Gerenciar a auditoria de caixa de correio
O registo de auditoria da caixa de correio está ativado por predefinição em todas as organizações. Isto significa que determinadas ações executadas por proprietários de caixas de correio, delegados e administradores são registadas automaticamente. Os registos de auditoria da caixa de correio correspondentes estão disponíveis para os administradores procurarem no registo de auditoria da caixa de correio.
Por predefinição, algumas das vantagens da auditoria da caixa de correio são:
- A auditoria é ativada automaticamente quando cria uma nova caixa de correio. Não precisa de ativar manualmente a auditoria de caixas de correio para novos utilizadores.
- Não precisa de gerir as ações da caixa de correio auditadas. Um conjunto predefinido de ações de caixa de correio é auditado por predefinição para cada tipo de início de sessão (Administrador, Delegado e Proprietário).
- Quando a Microsoft lança uma nova ação de caixa de correio, a ação pode ser adicionada automaticamente à lista de ações da caixa de correio auditadas por predefinição (sujeitas ao utilizador com a licença adequada). Este resultado significa que não precisa de adicionar novas ações nas caixas de correio à medida que são lançadas.
- Tem uma política de auditoria de caixa de correio consistente em toda a sua organização (porque está a auditar as mesmas ações para todas as caixas de correio).
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Verificar se a auditoria de caixa de correio está ativada por padrão
Para verificar se a auditoria da caixa de correio ativada por predefinição está ativada para a sua organização, execute o seguinte comando no PowerShell do Exchange Online:
Get-OrganizationConfig | Format-List AuditDisabled
O valor Falso indica que a auditoria da caixa de correio ativada por predefinição está ativada para a organização. A auditoria da caixa de correio ativada por predefinição na organização substitui as definições de auditoria da caixa de correio em caixas de correio individuais. Por exemplo, se a auditoria da caixa de correio estiver desativada para uma caixa de correio (a propriedade AuditEnabled na caixa de correio é Falso), as ações de caixa de correio predefinidas continuarão a ser auditadas para a caixa de correio, uma vez que a auditoria da caixa de correio ativada por predefinição está ativada para a organização.
Para manter a auditoria da caixa de correio desativada para caixas de correio específicas, configure a auditoria de caixa de correio desativada para o proprietário da caixa de correio e outros utilizadores com acesso delegado à caixa de correio. Para obter mais informações, consulte a secção Ignorar registo de auditoria da caixa de correio mais à frente neste artigo.
Observação
Quando a auditoria de caixa de correio ativada por predefinição está ativada para a organização, a propriedade AuditEnabled das caixas de correio afetadas não será alterada de Falso para Verdadeiro. Por outras palavras, a auditoria da caixa de correio ativada por predefinição ignora a propriedade AuditEnabled nas caixas de correio.
Tipos de caixa de correio suportados
Os tipos de caixa de correio suportados pela auditoria de caixas de correio ativados por predefinição estão descritos na seguinte tabela:
Tipo de caixa de correio | Auditoria suportada | Ativado por predefinição suportado |
---|---|---|
Caixas de correio de usuário | ✔ | ✔ |
Caixas de correio compartilhadas | ✔ | ✔ |
Caixas de correio do Grupo do Microsoft 365 | ✔ | ✔ |
Caixas de correio de recurso | ✔ | |
Caixas de correio de pastas públicas |
Tipos de início de sessão e ações de caixa de correio
Os tipos de início de sessão classificam quem é o responsável pelas ações auditadas na caixa de correio. A lista seguinte descreve os tipos de início de sessão utilizados no registo de auditoria da caixa de correio:
- Proprietário: o proprietário da caixa de correio (a conta associada à caixa de correio).
-
Delegado:
- Um utilizador a quem tenha sido atribuída a permissão SendAs, SendOnBehalf ou FullAccess para outra caixa de correio.
- Um administrador a quem foi atribuída a permissão FullAccess para a caixa de correio de um utilizador.
-
Administrador:
- A caixa de correio é pesquisada com uma das seguintes ferramentas de Deteção de Dados Eletrónicos da Microsoft:
- Deteção de Dados Eletrónicos no portal do Microsoft Purview ou no portal de conformidade.
- In-Place Deteção de Dados Eletrónicos no Exchange Online.
- A caixa de correio é acedida através do Editor MAPI do Microsoft Exchange Server.
- A caixa de correio é acedida por uma conta que representa outro utilizador. Isto ocorre quando a função ApplicationImpersonation é atribuída a uma conta, como uma aplicação, que está agora a aceder ativamente aos dados. Para obter mais informações, veja Configurar a representação.
- A caixa de correio é pesquisada com uma das seguintes ferramentas de Deteção de Dados Eletrónicos da Microsoft:
Ações de caixa de correio para caixas de correio de utilizadores e caixas de correio partilhadas
A tabela seguinte descreve as ações da caixa de correio que estão disponíveis no registo de auditoria da caixa de correio para caixas de correio de utilizador e caixas de correio partilhadas.
- Uma marca de verificação (✔) indica que a ação da caixa de correio pode ser registada para o tipo de início de sessão (nem todas as ações estão disponíveis para todos os tipos de início de sessão).
- Um asterisco ( * ) depois da marca de verificação indicar que a ação da caixa de correio é registada por predefinição para o tipo de início de sessão.
- Lembre-se de que um administrador com permissão de Acesso Total para uma caixa de correio é considerado delegado.
Ação caixa de correio | Descrição | Administrador | Delegar | Proprietário |
---|---|---|---|---|
AddFolderPermissions | Embora este valor seja aceite como uma ação de caixa de correio, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Por outras palavras, não utilize este valor. | |||
AplicarRegisto | Um item é identificado como um registo. | ✔* | ✔* | ✔* |
Copy | Uma mensagem foi copiada para outra pasta. | ✔ | ||
Create | Foi criado um item na pasta Calendário, Contactos, Rascunho, Notas ou Tarefas na caixa de correio (por exemplo, é criado um novo pedido de reunião). Criar, enviar ou receber uma mensagem não é auditada. Além disso, a criação de uma pasta de caixa de correio não é auditada. | ✔* | ✔* | ✔ |
PastaBind | Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio. Nota: os registos de auditoria das ações de enlace de pastas executadas pelos delegados são consolidados. É gerado um registo de auditoria para acesso a pastas individuais num período de 24 horas. |
✔ | ✔ | |
HardDelete | Uma mensagem foi removida da pasta de Itens Recuperáveis. | ✔* | ✔* | ✔* |
MailboxLogin | O utilizador iniciou sessão na respetiva caixa de correio. | ✔ | ||
MailItemsAccessed | Ocorre quando os dados de correio são acedidos por protocolos de correio e clientes. | ✔* | ✔* | ✔* |
MessageBind |
Nota: este valor só está disponível para utilizadores sem licenças E5/A5/G5. Uma mensagem foi visualizada no painel de pré-visualização ou aberta por um administrador. |
✔ | ||
ModifyFolderPermissions | Embora este valor seja aceite como uma ação de caixa de correio, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Por outras palavras, não utilize este valor. | |||
Mover | Uma mensagem foi movida para outra pasta. | ✔ | ✔ | ✔ |
MoveToDeletedItems | Uma mensagem foi excluída e movida para a pasta Itens Excluídos. | ✔* | ✔* | ✔* |
RecordDelete | Um item etiquetado como um registo foi eliminado de forma recuperável (movido para a pasta Itens Recuperáveis). Os itens etiquetados como registos não podem ser eliminados permanentemente (removidos da pasta Itens Recuperáveis). | ✔ | ✔ | ✔ |
RemoveFolderPermissions | Embora este valor seja aceite como uma ação de caixa de correio, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Por outras palavras, não utilize este valor. | |||
SearchQueryInitiated | Uma pessoa utiliza o Outlook (Windows, Mac, iOS, Android ou Outlook na Web) ou a aplicação Correio para Windows 10 para procurar itens numa caixa de correio. | ✔ | ||
Send | O utilizador envia uma mensagem de e-mail, responde a uma mensagem de e-mail ou reencaminha uma mensagem de e-mail. | ✔* | ✔* | |
SendAs | Uma mensagem foi enviada usando a permissão SendAs. Esta permissão permite que outro utilizador envie a mensagem como se fosse proveniente do proprietário da caixa de correio. | ✔* | ✔* | |
SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. Esta permissão permite que outro utilizador envie a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou. | ✔* | ✔* | |
SoftDelete | Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
Atualizar | Uma mensagem ou qualquer uma das respetivas propriedades foi alterada. | ✔* | ✔* | ✔* |
UpdateCalendarDelegation | Foi atribuída uma delegação de calendário a uma caixa de correio. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio. | ✔* | ✔* | |
UpdateFolderPermissions | Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. | ✔* | ✔* | ✔* |
UpdateInboxRules | Foi adicionada, removida ou alterada uma regra de caixa de entrada. As regras da caixa de entrada processam mensagens na Caixa de Entrada do utilizador com base nas condições. As ações especificam o que fazer às mensagens que correspondem às condições da regra. Por exemplo, mova a mensagem para uma pasta especificada ou elimine a mensagem. | ✔* | ✔* | ✔* |
Importante
Se tiver personalizado as ações da caixa de correio para auditoria antes de a auditoria da caixa de correio estar ativada por predefinição na sua organização, as definições de auditoria de caixa de correio personalizadas são preservadas na caixa de correio e não são substituídas pelas ações predefinidas da caixa de correio, conforme descrito nesta secção. Para reverter as ações da caixa de correio de auditoria para os respetivos valores predefinidos (o que pode fazer em qualquer altura), consulte a secção Restaurar as ações predefinidas da caixa de correio mais à frente neste artigo.
Ações de caixa de correio para caixas de correio do Grupo do Microsoft 365
A auditoria da caixa de correio ativada por predefinição coloca o registo de auditoria de caixa de correio nas caixas de correio do Grupo do Microsoft 365, mas não pode personalizar o que está a ser registado (não pode adicionar ou remover ações de caixa de correio registadas para qualquer tipo de início de sessão).
A tabela seguinte descreve as ações da caixa de correio que são registadas por predefinição nas caixas de correio do Grupo do Microsoft 365 para cada tipo de início de sessão.
Lembre-se de que um administrador com permissão de Acesso Total para uma caixa de correio do Grupo do Microsoft 365 é considerado delegado.
Ação caixa de correio | Descrição | Administrador | Delegar | Proprietário |
---|---|---|---|---|
Create | Criação de um Item de calendário. Criar, enviar ou receber uma mensagem não é auditada. | ✔* | ✔* | |
HardDelete | Uma mensagem foi removida da pasta de Itens Recuperáveis. | ✔* | ✔* | ✔* |
MoveToDeletedItems | Uma mensagem foi excluída e movida para a pasta Itens Excluídos. | ✔* | ✔* | ✔* |
SendAs | Uma mensagem foi enviada usando a permissão SendAs. | ✔* | ✔* | |
SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. | ✔* | ✔* | |
SoftDelete | Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
Atualizar | Uma mensagem ou qualquer uma das respetivas propriedades foi alterada. | ✔* | ✔* | ✔* |
Verifique se as ações predefinidas da caixa de correio estão a ser registadas para cada tipo de início de sessão
A auditoria da caixa de correio ativada por predefinição adiciona uma nova propriedade DefaultAuditSet a todas as caixas de correio. O valor desta propriedade indica se as ações predefinidas da caixa de correio (geridas pela Microsoft) estão a ser auditadas na caixa de correio.
Para apresentar o valor em caixas de correio de utilizadores ou caixas de correio partilhadas, substitua <MailboxIdentity> pelo nome, alias, endereço de e-mail ou nome principal de utilizador (nome de utilizador) da caixa de correio e execute o seguinte comando no Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Para apresentar o valor nas caixas de correio de grupo do Microsoft 365, substitua <MailboxIdentity> pelo nome, alias ou endereço de e-mail da caixa de correio partilhada e execute o seguinte comando no PowerShell do Exchange Online:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
O valor Admin, Delegate, Owner
indica:
- As ações de caixa de correio predefinidas para os três tipos de início de sessão estão a ser auditadas. Este valor é o único valor que vê nas caixas de correio do Grupo do Microsoft 365.
