEnabled is false in het postvak), worden de standaardpostvakacties nog steeds gecontroleerd voor het postvak, omdat postvakcontrole standaard is ingeschakeld voor de organisatie.

Als u postvakcontrole uitgeschakeld wilt houden voor specifieke postvakken, configureert u bypass voor postvakcontrole voor de eigenaar van het postvak en andere gebruikers die gedelegeerde toegang tot het postvak hebben. Zie de sectie Postvakcontrolelogboekregistratie overslaan verderop in dit artikel voor meer informatie.

Notitie

Wanneer postvakcontrole standaard is ingeschakeld voor de organisatie, wordt de eigenschap AuditEnabled voor betrokken postvakken niet gewijzigd van Onwaar in Waar. Met andere woorden: bij postvakcontrole wordt standaard de eigenschap AuditEnabled voor postvakken genegeerd.

Ondersteunde postvaktypen

In de volgende tabel ziet u de postvaktypen die momenteel standaard worden ondersteund door postvakcontrole:

Postvaktype Ondersteund
Gebruikerspostvakken Vinkje.
Gedeelde postvakken Vinkje.
Microsoft 365-groepspostvakken Vinkje.
Resourcepostvakken
Postvakken van openbare mappen

Aanmeldingstypen en postvakacties

Aanmeldingstypen classificeren de gebruiker die de gecontroleerde acties in het postvak heeft gedaan. In de volgende lijst worden de aanmeldingstypen beschreven die worden gebruikt in de auditlogboekregistratie van postvakken:

  • Eigenaar: de eigenaar van het postvak (het account dat is gekoppeld aan het postvak).
  • Gemachtigde:
    • Een gebruiker aan wie de machtiging SendAs, SendOnBehalf of FullAccess is toegewezen aan een ander postvak.
    • Een beheerder aan wie de machtiging FullAccess is toegewezen aan het postvak van een gebruiker.
  • Beheer:
    • Het postvak wordt doorzocht met een van de volgende Microsoft eDiscovery-hulpprogramma's:
      • Inhoud zoeken in het compliancecentrum.
      • eDiscovery of eDiscovery (Premium) in het compliancecentrum.
      • In-Place eDiscovery in Exchange Online.
    • Het postvak wordt geopend met behulp van de Microsoft Exchange Server MAPI-editor.

Postvakacties voor gebruikerspostvakken en gedeelde postvakken

In de volgende tabel worden de postvakacties beschreven die beschikbaar zijn in de auditlogboekregistratie voor postvakken van gebruikers en gedeelde postvakken.

  • Een vinkje (Vinkje.) geeft aan dat de postvakactie kan worden geregistreerd voor het aanmeldingstype (niet alle acties zijn beschikbaar voor alle aanmeldingstypen).
  • Een sterretje ( * ) na het vinkje geeft aan dat de postvakactie standaard wordt geregistreerd voor het aanmeldingstype.
  • Vergeet niet dat een beheerder met de machtiging Volledige toegang voor een postvak wordt beschouwd als gemachtigde.
Postvakactie Omschrijving Beheerder Gemachtigde Eigenaar
AddFolderPermissions(AddFolderPermissions) Hoewel deze waarde wordt geaccepteerd als een postvakactie, is deze al opgenomen in de actie UpdateFolderPermissions en wordt deze niet afzonderlijk gecontroleerd. Gebruik deze waarde dus niet.
ApplyRecord Een item is gelabeld als een record. Vinkje.* Vinkje.* Vinkje.*
Kopiëren Er is een bericht naar een andere map gekopieerd. Vinkje.
Maken Er is een item gemaakt in de map Agenda, Contactpersonen, Concept, Notities of Taken in het postvak (er wordt bijvoorbeeld een nieuw vergaderverzoek gemaakt). Het maken, verzenden of ontvangen van een bericht wordt niet gecontroleerd. Ook het maken van een postvak wordt niet gecontroleerd. Vinkje.* Vinkje.* Vinkje.
FolderBind Er is een postvakmap geopend. Deze actie wordt ook geregistreerd wanneer de beheerder of gedelegeerde het postvak opent.

Opmerking: controlerecords voor mapbindingsacties die door gedelegeerden worden uitgevoerd, worden samengevoegd. Er wordt binnen een periode van 24 uur één controlerecord gegenereerd voor toegang tot afzonderlijke mappen.
Vinkje. Vinkje.
HardDelete Er is een bericht verwijderd uit de map Herstelbare items. Vinkje.* Vinkje.* Vinkje.*
MailboxLogin De gebruiker heeft zich aangemeld bij het postvak. Vinkje
MailItemsAccessed Opmerking: deze waarde is alleen beschikbaar voor gebruikers met E5/A5/G5-licenties. Zie Microsoft Purview-controle (Premium) instellen voor meer informatie.

