Seja bem-vindo(a) à comunidade Microsoft!
Tudo bem, Dayane? Segue um passo a passo:
- Habilite a Auditoria no Microsoft 365 (caso ainda não esteja ativa):
- Acesse o Log de Auditoria no Centro de Conformidade:
- No portal do Microsoft 365, navegue até Conformidade -> Auditoria.
- Clique em "Iniciar gravação de log de auditoria", caso ainda não esteja ativo.
- Aguarde algumas horas para que os logs comecem a ser coletados.
- Pesquise pelos Eventos Relacionados à Modificação da Caixa de Correio:
- Filtre pelos seguintes eventos específicos:
- "Set-Mailbox": Este cmdlet é usado para modificar propriedades de caixas de correio.
- Use critérios de busca, como:
- Atividade: Escolha "Set-Mailbox".
- Usuário: (se você tiver suspeitas sobre quem alterou).
- Data e hora: Defina um período específico.
- Utilize PowerShell para Obter Detalhes Mais Precisos: Caso prefira uma abordagem com script, você pode usar o PowerShell para buscar no Unified Audit Log:
Search-UnifiedAuditLog -StartDate "yyyy-MM-dd" -EndDate "yyyy-MM-dd" -Operations "Set-Mailbox" -ResultSize 1000 | Where-Object { $_.AuditData -like "*SharedMailbox*" }
Esse comando retornará eventos relacionados a modificações de caixas de correio.
- Analise os Resultados:
- Verifique detalhes como o usuário que realizou a ação, o endereço de IP, e a hora exata do evento
- A propriedade AuditData contém informações úteis, como os parâmetros do cmdlet e a alteração feita.
- Documente e Aja:
- Registre as descobertas para fins de conformidade.
- Se a modificação não foi autorizada, revise as permissões do administrador responsável e implemente políticas mais restritivas.