Partilhar via


OMEPortal

Criptografia de Mensagens do Microsoft Purview é um serviço que permite que as organizações enviem emails criptografados para quaisquer destinatários.

OMEPortal é um tipo de evento que é registrado no Office 365 Log de Auditoria Unificada. Ele representa qualquer atividade para acessar uma mensagem criptografada por um destinatário externo usando o portal de mensagens criptografadas. Esse evento é útil para determinar quando e quem acessou o portal.

  • Autenticar
  • abrir mensagem
  • exibir anexo
  • baixar anexo
  • mensagem de resposta/encaminhamento

Acessar o log de auditoria unificada Office 365

Os logs de auditoria podem ser acessados usando os métodos a seguir.

Ferramenta de pesquisa de log de auditoria

  1. Vá para o portal de conformidade do Microsoft Purview e entre.

  2. No painel esquerdo do portal de conformidade, selecione Auditoria.

    Observação

    Se você não vir Auditoria no painel esquerdo, consulte Funções e grupos de funções no Microsoft Defender para Office 365 e conformidade do Microsoft Purview para obter informações sobre permissões.

  3. Na guia Nova Pesquisa , defina Tipo de registro como OMEPortal e configure os outros parâmetros. Caixa de diálogo auditoria mostrando novas opções de pesquisa

Para obter mais informações sobre como exibir os logs de auditoria no portal de conformidade do Microsoft Purview, confira Atividades de log de auditoria.

Pesquisar log de auditoria unificada no PowerShell

Para acessar o Log de Auditoria Unificada usando o PowerShell, primeiro abra uma janela do PowerShell e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

cmdlet Search-UnifiedAuditLog

O cmdlet Search-UnifiedAuditLog é um comando do PowerShell que pode ser usado para pesquisar o Office 365 Log de Auditoria Unificada. O Log de Auditoria Unificada é um registro da atividade de usuário e administrador em Office 365 que pode ser usado para acompanhar eventos. Para obter práticas recomendadas sobre como usar esse cmdlet, consulte Melhores Práticas para usar o Search-UnifiedAuditLog.

Para extrair os eventos OMEPortal do Log de Auditoria Unificada usando o PowerShell, você pode usar o comando a seguir. Isso pesquisará o Log de Auditoria Unificada para o intervalo de datas especificado e retornará todos os eventos com o tipo de registro "OMEPortal". Os resultados serão exportados para um arquivo CSV no caminho especificado.

Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file> 

A seguir está um exemplo de evento OMEPortal do PowerShell, com mensagem de abertura na atividade do portal de mensagens criptografadas.


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:00:59 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : MessageAccess 

AuditData    : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 6 

ResultCount  : 7 

Identity     : a3500d45-6ab3-4971-a762-a01a846015d0 

IsValid      : True 

ObjectState  : Unchanged 

Use o comando a seguir para pesquisar especificamente o cenário em que o usuário exibe um anexo. Um exemplo do resultado do cmdlet do PowerShell também é mostrado abaixo.

Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

Veja a seguir um exemplo do evento AipSensitivityLabelAction do PowerShell, com o rótulo de confidencialidade atualizado.


RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:04:09 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : AttachmentReview 

AuditData    : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 4 

ResultCount  : 7 

Identity     : ef29c387-c81b-4812-9020-90b378d92cde 

IsValid      : True 

ObjectState  : Unchanged 

As outras operações que podem ser pesquisadas especificamente no OMEPortal incluem AttachmentDownload, AuthenticationRequest, MessageAccess e MessageForward.

Atributos do evento OMEPortal

A tabela a seguir contém informações relacionadas a eventos OMEPortal.

Evento Tipo Descrição
Atividade Cadeia de caracteres O tipo de atividade para o log de auditoria. Para OMEPortal, as operações podem incluir:
– AttachmentDownload
- AttachmentReview
-Authenticaterequest
- MessageAccess
- MessageForward
AttachmentName Cadeia de caracteres Parte do AuditData.
O nome do anexo na mensagem.
AuditData Cadeia de caracteres Os detalhes do log sobre a atividade OMEPortal.
AuthenticationMethod Cadeia de caracteres Parte do AuditData.
O tipo de autenticação usada para fazer logon no portal. Os valores são:
-OTP
-Google
-Yahoo
-Microsoft
AuthenticationStatus Duplo O status da autenticação.
0 = êxito
1= falha
CreationTime Data/hora A data e hora no Tempo Universal Coordenado (UTC) de quando o usuário realizou a atividade.
Id GUID Identificador exclusivo de um registro de auditoria.
MessageId Cadeia de caracteres A ID da mensagem.
Operação Cadeia de caracteres O mesmo valor da atividade.
OperationProperties Cadeia de caracteres Parte do AuditData.
Contém o assunto de email.
Destinatário Cadeia de caracteres Parte do AuditData.
O endereço de email do usuário que acessa a mensagem no portal de mensagens criptografadas.
RecordType Duplo O tipo de operação indicado pelo registro. 154 representa um registro OMEPortal.
ResultsStatus Cadeia de caracteres A operação foi bem-sucedida ou uma falha.
Remetente Cadeia de caracteres Parte do AuditData.
O endereço de email do usuário que enviou a mensagem criptografada.
Workload Cadeia de caracteres Troque para indicar email no portal de mensagens criptografadas.
UserId Cadeia de caracteres O UPN (Nome da Entidade de Usuário) do usuário em sua organização que enviou o email criptografado a ação que resultou no registro sendo registrado.