E-mailgegevens worden geopend via e-mailprotocollen en -clients.
Vinkje.* Vinkje.* Vinkje*
MessageBind Opmerking: deze waarde is alleen beschikbaar voor gebruikers zonder E5/A5/G5-licenties.

Een bericht is bekeken in het voorbeeldvenster of geopend door een beheerder.
Vinkje
ModifyFolderPermissions Hoewel deze waarde wordt geaccepteerd als een postvakactie, is deze al opgenomen in de actie UpdateFolderPermissions en wordt deze niet afzonderlijk gecontroleerd. Gebruik deze waarde dus niet.
Move Een bericht is naar een andere map verplaatst. Vinkje. Vinkje Vinkje
MoveToDeletedItems Een bericht is verwijderd en verplaatst naar de map Verwijderde items. Vinkje.* Vinkje.* Vinkje*
RecordDelete Een item dat als record is gelabeld, is voorlopig verwijderd (verplaatst naar de map Herstelbare items). Items die als records zijn gelabeld, kunnen niet permanent worden verwijderd (verwijderd uit de map Herstelbare items). Vinkje. Vinkje Vinkje
RemoveFolderPermissions Hoewel deze waarde wordt geaccepteerd als een postvakactie, is deze al opgenomen in de actie UpdateFolderPermissions en wordt deze niet afzonderlijk gecontroleerd. Gebruik deze waarde dus niet.
SearchQueryInitiated Opmerking: deze waarde is alleen beschikbaar voor gebruikers met E5/A5/G5-licenties. Zie Microsoft Purview-controle (Premium) instellen voor meer informatie.

Een persoon gebruikt Outlook (Windows, Mac, iOS, Android of webversie van Outlook) of de Mail-app voor Windows 10 om te zoeken naar items in een postvak.
Vinkje
Send Opmerking: deze waarde is alleen beschikbaar voor gebruikers met E5/A5/G5-licenties. Zie Microsoft Purview-controle (Premium) instellen voor meer informatie.

De gebruiker verzendt een e-mailbericht, beantwoordt een e-mailbericht of stuurt een e-mailbericht door.
Vinkje.* Vinkje*
SendAs Een bericht is verzonden met de machtiging Verzenden als. Dit betekent dat een andere gebruiker het bericht heeft verzonden alsof het afkomstig is van de eigenaar van het postvak. Vinkje.* Vinkje*
SendOnBehalf Een bericht is verzonden met de machtiging Verzenden namens. Dit betekent dat een andere gebruiker het bericht heeft verzonden namens de eigenaar van het postvak. Het bericht geeft aan de geadresseerde aan wie het bericht is verzonden namens en wie het bericht daadwerkelijk heeft verzonden. Vinkje.* Vinkje*
SoftDelete Een bericht is definitief verwijderd of verwijderd uit de map Verwijderde items. Voorlopig verwijderde items worden verplaatst naar de map Herstelbare items. Vinkje.* Vinkje.* Vinkje*
Bijwerkquery Een bericht of een van de eigenschappen ervan is gewijzigd. Vinkje.* Vinkje.* Vinkje*
UpdateCalendarDelegation Er is een agendadelegering toegewezen aan een postvak. Agendadelegering geeft iemand anders in dezelfde organisatie machtigingen voor het beheren van de agenda van de eigenaar van het postvak. Vinkje.* Vinkje*
UpdateFolderPermissions Een mapmachtiging is gewijzigd. Mapmachtigingen bepalen welke gebruikers in uw organisatie toegang hebben tot mappen in een mailbox en tot de berichten in die mappen. Vinkje.* Vinkje.* Vinkje*
UpdateInboxRules Er is een regel voor Postvak IN toegevoegd, verwijderd of gewijzigd. Regels voor Postvak IN worden gebruikt om berichten in het Postvak IN van de gebruiker te verwerken op basis van de opgegeven voorwaarden en acties uit te voeren wanneer aan de voorwaarden van een regel wordt voldaan, zoals het verplaatsen van een bericht naar een opgegeven map of het verwijderen van een bericht. Vinkje.* Vinkje* Vinkje*

Belangrijk

Als u de postvakacties hebt aangepast om te controleren op een aanmeldingstype voordat postvakcontrole standaard is ingeschakeld in uw organisatie, blijven de aangepaste instellingen behouden in het postvak en worden ze niet overschreven door de standaardpostvakacties zoals beschreven in deze sectie. Zie de sectie De standaardpostvakacties herstellen verderop in dit artikel als u de acties van het auditpostvak wilt terugzetten naar de standaardwaarden (wat u op elk gewenst moment kunt doen).