- Um administrador não alterou as ações de caixa de correio auditadas para qualquer tipo de início de sessão numa caixa de correio de utilizador ou numa caixa de correio partilhada.
Se um administrador alguma vez tiver alterado as ações da caixa de correio auditadas para um tipo de início de sessão (utilizando os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox ), o valor da propriedade é diferente.
Por exemplo, o valor Owner
da propriedade DefaultAuditSet numa caixa de correio de utilizador ou caixa de correio partilhada indica:
- As ações de caixa de correio predefinidas para o proprietário da caixa de correio estão a ser auditadas.
- As ações de caixa de correio auditadas para os
Delegate
tipos de início de sessão eAdmin
foram alteradas a partir das ações predefinidas.
Um valor em branco para a propriedade DefaultAuditSet indica que as ações da caixa de correio para os três tipos de início de sessão foram alteradas na caixa de correio do utilizador ou numa caixa de correio partilhada.
Para obter mais informações, consulte a secção Alterar ou restaurar ações da caixa de correio registadas por predefinição neste artigo.
Apresentar as ações da caixa de correio que estão a ser registadas nas caixas de correio
Para ver as ações da caixa de correio que estão atualmente a ser registadas em caixas de correio de utilizadores ou caixas de correio partilhadas, substitua <MailboxIdentity> pelo nome, alias, endereço de e-mail ou nome principal de utilizador (nome de utilizador) da caixa de correio e execute um ou mais dos seguintes comandos no PowerShell do Exchange Online.
Observação
Embora possa adicionar o -GroupMailbox
comutador aos seguintes comandos Get-Mailbox para caixas de correio do Grupo do Microsoft 365, não acredita nos valores que são devolvidos. As ações predefinidas e estáticas da caixa de correio auditadas para caixas de correio do Grupo do Microsoft 365 são descritas na secção Ações da Caixa de Correio para caixas de correio do Grupo do Microsoft 365 anterior neste artigo.
Ações de proprietário
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Delegar ações
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Ações de administrador
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Alterar ou restaurar ações da caixa de correio registadas por predefinição
Conforme explicado anteriormente, uma das principais vantagens de ter a auditoria da caixa de correio ativada por predefinição é: não precisa de gerir as ações de caixas de correio auditadas. A Microsoft gere as ações automaticamente e adicionamos automaticamente novas ações de caixa de correio para serem auditadas por predefinição à medida que são lançadas.
No entanto, a sua organização poderá ser obrigada a auditar um conjunto diferente de ações de caixa de correio para caixas de correio de utilizadores e caixas de correio partilhadas. Os procedimentos nesta secção mostram-lhe como alterar as ações da caixa de correio auditadas para cada tipo de início de sessão e como reverter para as ações predefinidas geridas pela Microsoft.
Importante
Se utilizar os seguintes procedimentos para personalizar as ações da caixa de correio que estão registadas em caixas de correio de utilizadores ou caixas de correio partilhadas, quaisquer novas ações de caixa de correio predefinidas lançadas pela Microsoft não serão automaticamente auditadas nessas caixas de correio. Terá de adicionar manualmente quaisquer novas ações de caixa de correio à sua lista personalizada de ações.
Alterar as ações da caixa de correio para auditoria
Pode utilizar os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox para alterar as ações da caixa de correio auditadas para caixas de correio de utilizador e caixas de correio partilhadas (as ações auditadas para caixas de correio do grupo do Microsoft 365 não podem ser personalizadas).
Pode utilizar dois métodos diferentes para especificar as ações da caixa de correio:
-
Substitua (substitua ) as ações existentes da caixa de correio com esta sintaxe:
action1,action2,...actionN
. -
Adicione ou remova ações da caixa de correio sem afetar outros valores existentes com esta sintaxe:
@{Add="action1","action2",..."actionN"}
ou@{Remove="action1","action2",..."actionN"}
.
Este exemplo altera as ações da caixa de correio de administrador para a caixa de correio denominada "Gabriela Laureano" ao substituir as ações predefinidas com SoftDelete e HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
Este exemplo adiciona a ação do proprietário mailboxLogin à caixa de correio laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
Este exemplo remove a ação de delegado MoveToDeletedItems para a caixa de correio Debate de Equipa.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Independentemente do método que utilizar, a personalização das ações de caixa de correio auditadas em caixas de correio de utilizadores ou caixas de correio partilhadas tem os seguintes resultados:
- Para o tipo de início de sessão que personalizou, as ações de caixa de correio auditadas já não são geridas pela Microsoft.
- O tipo de início de sessão que personalizou já não é apresentado no valor da propriedade DefaultAuditSet da caixa de correio, conforme descrito anteriormente.
Restaurar as ações predefinidas da caixa de correio
Observação
Os procedimentos seguintes não se aplicam às caixas de correio do Grupo do Microsoft 365 (estão limitados às ações predefinidas, conforme descrito aqui).
Se tiver personalizado as ações da caixa de correio auditadas numa caixa de correio de utilizador ou numa caixa de correio partilhada, pode restaurar as ações de caixa de correio predefinidas para um ou todos os tipos de início de sessão com esta sintaxe:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Pode especificar vários valores DefaultAuditSet separados por vírgulas.
Este exemplo restaura as ações de caixa de correio auditadas predefinidas para todos os tipos de início de sessão na caixa de correio mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
Este exemplo restaura as ações de caixa de correio auditadas predefinidas para o tipo de início de sessão de Administrador na caixa chris@contoso.onmicrosoft.comde correio, mas deixa as ações de caixa de correio auditadas personalizadas para os tipos de início de sessão Delegado e Proprietário.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
Restaurar as ações de caixa de correio auditadas predefinidas para um tipo de início de sessão tem os seguintes resultados:
- A lista atual de ações de caixa de correio é substituída pelas ações de caixa de correio predefinidas para o tipo de início de sessão.
- Todas as novas ações da caixa de correio lançadas pela Microsoft são adicionadas automaticamente à lista de ações auditadas para o tipo de início de sessão.
- O valor da propriedade DefaultAuditSet da caixa de correio é atualizado para incluir o tipo de início de sessão restaurado.
Desativar a auditoria da caixa de correio ativada por predefinição para a sua organização
Pode desativar a auditoria de caixa de correio ativada por predefinição para toda a organização ao executar o seguinte comando no PowerShell do Exchange Online:
Set-OrganizationConfig -AuditDisabled $true
Desativar a auditoria da caixa de correio ativada por predefinição tem os seguintes resultados:
- A auditoria da caixa de correio está desativada para a sua organização.
- A partir do momento em que desativa a auditoria de caixa de correio ativada por predefinição, nenhuma ação da caixa de correio é auditada, mesmo que a auditoria da caixa de correio esteja ativada numa caixa de correio (a propriedade AuditEnabled na caixa de correio é Verdadeiro).
- A auditoria da caixa de correio não está ativada para novas caixas de correio e a definição da propriedade AuditEnabled numa caixa de correio nova ou existente como Verdadeiro é ignorada.
- Todas as definições de associação de desativação de auditoria de caixa de correio (configuradas com o cmdlet Set-MailboxAuditBypassAssociation ) são ignoradas.
- Os registos de auditoria da caixa de correio existentes são mantidos até que o limite de idade do registo de auditoria do registo expire.
Ativar a auditoria da caixa de correio por predefinição
Para voltar a ativar a auditoria da caixa de correio para a sua organização, execute o seguinte comando no PowerShell do Exchange Online:
Set-OrganizationConfig -AuditDisabled $false
Ignorar log de auditoria de caixa de correio
Atualmente, não é possível desabilitar a auditoria de caixas de correio para específicas caixas de correio quando a auditoria de caixas de correio estiver ativada por padrão na organização. Por exemplo, a definição da propriedade Caixa de correio AuditEnabled como Falso é ignorada.
No entanto, ainda pode utilizar o cmdlet Set-MailboxAuditBypassAssociation no PowerShell do Exchange Online para impedir que todas as ações da caixa de correio dos utilizadores especificados sejam registadas, independentemente do local onde as ações ocorrem. Por exemplo:
- As ações do proprietário da caixa de correio executadas pelos utilizadores ignorados não são registadas.
- As ações delegadas realizadas pelos utilizadores ignorados nas caixas de correio de outros utilizadores (incluindo caixas de correio partilhadas) não são registadas.
