Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O registo de auditoria da caixa de correio está ativado por predefinição em todas as organizações. Esta definição regista automaticamente determinadas ações executadas por proprietários, delegados e administradores de caixas de correio. Os administradores podem procurar no registo de auditoria da caixa de correio os registos de auditoria da caixa de correio correspondentes.
Alguns benefícios da auditoria da caixa de correio por predefinição incluem:
- A auditoria é ativada automaticamente quando cria uma nova caixa de correio. Não precisa de ativar manualmente a auditoria de caixas de correio para novos utilizadores.
- Não precisa de gerir as ações da caixa de correio auditadas. Um conjunto predefinido de ações de caixa de correio é auditado por predefinição para cada tipo de início de sessão (Administração, Delegado e Proprietário).
- Quando a Microsoft lança uma nova ação de caixa de correio, a ação pode ser adicionada automaticamente à lista de ações da caixa de correio auditadas por predefinição (sujeitas ao utilizador com a licença adequada). Este resultado significa que não precisa de adicionar novas ações nas caixas de correio à medida que são lançadas.
- Tem uma política de auditoria de caixa de correio consistente em toda a sua organização porque está a auditar as mesmas ações para todas as caixas de correio.
Verificar se a auditoria de caixa de correio está ativada por padrão
Para verificar se a auditoria da caixa de correio ativada por predefinição está ativada para a sua organização, execute o seguinte comando no Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
O valor Falso indica que a auditoria da caixa de correio ativada por predefinição está ativada para a organização. A auditoria da caixa de correio ativada por predefinição na organização substitui as definições de auditoria da caixa de correio em caixas de correio individuais. Por exemplo, se a auditoria da caixa de correio estiver desativada para uma caixa de correio (a propriedade AuditEnabled na caixa de correio é Falso), as ações de caixa de correio predefinidas continuam a ser auditadas para a caixa de correio porque a auditoria da caixa de correio ativada por predefinição está ativada para a organização.
Para manter a auditoria da caixa de correio desativada para caixas de correio específicas, configure a auditoria de caixa de correio desativada para o proprietário da caixa de correio e outros utilizadores com acesso delegado à caixa de correio. Para obter mais informações, consulte a secção Ignorar registo de auditoria da caixa de correio mais à frente neste artigo.
Observação
Quando ativa a auditoria de caixa de correio por predefinição para a organização, a propriedade AuditEnabled das caixas de correio afetadas não muda de Falso para Verdadeiro. Por outras palavras, a auditoria da caixa de correio ativada por predefinição ignora a propriedade AuditEnabled nas caixas de correio.
Tipos de caixa de correio suportados
A tabela seguinte descreve os tipos de caixa de correio que a auditoria de caixa de correio suporta por predefinição:
| Tipo de caixa de correio | Auditoria suportada | Ativado por predefinição suportado |
|---|---|---|
| Caixas de correio do Grupo do Microsoft 365 | ✔ | ✔ |
| Caixas de correio de pastas públicas | ||
| Caixas de correio de recurso | ✔ | |
| Caixas de correio compartilhadas | ✔ | ✔ |
| Caixas de correio de usuário | ✔ | ✔ |
Tipos de início de sessão e ações de caixa de correio
Os tipos de início de sessão classificam quem é o responsável pelas ações auditadas na caixa de correio. A lista seguinte descreve os tipos de início de sessão que o registo de auditoria da caixa de correio utiliza:
- Proprietário: o proprietário da caixa de correio (a conta associada à caixa de correio).
-
Delegado:
- Um utilizador atribuiu a permissão SendAs, SendOnBehalf ou FullAccess a outra caixa de correio.
- Um administrador atribuiu a permissão FullAccess à caixa de correio de um utilizador.
-
Administração:
- A caixa de correio é pesquisada com uma das seguintes ferramentas de Deteção de Dados Eletrónicos da Microsoft:
- Deteção de Dados Eletrónicos no portal do Microsoft Purview.
- In-Place Deteção de Dados Eletrónicos no Exchange Online.
