Gerenciar a auditoria de caixa de correio
O log de auditoria da caixa de correio é ativado por padrão em todas as organizações. Isso significa que determinadas ações executadas por proprietários de caixas de correio, delegados e administradores são registradas automaticamente. Os registros de auditoria de caixa de correio correspondentes estão disponíveis para os administradores pesquisarem no log de auditoria da caixa de correio.
Alguns benefícios da auditoria de caixa de correio por padrão são:
- A auditoria é ativada automaticamente quando você cria uma nova caixa de correio. Você não precisa habilitar manualmente a auditoria de caixa de correio para novos usuários.
- Você não precisa gerenciar as ações da caixa de correio auditadas. Um conjunto predefinido de ações de caixa de correio é auditado por padrão para cada tipo de entrada (Administração, Delegado e Proprietário).
- Quando a Microsoft lança uma nova ação de caixa de correio, a ação pode ser adicionada automaticamente à lista de ações de caixa de correio auditadas por padrão (sujeitas ao usuário ter a licença apropriada). Esse resultado significa que você não precisa adicionar novas ações em caixas de correio conforme elas são lançadas.
- Você tem uma política de auditoria de caixa de correio consistente em toda a sua organização (porque está auditando as mesmas ações para todas as caixas de correio).
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Verificar se a auditoria de caixa de correio está ativada por padrão
Para verificar se a auditoria de caixa de correio ativada por padrão está ativada para sua organização, execute o seguinte comando no Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
O valor False indica que a auditoria de caixa de correio ativada por padrão está ativada para a organização. A auditoria de caixa de correio ativada por padrão na organização substitui as configurações de auditoria da caixa de correio em caixas de correio individuais. Por exemplo, se a auditoria de caixa de correio for desativada para uma caixa de correio (a propriedade AuditEnabled na caixa de correio é False), as ações de caixa de correio padrão ainda serão auditadas para a caixa de correio, pois a auditoria da caixa de correio ativada por padrão está ativada para a organização.
Para manter a auditoria da caixa de correio desabilitada para caixas de correio específicas, configure o bypass de auditoria de caixa de correio para o proprietário da caixa de correio e outros usuários com acesso delegado à caixa de correio. Para obter mais informações, consulte a seção Log de auditoria da caixa de correio Ignorar mais tarde neste artigo.
Observação
Quando a auditoria de caixa de correio ativada por padrão é ativada para a organização, a propriedade AuditEnabled para caixas de correio afetadas não será alterada de False para True. Em outras palavras, a auditoria de caixa de correio por padrão ignora a propriedade AuditEnabled em caixas de correio.
Tipos de caixa de correio com suporte
Os tipos de caixa de correio com suporte por auditoria de caixa de correio por padrão são descritos na tabela a seguir:
| Tipo de caixa de correio | Com suporte |
|---|---|
| Caixas de correio de usuário | ✔ |
| Caixas de correio compartilhadas | ✔ |
| Caixas de correio do Grupo Microsoft 365 | ✔ |
| Caixas de correio de recurso | |
| Caixas de correio de pastas públicas |
Tipos de entrada e ações de caixa de correio
Tipos de entrada classificam quem é responsável pelas ações auditadas na caixa de correio. A lista a seguir descreve os tipos de entrada usados no log de auditoria da caixa de correio:
- Proprietário: o proprietário da caixa de correio (a conta associada à caixa de correio).
- Delegado:
- Um usuário que recebeu a permissão SendAs, SendOnBehalf ou FullAccess para outra caixa de correio.
- Um administrador que recebeu a permissão FullAccess para a caixa de correio de um usuário.
- Administração:
- A caixa de correio é pesquisada com uma das seguintes ferramentas de descoberta eletrônica da Microsoft:
- descoberta eletrônica no portal ou portal de conformidade do Microsoft Purview.
- In-Place descoberta eletrônica em Exchange Online.
- A caixa de correio é acessada usando o Microsoft Exchange Server Editor MAPI.
- A caixa de correio é acessada por uma conta que representa outro usuário. Isso ocorre quando a função ApplicationImpersonation é atribuída a uma conta, como um aplicativo, que agora está acessando ativamente os dados. Para obter mais informações, consulte Configurar representação.
- A caixa de correio é pesquisada com uma das seguintes ferramentas de descoberta eletrônica da Microsoft:
Ações de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas
A tabela a seguir descreve as ações da caixa de correio que estão disponíveis no log de auditoria da caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas.
- Uma marca de marcar (✔) indica que a ação da caixa de correio pode ser registrada para o tipo de entrada (nem todas as ações estão disponíveis para todos os tipos de entrada).
- Um asterisco ( * ) após a marca marcar indica que a ação da caixa de correio é registrada por padrão para o tipo de entrada.
- Lembre-se de que um administrador com permissão de Acesso Completo para uma caixa de correio é considerado um delegado.
| Ação caixa de correio | Descrição | Administrador | Delegar | Proprietário |
|---|---|---|---|---|
| AddFolderPermissions | Embora esse valor seja aceito como uma ação de caixa de correio, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Em outras palavras, não use esse valor. | |||
| ApplyRecord | Um item é rotulado como um registro. | ✔* | ✔* | ✔* |
| Copy | Uma mensagem foi copiada para outra pasta. | ✔ | ||
| Create | Um item foi criado na pasta Calendário, Contatos, Rascunho, Anotações ou Tarefas na caixa de correio (por exemplo, uma nova solicitação de reunião é criada). Criar, enviar ou receber uma mensagem não é auditada. Além disso, a criação de uma pasta de caixa de correio não é auditada. | ✔* | ✔* | ✔ |
| FolderBind | Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio. Observação: os registros de auditoria para ações de associação de pastas executadas pelos delegados são consolidados. Um registro de auditoria é gerado para acesso individual a pastas em um período de 24 horas. |
✔ | ✔ | |
| HardDelete | Uma mensagem foi removida da pasta de Itens Recuperáveis. | ✔* | ✔* | ✔* |
| MailboxLogin | O usuário entrou em sua caixa de correio. | ