Auditoria de movimentação de emails por usuários em caixa compartilhada

Question

Preciso saber se há uma forma de auditar quem está movendo e lendo e-mails dentro de uma caixa compartilhada, quais pastas e e-mails foram movidos, e por qual usuário foi. Sobre envios, exclusões etc. A partir da auditoria no Purview não consegui informações tão concretas.

Answer 1

Olá

Estou apenas verificando se as informações fornecidas foram úteis, se o problema foi resolvido considere clicar em "Aceitar resposta", fazê-lo fecha o tópico e ajuda outras pessoas com o mesmo problema ou dúvida. Se você tiver mais dúvidas, sinta-se à vontade para responder neste mesmo tópico.

Answer 2

Olá

Bem vindo à Comunidade Microsoft Q&A

Tudo bem, Mariana? Sua dúvida é bastante relevante, especialmente em ambientes corporativos onde o controle e a rastreabilidade do uso de caixas compartilhadas são fundamentais para conformidade e segurança.

Desde 2019, a auditoria de caixas de correio está ativada por padrão, inclusive para caixas de correio compartilhadas. Essa auditoria grava ações de usuários delegados (como leitura, envio, movimentação e exclusão de itens) nos logs do Microsoft Purview (Compliance Center).

Ações auditáveis (Delegated mailbox access):

Você poderá capturar ações como:

SendOnBehalf – Envio em nome de

SendAs – Envio como o proprietário da caixa

MoveToDeletedItems – Movimentação para a Lixeira

SoftDelete – Exclusão temporária (Shift+Delete)

HardDelete – Exclusão permanente

MessageBind – Leitura de mensagens

Move – Movimentação de mensagens entre pastas

Update – Alterações em mensagens

Importante: a ação MessageBind (leitura de mensagem) é registrada apenas uma vez por item por usuário, e pode não refletir aberturas repetidas.

---

2. Como consultar essas ações via Purview (Audit Logs)

Você deve realizar a consulta diretamente no portal de Microsoft Purview (compliance.microsoft.com):

Acesse Auditoria.

Defina o período de tempo desejado (máx. 90 dias, ou até 1 ano em planos com retenção estendida).

Em “Atividades”, selecione:

"Acessos a caixas de correio (por outros usuários)"

  "Mensagens lidas"
  
     "Mensagens movidas", "mensagens excluídas", "envio de mensagens", etc.
     
     No campo "Usuário", insira o endereço da **caixa compartilhada**.
     
     Analise os **detalhes JSON** para ver:
     
        Nome da pasta de origem e destino
        
           Assunto da mensagem
           
              Tipo de ação e nome do usuário que executou
              

---

3. PowerShell para extração avançada (opcional)

Para auditoria mais refinada, você pode usar o módulo Exchange Online PowerShell com cmdlets como:

Search-UnifiedAuditLog -StartDate "2025-06-25" -EndDate "2025-07-01" `
  -Operations MessageBind,SendOnBehalf,SendAs,Move,SoftDelete `
  -ResultSize 1000 | Export-Csv "auditlog.csv" -NoTypeInformation

Este comando extrai logs com base nas ações mais relevantes para sua auditoria.

---

Limitações conhecidas da Auditoria

Leitura (MessageBind) nem sempre é registrada de forma contínua.

Movimentações entre pastas às vezes são agrupadas ou não detalham exatamente qual mensagem foi movida.

Itens acessados via aplicativos móveis ou Outlook no modo em cache podem não gerar logs imediatos.

O tempo de retenção padrão da auditoria é de 90 dias, a menos que você tenha licenças Microsoft 365 E5 ou configure políticas de retenção estendida.

---

Recomendações

Verifique se a auditoria está habilitada para a caixa compartilhada:

Get-Mailbox -Identity "******@dominio.com" | FL AuditEnabled

1. Considere configurar um Journal ou regras de transporte para auditorias contínuas mais detalhadas (útil para conformidade legal).

Caso as auditorias não estejam entregando os dados esperados, avalie soluções de terceiros como Quest, ManageEngine ou Netwrix, que oferecem rastreamento mais granular e relatórios prontos.