Postvakacties voor Microsoft 365-groepspostvakken

Postvakcontrole is standaard ingeschakeld voor postvakcontrolelogboeken voor Microsoft 365-groepspostvakken, maar u kunt niet aanpassen wat er wordt geregistreerd (u kunt geen postvakacties toevoegen of verwijderen die zijn geregistreerd voor elk aanmeldingstype).

In de volgende tabel worden de postvakacties beschreven die voor elk aanmeldingstype standaard worden vastgelegd in Microsoft 365-groepspostvakken.

Vergeet niet dat een beheerder met de machtiging Volledige toegang voor een Microsoft 365-groepspostvak wordt beschouwd als gemachtigde.

Postvakactie Omschrijving Beheerder Gemachtigde Eigenaar
Maken Een agenda-item maken. Het maken, verzenden of ontvangen van een bericht wordt niet gecontroleerd. Vinkje* Vinkje*
HardDelete Er is een bericht verwijderd uit de map Herstelbare items. Vinkje.* Vinkje* Vinkje*
MoveToDeletedItems Een bericht is verwijderd en verplaatst naar de map Verwijderde items. Vinkje.* Vinkje* Vinkje*
SendAs Een bericht is verzonden met de machtiging Verzenden als. Vinkje* Vinkje*
SendOnBehalf Een bericht is verzonden met de machtiging Verzenden namens. Vinkje* Vinkje*
SoftDelete Een bericht is definitief verwijderd of verwijderd uit de map Verwijderde items. Voorlopig verwijderde items worden verplaatst naar de map Herstelbare items. Vinkje.* Vinkje* Vinkje*
Bijwerkquery Een bericht of een van de eigenschappen ervan is gewijzigd. Vinkje.* Vinkje* Vinkje*

Controleren of standaardpostvakacties worden geregistreerd voor elk aanmeldingstype

Postvakcontrole is standaard ingeschakeld en voegt een nieuwe eigenschap DefaultAuditSet toe aan alle postvakken. De waarde van deze eigenschap geeft aan of de standaardpostvakacties (beheerd door Microsoft) in het postvak worden gecontroleerd.

Als u de waarde wilt weergeven in gebruikerspostvakken of gedeelde postvakken, vervangt u deze door <MailboxIdentity> de naam, alias, e-mailadres of user principal name (gebruikersnaam) van het postvak en voert u de volgende opdracht uit in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Als u de waarde wilt weergeven in Microsoft 365-groepspostvakken, vervangt u deze door <MailboxIdentity> de naam, alias of het e-mailadres van het gedeelde postvak en voert u de volgende opdracht uit in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

De waarde Admin, Delegate, Owner geeft het volgende aan:

  • De standaardpostvakacties voor alle drie de aanmeldingstypen worden gecontroleerd. Dit is de enige waarde die u ziet in Microsoft 365-groepspostvakken.
  • Een beheerder heeft de gecontroleerde postvakacties voor aanmeldingstypen in een gebruikerspostvak of een gedeeld postvak niet gewijzigd. Dit is de standaardstatus nadat postvakcontrole standaard is ingeschakeld in uw organisatie.

Als een beheerder ooit de postvakacties heeft gewijzigd die worden gecontroleerd op een aanmeldingstype (met behulp van de parameters AuditAdmin, AuditDelegate of AuditOwner op de cmdlet Set-Mailbox ), is de waarde van de eigenschap anders.

De waarde Owner voor de eigenschap DefaultAuditSet in een gebruikerspostvak of gedeeld postvak geeft bijvoorbeeld het volgende aan:

  • De standaardpostvakacties voor de eigenaar van het postvak worden gecontroleerd.
  • De gecontroleerde postvakacties voor de Delegate en Admin aanmeldingstypen zijn gewijzigd van de standaardacties.

Een lege waarde voor de eigenschap DefaultAuditSet geeft aan dat de postvakacties voor alle drie de aanmeldingstypen zijn gewijzigd in het gebruikerspostvak of een gedeeld postvak.