- A caixa de correio é acedida através da Editor MAPI Microsoft Exchange Server.
- A caixa de correio é acedida por uma conta que representa outro utilizador. Este acesso ocorre quando a função ApplicationImpersonation é atribuída a uma conta, como uma aplicação, que está agora a aceder ativamente aos dados. Para obter mais informações, veja Configurar a representação.
- A caixa de correio é pesquisada com uma das seguintes ferramentas de Deteção de Dados Eletrónicos da Microsoft:
Ações de caixa de correio para caixas de correio de utilizadores e caixas de correio partilhadas
A tabela seguinte descreve as ações da caixa de correio que pode utilizar no registo de auditoria de caixa de correio para caixas de correio de utilizador e caixas de correio partilhadas.
- Uma marca de marcar (✔) indica a ação da caixa de correio que pode registar para o tipo de início de sessão (nem todas as ações estão disponíveis para todos os tipos de início de sessão).
- Um asterisco ( * ) depois da marca de marcar indicar que a ação da caixa de correio é registada por predefinição para o tipo de início de sessão.
- Lembre-se de que um administrador com permissão de Acesso Total para uma caixa de correio é considerado delegado.
| Ação caixa de correio | Descrição | Administrador | Delegar | Proprietário |
|---|---|---|---|---|
| AddFolderPermissions | Embora este valor seja aceite como uma ação de caixa de correio, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Por outras palavras, não utilize este valor. | |||
| AplicarRegisto | Um item é identificado como um registo. | ✔* | ✔* | ✔* |
| AttachmentAccess | Foi acedido um anexo de mensagem. | ✔ | ✔ | ✔ |
| Copy | Uma mensagem foi copiada para outra pasta. | ✔ | ||
| Create | Foi criado um item na pasta Calendário, Contactos, Rascunho, Notas ou Tarefas na caixa de correio (por exemplo, é criado um novo pedido de reunião). Criar, enviar ou receber uma mensagem não é auditada. Além disso, a criação de uma pasta de caixa de correio não é auditada. | ✔* | ✔* | ✔ |
| PastaBind | Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio. Nota: os registos de auditoria das ações de enlace de pastas executadas pelos delegados são consolidados. É gerado um registo de auditoria para acesso a pastas individuais num período de 24 horas. |
✔ | ✔ | |
| HardDelete | Uma mensagem removida da pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
| MailboxLogin | O utilizador iniciou sessão na respetiva caixa de correio. | ✔ | ||
| MailItemsAccessed | Ocorre quando os dados de correio são acedidos por protocolos de correio e clientes. | ✔* | ✔* | ✔* |
| MessageBind |
Nota: este valor só está disponível para utilizadores sem licenças E5/A5/G5. Uma mensagem foi visualizada no painel de pré-visualização ou aberta por um administrador. |
✔ | ||
| ModifyFolderPermissions | Embora este valor seja aceite como uma ação de caixa de correio, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Por outras palavras, não utilize este valor. | |||
| Mover | Uma mensagem foi movida para outra pasta. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Uma mensagem foi eliminada e movida para a pasta Itens Eliminados. | ✔* | ✔* | ✔* |
| RecordDelete | Um item etiquetado como um registo foi eliminado de forma recuperável (movido para a pasta Itens Recuperáveis). Os itens etiquetados como registos não podem ser eliminados permanentemente (removidos da pasta Itens Recuperáveis). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Embora este valor seja aceite como uma ação de caixa de correio, já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Por outras palavras, não utilize este valor. | |||
| SearchQueryInitiated | Uma pessoa utiliza o Outlook (Windows, Mac, iOS, Android ou Outlook na Web) ou a aplicação Correio para Windows 10 para procurar itens numa caixa de correio. | ✔ | ||
| Send | O utilizador envia uma mensagem de e-mail, responde a uma mensagem de e-mail ou reencaminha uma mensagem de e-mail. | ✔* | ✔* | |
| SendAs | Uma mensagem foi enviada usando a permissão SendAs. Esta permissão permite que outro utilizador envie a mensagem como se fosse proveniente do proprietário da caixa de correio. | ✔* | ✔* | |
| SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. Esta permissão permite que outro utilizador envie a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou. | ✔* | ✔* | |
| SoftDelete | Uma mensagem foi eliminada ou eliminada permanentemente da pasta Itens Eliminados. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
| Atualizar | Uma mensagem ou qualquer uma das respetivas propriedades foi alterada. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Foi atribuída uma delegação de calendário a uma caixa de correio. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio. | ✔* | ✔* | |
| UpdateFolderPermissions | Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Foi adicionada, removida ou alterada uma regra de caixa de entrada. As regras da caixa de entrada processam mensagens na Caixa de Entrada do utilizador com base nas condições. As ações especificam o que fazer às mensagens que correspondem às condições da regra. Por exemplo, mova a mensagem para uma pasta especificada ou elimine a mensagem. | ✔* | ✔* | ✔* |
Importante
Se personalizar as ações da caixa de correio para auditoria antes de a auditoria da caixa de correio estar ativada por predefinição na sua organização, as definições de auditoria de caixa de correio personalizadas são preservadas na caixa de correio e não são substituídas pelas ações predefinidas da caixa de correio descritas nesta secção. Para reverter as ações da caixa de correio de auditoria para os respetivos valores predefinidos (o que pode fazer a qualquer momento), consulte a secção Restaurar as ações predefinidas da caixa de correio mais à frente neste artigo.
Ações de caixa de correio para caixas de correio do Grupo do Microsoft 365
Quando ativa a auditoria da caixa de correio, as caixas de correio do Grupo do Microsoft 365 começam a registar dados de auditoria da caixa de correio. No entanto, não pode personalizar os dados registados nem adicionar ou remover ações da caixa de correio para qualquer tipo de início de sessão.
A tabela seguinte descreve as ações da caixa de correio que as caixas de correio do Grupo do Microsoft 365 registam por predefinição para cada tipo de início de sessão.
Lembre-se de que um administrador com permissão de Acesso Total para uma caixa de correio do Grupo do Microsoft 365 é considerado delegado.
| Ação caixa de correio | Descrição | Administrador | Delegar | Proprietário |
|---|---|---|---|---|
| Create | Criação de um item de calendário. Criar, enviar ou receber uma mensagem não é auditada. | ✔* | ✔* | |
| HardDelete | Uma mensagem removida da pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Uma mensagem foi eliminada e movida para a pasta Itens Eliminados. | ✔* | ✔* | ✔* |
| SendAs | Uma mensagem enviada com a permissão SendAs. | ✔* | ✔* | |
| SendOnBehalf | Uma mensagem enviada com a permissão SendOnBehalf. | ✔* | ✔* | |
| SoftDelete | Uma mensagem foi eliminada ou eliminada permanentemente da pasta Itens Eliminados. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
| Atualizar | Uma mensagem ou qualquer uma das respetivas propriedades foi alterada. | ✔* | ✔* | ✔* |
Verifique se as ações predefinidas da caixa de correio são registadas para cada tipo de início de sessão
Quando ativa a auditoria da caixa de correio por predefinição, o sistema adiciona uma propriedade DefaultAuditSet a todas as caixas de correio. O valor desta propriedade mostra se as ações predefinidas da caixa de correio (geridas pela Microsoft) são auditadas na caixa de correio.
Para ver o valor das caixas de correio de utilizador ou caixas de correio partilhadas, substitua <MailboxIdentity> pelo nome, alias, endereço de e-mail ou nome principal de utilizador (nome de utilizador) da caixa de correio e execute o seguinte comando no Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Para ver o valor das caixas de correio de grupo do Microsoft 365, substitua <MailboxIdentity> pelo nome, alias ou endereço de e-mail da caixa de correio partilhada e execute o seguinte comando no Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
O valor Admin, Delegate, Owner significa:
- O sistema audita as ações predefinidas da caixa de correio para os três tipos de início de sessão. Este valor é o único valor que vê nas caixas de correio do Grupo do Microsoft 365.
- Um administrador não alterou as ações da caixa de correio auditada para qualquer tipo de início de sessão numa caixa de correio de utilizador ou numa caixa de correio partilhada.
Se um administrador alterar as ações da caixa de correio auditadas para um tipo de início de sessão (utilizando os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox ), o valor da propriedade é diferente.
Por exemplo, o valor Owner da propriedade DefaultAuditSet numa caixa de correio de utilizador ou caixa de correio partilhada significa:
- As ações de caixa de correio predefinidas para o proprietário da caixa de correio são auditadas.
- As ações de caixa de correio auditadas para os
Delegatetipos de início de sessão eAdminsão alteradas a partir das ações predefinidas.
Um valor em branco para a propriedade DefaultAuditSet significa que as ações da caixa de correio para os três tipos de início de sessão são alteradas na caixa de correio do utilizador ou numa caixa de correio partilhada.
Para obter mais informações, consulte a secção Alterar ou restaurar ações da caixa de correio registadas por predefinição neste artigo.
Apresentar as ações da caixa de correio com sessão iniciada nas caixas de correio
Para ver as ações da caixa de correio que estão atualmente registadas em caixas de correio de utilizadores ou caixas de correio partilhadas, substitua <MailboxIdentity> pelo nome, alias, endereço de e-mail ou nome principal de utilizador (nome de utilizador) da caixa de correio. Em seguida, execute um ou mais dos seguintes comandos no Exchange Online PowerShell.
Observação
Embora possa adicionar o -GroupMailbox comutador aos seguintes comandos Get-Mailbox para caixas de correio do Grupo do Microsoft 365, não confie nos valores devolvidos. As ações predefinidas e estáticas da caixa de correio auditadas para caixas de correio do Grupo do Microsoft 365 são descritas na secção Ações da Caixa de Correio para caixas de correio do Grupo do Microsoft 365 anterior neste artigo.
Ações de proprietário
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Delegar ações
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Administração ações
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Alterar ou restaurar ações da caixa de correio registadas por predefinição
Conforme explicado anteriormente, uma das principais vantagens de ter a auditoria da caixa de correio ativada por predefinição é que não precisa de gerir as ações da caixa de correio auditadas. A Microsoft gere as ações automaticamente e adiciona automaticamente novas ações de caixa de correio para serem auditadas por predefinição à medida que são lançadas.
No entanto, a sua organização poderá ser obrigada a auditar um conjunto diferente de ações de caixa de correio para caixas de correio de utilizadores e caixas de correio partilhadas. Os procedimentos nesta secção mostram-lhe como alterar as ações da caixa de correio auditadas para cada tipo de início de sessão e como reverter de volta às ações predefinidas geridas pela Microsoft.
Importante
Se utilizar os seguintes procedimentos para personalizar as ações da caixa de correio que estão registadas em caixas de correio de utilizadores ou caixas de correio partilhadas, as novas ações de caixa de correio predefinidas lançadas pela Microsoft não serão automaticamente auditadas nessas caixas de correio. Tem de adicionar manualmente quaisquer novas ações de caixa de correio à sua lista personalizada de ações.
Alterar as ações da caixa de correio para auditoria
Utilize os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox para alterar as ações da caixa de correio que a Microsoft audita para caixas de correio de utilizador e caixas de correio partilhadas. Não pode personalizar ações auditadas para caixas de correio de grupo do Microsoft 365.
Utilize dois métodos diferentes para especificar as ações da caixa de correio:
-
Substitua (substitua ) as ações existentes da caixa de correio com esta sintaxe:
action1,action2,...actionN. -
Adicione ou remova ações da caixa de correio sem afetar outros valores existentes com esta sintaxe:
@{Add="action1","action2",..."actionN"}ou@{Remove="action1","action2",..."actionN"}.
O exemplo seguinte altera as ações da caixa de correio de administrador para a caixa de correio denominada "Gabriela Laureano" ao substituir as ações predefinidas com SoftDelete e HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
O exemplo seguinte adiciona a ação do proprietário mailboxLogin à caixa de correio laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
O exemplo seguinte remove a ação de delegado MoveToDeletedItems para a caixa de correio Debate de Equipa.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Independentemente do método que utilizar, a personalização das ações de caixa de correio auditadas em caixas de correio de utilizadores ou caixas de correio partilhadas tem os seguintes resultados:
- A Microsoft já não gere as ações de caixa de correio auditadas para o tipo de início de sessão que personalizou.
- O tipo de início de sessão que personalizou já não aparece no valor da propriedade DefaultAuditSet da caixa de correio, conforme descrito anteriormente.
Restaurar as ações predefinidas da caixa de correio
Observação
Os procedimentos seguintes não se aplicam às caixas de correio do Grupo do Microsoft 365. Essas caixas de correio estão limitadas às ações predefinidas descritas aqui.
Se personalizar as ações da caixa de correio auditadas numa caixa de correio de utilizador ou numa caixa de correio partilhada, pode restaurar as ações de caixa de correio predefinidas para um ou todos os tipos de início de sessão com esta sintaxe:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Pode especificar vários valores DefaultAuditSet separados por vírgulas.
Este exemplo restaura as ações de caixa de correio auditadas predefinidas para todos os tipos de início de sessão na caixa de correio mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
Este exemplo restaura as ações de caixa de correio auditadas predefinidas para a Administração tipo de início de sessão na caixa chris@contoso.onmicrosoft.comde correio, mas mantém as ações de caixa de correio auditadas personalizadas para os tipos de início de sessão Delegado e Proprietário.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
Restaurar as ações de caixa de correio auditadas predefinidas para um tipo de início de sessão resulta nos seguintes resultados:
- A lista atual de ações de caixa de correio é substituída pelas ações de caixa de correio predefinidas para o tipo de início de sessão.
- Todas as novas ações de caixa de correio lançadas pela Microsoft são adicionadas automaticamente à lista de ações auditadas para o tipo de início de sessão.
- O valor da propriedade DefaultAuditSet da caixa de correio é atualizado para incluir o tipo de início de sessão restaurado.
Desativar a auditoria da caixa de correio ativada por predefinição para a sua organização
Para desativar a auditoria de caixa de correio ativada por predefinição para toda a organização, execute o seguinte comando no Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
Quando desativa a auditoria da caixa de correio ativada por predefinição, efetua as seguintes alterações:
- A auditoria da caixa de correio está desativada para a sua organização.
- A partir do momento em que desativa a auditoria de caixa de correio ativada por predefinição, nenhuma ação da caixa de correio é auditada, mesmo que a auditoria da caixa de correio esteja ativada numa caixa de correio (a propriedade AuditEnabled na caixa de correio é Verdadeiro).
- A auditoria da caixa de correio não está ativada para novas caixas de correio e a definição da propriedade AuditEnabled numa caixa de correio nova ou existente como Verdadeiro é ignorada.
- Todas as definições de associação de desativação de auditoria de caixa de correio (configuradas com o cmdlet Set-MailboxAuditBypassAssociation ) são ignoradas.
- Os registos de auditoria da caixa de correio existentes são mantidos até que o limite de idade do registo de auditoria do registo expire.
Ativar a auditoria da caixa de correio por predefinição
Para voltar a ativar a auditoria da caixa de correio para a sua organização, execute o seguinte comando no Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $false
Ignorar log de auditoria de caixa de correio
Atualmente, não é possível desabilitar a auditoria de caixas de correio para específicas caixas de correio quando a auditoria de caixas de correio estiver ativada por padrão na organização. Por exemplo, o sistema ignora a definição da propriedade Caixa de correio AuditEnabled como Falso.
No entanto, pode utilizar o cmdlet Set-MailboxAuditBypassAssociation no Exchange Online PowerShell para impedir que todas as ações da caixa de correio dos utilizadores especificados sejam registadas, independentemente do local onde as ações ocorrem. Por exemplo:
- As ações do proprietário da caixa de correio que os utilizadores ignorados executam não são registadas.
- As ações delegadas que os utilizadores ignorados executam nas caixas de correio de outros utilizadores (incluindo caixas de correio partilhadas) não são registadas.
- Administração ações que os utilizadores ignorados executam não são registadas.
Para ignorar o log de auditoria de caixa de correio de um usuário específico, substitua <MailboxIdentity> pelo nome, endereço de email, alias ou nome principal de usuário (nome de usuário) do usuário e execute o seguinte comando:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Para verificar se a auditoria é ignorada para o usuário especificado, execute o seguinte comando:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
O valor Verdadeiro indica que o registo de auditoria da caixa de correio é ignorado para o utilizador.
Mais informações
Por predefinição, os registos de auditoria da caixa de correio são retidos durante 90 dias antes de serem eliminados. Pode alterar o limite de idade dos registos de auditoria com o parâmetro AuditLogAgeLimit no cmdlet Set-Mailbox no Exchange Online PowerShell. No entanto, aumentar este valor não lhe permite procurar eventos com mais de 90 dias no registo de auditoria.
Se alterar a propriedade AuditLogAgeLimit de uma caixa de correio antes de ativar a auditoria da caixa de correio por predefinição para a organização, o limite de idade do registo de auditoria existente da caixa de correio permanece inalterado. Por outras palavras, a auditoria da caixa de correio por predefinição não afeta o limite de idade atual dos registos de auditoria da caixa de correio.
Para alterar o valor AuditLogAgeLimit numa caixa de correio do Grupo do Microsoft 365, inclua o
-GroupMailboxcomutador no comando Set-Mailbox .Os registos de auditoria da caixa de correio são armazenados numa subpasta (denominada Auditorias) na pasta Itens Recuperáveis na caixa de correio de cada utilizador. Tenha em atenção os seguintes aspetos sobre os registos de auditoria da caixa de correio e a pasta Itens Recuperáveis:
Os registos de auditoria da caixa de correio contam para a quota de armazenamento da pasta Itens Recuperáveis, que é 30 GB por predefinição (a quota de aviso é de 20 GB). A quota de armazenamento aumenta automaticamente para 100 GB (com uma quota de aviso de 90 GB) quando:
- Coloca um porão numa caixa de correio.
- Pode atribuir a caixa de correio a uma política de retenção no portal do Microsoft Purview.
Os registos de auditoria da caixa de correio também contam para o limite de pastas da pasta Itens Recuperáveis. Um máximo de 3 milhões de itens (registos de auditoria) podem ser armazenados na subpasta Auditorias.
Observação
É pouco provável que a auditoria da caixa de correio por predefinição afete a quota de armazenamento ou o limite de pastas da pasta Itens Recuperáveis.
Pode executar o seguinte comando no Exchange Online PowerShell para apresentar o tamanho e o número de itens na subpasta Auditorias na pasta Itens Recuperáveis:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderNão pode aceder diretamente a um registo de auditoria na pasta Itens Recuperáveis. Em vez disso, utilize o cmdlet Search-UnifiedAuditLog ou procure no registo de auditoria para localizar e ver os registos de auditoria da caixa de correio.
Se colocar uma caixa de correio em espera ou atribuí-la a uma política de retenção, os registos de auditoria continuam a ser mantidos durante o período definido pela propriedade AuditLogAgeLimit da caixa de correio (90 dias por predefinição). Para manter os registos de auditoria durante mais tempo para caixas de correio em espera, aumente o valor AuditLogAgeLimit da caixa de correio.
Num ambiente multigeográfico, a auditoria de caixas de correio entre áreas geográficas não é suportada. Por exemplo, se atribuir permissões de utilizador para aceder a uma caixa de correio partilhada numa localização geográfica diferente, as ações da caixa de correio que o utilizador efetua não serão registadas no registo de auditoria da caixa de correio partilhada. Os eventos de auditoria de administrador do Exchange estão disponíveis para todas as localizações através do Microsoft Purview e do cmdlet Search-UnifiedAuditLog .