- As ações de administrador executadas pelos utilizadores ignorados não são registadas.
Para ignorar o log de auditoria de caixa de correio de um usuário específico, substitua <MailboxIdentity> pelo nome, endereço de email, alias ou nome principal de usuário (nome de usuário) do usuário e execute o seguinte comando:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Para verificar se a auditoria é ignorada para o usuário especificado, execute o seguinte comando:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
O valor Verdadeiro indica que o registo de auditoria da caixa de correio é ignorado para o utilizador.
Mais informações
Por predefinição, os registos de auditoria da caixa de correio são retidos durante 90 dias antes de serem eliminados. Pode alterar o limite de idade dos registos de auditoria com o parâmetro AuditLogAgeLimit no cmdlet Set-Mailbox no PowerShell do Exchange Online. No entanto, aumentar este valor não lhe permite procurar eventos com mais de 90 dias no registo de auditoria.
Se aumentar o limite de idade, terá de utilizar o cmdlet Search-MailboxAuditLog no PowerShell do Exchange Online para procurar registos com mais de 90 dias no registo de auditoria da caixa de correio do utilizador.
Se tiver alterado a propriedade AuditLogAgeLimit de uma caixa de correio antes de a auditoria da caixa de correio estar ativada por predefinição para a organização, o limite de idade do registo de auditoria existente da caixa de correio não será alterado. Por outras palavras, a auditoria da caixa de correio ativada por predefinição não afeta o limite de idade atual dos registos de auditoria da caixa de correio.
Para alterar o valor AuditLogAgeLimit numa caixa de correio do Grupo do Microsoft 365, tem de incluir o
-GroupMailbox
comutador no comando Set-Mailbox .Os registos de auditoria da caixa de correio são armazenados numa subpasta (denominada Auditorias) na pasta Itens Recuperáveis na caixa de correio de cada utilizador. Tenha em atenção os seguintes aspetos sobre os registos de auditoria da caixa de correio e a pasta Itens Recuperáveis:
Os registos de auditoria da caixa de correio contam para a quota de armazenamento da pasta Itens Recuperáveis, que é 30 GB por predefinição (a quota de aviso é de 20 GB). A quota de armazenamento é automaticamente aumentada para 100 GB (com uma quota de aviso de 90 GB) quando:
- É colocada uma suspensão numa caixa de correio.
- A caixa de correio é atribuída a uma política de retenção no portal do Microsoft Purview ou no portal de conformidade.
Os registos de auditoria da caixa de correio também contam para o limite de pastas da pasta Itens Recuperáveis. Um máximo de 3 milhões de itens (registos de auditoria) podem ser armazenados na subpasta Auditorias.
Observação
Por predefinição, é pouco provável que a auditoria da caixa de correio afete a quota de armazenamento ou o limite de pastas da pasta Itens Recuperáveis.
Pode executar o seguinte comando no PowerShell do Exchange Online para apresentar o tamanho e o número de itens na subpasta Auditorias na pasta Itens Recuperáveis:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
Não pode aceder diretamente a um registo de auditoria na pasta Itens Recuperáveis; Em vez disso, utilize o cmdlet Search-MailboxAuditLog ou pesquise no registo de auditoria para localizar e ver os registos de auditoria da caixa de correio.
Se uma caixa de correio for colocada em espera ou atribuída a uma política de retenção, os registos de auditoria continuam a ser mantidos durante o período definido pela propriedade AuditLogAgeLimit da caixa de correio (90 dias por predefinição). Para manter os registos de auditoria durante mais tempo para caixas de correio em espera, tem de aumentar o valor AuditLogAgeLimit da caixa de correio.
Num ambiente multigeográfico, a auditoria de caixas de correio entre áreas geográficas não é suportada. Por exemplo, se forem atribuídas permissões a um utilizador para aceder a uma caixa de correio partilhada numa localização geográfica diferente, as ações da caixa de correio executadas por esse utilizador não serão registadas no registo de auditoria da caixa de correio partilhada. Os eventos de auditoria de administrador do Exchange estão disponíveis para todas as localizações através do Microsoft Purview e do cmdlet Search-UnifiedAuditLog .