Zie de sectie Postvakacties wijzigen of herstellen die standaard zijn vastgelegd in dit artikel voor meer informatie

De postvakacties weergeven die worden geregistreerd in postvakken

Als u de postvakacties wilt zien die momenteel worden vastgelegd in gebruikerspostvakken of gedeelde postvakken, vervangt u deze door <MailboxIdentity> de naam, alias, e-mailadres of user principal name (gebruikersnaam) van het postvak en voert u een of meer van de volgende opdrachten uit in Exchange Online PowerShell.

Notitie

Hoewel u de -GroupMailbox schakeloptie kunt toevoegen aan de volgende Opdrachten voor postvak ophalen voor Microsoft 365-groepspostvakken, moet u de geretourneerde waarden niet geloven. De standaard- en statische postvakacties die worden gecontroleerd voor Microsoft 365-groepspostvakken worden beschreven in de sectie Postvakacties voor Microsoft 365-groepspostvakken eerder in dit artikel.

Acties van eigenaar

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Acties delegeren

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Beheer acties

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Postvakacties wijzigen of herstellen die standaard zijn vastgelegd

Zoals eerder uitgelegd, is een van de belangrijkste voordelen van het standaard controleren van postvakken: u hoeft de controleacties voor postvakken niet te beheren. Microsoft doet dit voor u en we voegen automatisch nieuwe postvakacties toe die standaard worden gecontroleerd wanneer ze worden vrijgegeven.

Mogelijk moet uw organisatie echter een andere set postvakacties controleren voor gebruikerspostvakken en gedeelde postvakken. De procedures in deze sectie laten zien hoe u de postvakacties wijzigt die voor elk aanmeldingstype worden gecontroleerd en hoe u terug kunt keren naar de door Microsoft beheerde standaardacties.

Belangrijk

Als u de volgende procedures gebruikt om de postvakacties aan te passen die zijn aangemeld bij gebruikerspostvakken of gedeelde postvakken, worden nieuwe standaardpostvakacties die door Microsoft worden vrijgegeven, niet automatisch gecontroleerd op deze postvakken. U moet handmatig nieuwe postvakacties toevoegen aan uw aangepaste lijst met acties.

De postvakacties wijzigen om te controleren

U kunt de parameters AuditAdmin, AuditDelegate of AuditOwner in de cmdlet Set-Mailbox gebruiken om de postvakacties te wijzigen die worden gecontroleerd voor gebruikerspostvakken en gedeelde postvakken (gecontroleerde acties voor Microsoft 365-groepspostvakken kunnen niet worden aangepast).

U kunt twee verschillende methoden gebruiken om de postvakacties op te geven:

  • Vervang (overschrijf) de bestaande postvakacties met behulp van deze syntaxis: action1,action2,...actionN.
  • Postvakacties toevoegen of verwijderen zonder dat dit van invloed is op andere bestaande waarden met behulp van deze syntaxis: @{Add="action1","action2",..."actionN"} of @{Remove="action1","action2",..."actionN"}.

In dit voorbeeld worden de acties van het beheerderspostvak voor het postvak met de naam Gabriela Laureano gewijzigd door de standaardacties te overschrijven met SoftDelete en HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In dit voorbeeld wordt de actie MailboxLogin-eigenaar toegevoegd aan het postvak laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In dit voorbeeld wordt de gedelegeerde actie MoveToDeletedItems voor het teamdiscussiepostvak verwijderd.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Ongeacht de methode die u gebruikt, heeft het aanpassen van de gecontroleerde postvakacties voor gebruikerspostvakken of gedeelde postvakken de volgende resultaten:

  • Voor het aanmeldingstype dat u hebt aangepast, worden de gecontroleerde postvakacties niet meer beheerd door Microsoft.
  • Het aanmeldingstype dat u hebt aangepast, wordt niet meer weergegeven in de eigenschapswaarde DefaultAuditSet voor het postvak, zoals eerder beschreven.

De standaardpostvakacties herstellen

Notitie

De volgende procedures zijn niet van toepassing op Microsoft 365-groepspostvakken (ze zijn beperkt tot de standaardacties zoals hier wordt beschreven).

Als u de postvakacties hebt aangepast die worden gecontroleerd op een gebruikerspostvak of een gedeeld postvak, kunt u de standaardpostvakacties voor een of alle aanmeldingstypen herstellen met behulp van deze syntaxis:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

U kunt meerdere DefaultAuditSet-waarden opgeven, gescheiden door komma's

In dit voorbeeld worden de standaard gecontroleerde postvakacties hersteld voor alle aanmeldingstypen in het postvak mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In dit voorbeeld worden de standaard gecontroleerde postvakacties hersteld voor het Beheer aanmeldingstype in het postvak chris@contoso.onmicrosoft.com, maar blijven de aangepaste gecontroleerde postvakacties voor de aanmeldingstypen Gedelegeerde en Eigenaar behouden.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Het herstellen van de standaard gecontroleerde postvakacties voor een aanmeldingstype heeft de volgende resultaten:

  • De huidige lijst met postvakacties wordt vervangen door de standaardpostvakacties voor het aanmeldingstype.
  • Nieuwe postvakacties die door Microsoft worden vrijgegeven, worden automatisch toegevoegd aan de lijst met gecontroleerde acties voor het aanmeldingstype.
  • De eigenschapswaarde DefaultAuditSet voor het postvak wordt bijgewerkt met het herstelde aanmeldingstype.

Postvakcontrole standaard uitschakelen voor uw organisatie

U kunt postvakcontrole standaard uitschakelen voor uw hele organisatie door de volgende opdracht uit te voeren in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Het standaard inschakelen van postvakcontrole heeft de volgende resultaten:

  • Postvakcontrole is uitgeschakeld voor uw organisatie.
  • Vanaf het moment dat u postvakcontrole standaard hebt uitgeschakeld, worden er geen postvakacties gecontroleerd, zelfs niet als controle is ingeschakeld voor een postvak (de eigenschap AuditEnabled in het postvak is Waar).
  • Postvakcontrole is niet ingeschakeld voor nieuwe postvakken en het instellen van de eigenschap AuditEnabled voor een nieuw of bestaand postvak op Waar wordt genegeerd.
  • Koppelingsinstellingen voor postvakcontrole overslaan (geconfigureerd met de cmdlet Set-MailboxAuditBypassAssociation ) worden genegeerd.
  • Bestaande auditrecords voor postvakken worden bewaard totdat de leeftijdslimiet voor het auditlogboek voor de record verloopt.

Postvakcontrole standaard inschakelen

Als u postvakcontrole weer wilt inschakelen voor uw organisatie, voert u de volgende opdracht uit in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Auditlogboekregistratie voor postvakken overslaan

Op dit moment kunt u postvakcontrole voor specifieke postvakken niet uitschakelen wanneer postvakcontrole standaard is ingeschakeld in uw organisatie. Het instellen van de eigenschap AuditEnabled-postvak op False wordt bijvoorbeeld genegeerd.

U kunt echter nog steeds de cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell gebruiken om te voorkomen dat alle postvakacties van de opgegeven gebruikers worden geregistreerd, ongeacht waar de acties plaatsvinden. Bijvoorbeeld:

  • Acties van postvakeigenaars die worden uitgevoerd door de omgeslagen gebruikers, worden niet geregistreerd.
  • Gedelegeerde acties die door de omgeslagen gebruikers worden uitgevoerd op postvakken van andere gebruikers (inclusief gedeelde postvakken), worden niet geregistreerd.
  • Beheer acties die door de omgeslagen gebruikers worden uitgevoerd, worden niet geregistreerd.

Als u logboekregistratie van postvakcontrole voor een specifieke gebruiker wilt overslaan, vervangt u deze door <MailboxIdentity> de naam, het e-mailadres, de alias of de user principal name (gebruikersnaam) van de gebruiker en voert u de volgende opdracht uit:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Voer de volgende opdracht uit om te controleren of controle wordt overgeslagen voor de opgegeven gebruiker:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

De waarde Waar geeft aan dat logboekregistratie van postvakcontrole wordt overgeslagen voor de gebruiker.

Meer informatie

  • Hoewel logboekregistratie van postvakcontrole standaard is ingeschakeld voor alle organisaties, retourneren alleen gebruikers met E5-licenties standaard auditlogboekgebeurtenissen in auditlogboeken in de Microsoft Purview-nalevingsportal of via de Office 365 Management Activity-API.

    Als u vermeldingen in postvakcontrolelogboeken wilt ophalen voor gebruikers zonder E5/A5/G5-licenties, kunt u een van de volgende tijdelijke oplossingen gebruiken:

    • Schakel de controle van postvakken handmatig in voor afzonderlijke postvakken (voer de opdracht uit). Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true Nadat u dit hebt gedaan, kunt u zoekopdrachten in auditlogboeken gebruiken in de Microsoft Purview-nalevingsportal of via de Office 365 Management Activity-API.

      Notitie

      Als postvakcontrole al lijkt te zijn ingeschakeld in het postvak, maar uw zoekopdrachten geen resultaten retourneren, wijzigt u de waarde van de parameter AuditEnabled in $false en vervolgens weer in $true.

    • Gebruik de volgende cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog om in het auditlogboek van het postvak te zoeken naar specifieke gebruikers.
      • New-MailboxAuditLogSearch om in het auditlogboek van het postvak te zoeken naar specifieke gebruikers en om de resultaten via e-mail te laten verzenden naar opgegeven geadresseerden.
    • Gebruik het Exchange-beheercentrum (EAC) in Exchange Online om de volgende acties uit te voeren:

  • Auditlogboekrecords voor postvakken worden standaard 90 dagen bewaard voordat ze worden verwijderd. U kunt de leeftijdslimiet voor auditlogboekrecords wijzigen met behulp van de parameter AuditLogAgeLimit op de cmdlet Set-Mailbox in Exchange Online PowerShell. Als u deze waarde verhoogt, kunt u echter niet zoeken naar gebeurtenissen die ouder zijn dan 90 dagen in het auditlogboek.

    Als u de leeftijdslimiet verhoogt, moet u de cmdlet Search-MailboxAuditLog in Exchange Online PowerShell gebruiken om in het auditlogboek van de gebruiker te zoeken naar records die ouder zijn dan 90 dagen.

  • Als u de eigenschap AuditLogAgeLimit voor een postvak hebt gewijzigd voordat postvakcontrole standaard is ingeschakeld voor de organisatie, wordt de bestaande leeftijdslimiet van het auditlogboek van het postvak niet gewijzigd. Met andere woorden, postvakcontrole is standaard niet van invloed op de huidige leeftijdslimiet voor controlerecords voor postvakken.

  • Als u de waarde AuditLogAgeLimit in een Microsoft 365-groepspostvak wilt wijzigen, moet u de -GroupMailbox schakeloptie opnemen in de opdracht Set-Mailbox .

  • Auditlogboekrecords voor postvakken worden opgeslagen in een submap ( controles genaamd) in de map Herstelbare items in het postvak van elke gebruiker. Houd rekening met de volgende zaken met betrekking tot controlerecords voor postvakken en de map Herstelbare items:

    • Controlerecords voor postvakken tellen mee voor het opslagquotum van de map Herstelbare items. Deze is standaard 30 GB (het waarschuwingsquotum is 20 GB). Het opslagquotum wordt automatisch verhoogd naar 100 GB (met een waarschuwingsquotum van 90 GB) wanneer:

      • Er wordt een bewaring geplaatst in een postvak.
      • Het postvak wordt toegewezen aan een bewaarbeleid in het Compliancecentrum.
    • Controlerecords van postvakken tellen ook mee voor de maplimiet voor de map Herstelbare items. Er kunnen maximaal 3 miljoen items (auditrecords) worden opgeslagen in de submap Controles.

      Notitie

      Het is onwaarschijnlijk dat postvakcontrole standaard van invloed is op het opslagquotum of de maplimiet voor de map Herstelbare items.

      • U kunt de volgende opdracht uitvoeren in Exchange Online PowerShell om de grootte en het aantal items weer te geven in de submap Controles in de map Herstelbare items:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • U hebt geen rechtstreeks toegang tot een auditlogboekrecord in de map Herstelbare items; in plaats daarvan gebruikt u de cmdlet Search-MailboxAuditLog of zoekt u in het auditlogboek om auditrecords voor postvakken te zoeken en weer te geven.

  • Als een postvak in bewaring wordt geplaatst of is toegewezen aan een bewaarbeleid in het Compliancecentrum, worden auditlogboekrecords nog steeds bewaard voor de duur die is gedefinieerd door de eigenschap AuditLogAgeLimit van het postvak (standaard 90 dagen). Als u auditlogboekrecords langer wilt bewaren voor postvakken in bewaring, moet u de Waarde auditLogAgeLimit van het postvak verhogen.

  • In een omgeving met meerdere geografische gebieden wordt controle van postvakken voor meerdere geografische gebieden niet ondersteund. Als aan een gebruiker bijvoorbeeld machtigingen zijn toegewezen voor toegang tot een gedeeld postvak op een andere geografische locatie, worden postvakacties die door die gebruiker worden uitgevoerd, niet geregistreerd in het auditlogboek van het gedeelde postvak. Controlegebeurtenissen van Exchange-beheerders zijn momenteel alleen beschikbaar voor de standaardlocatie.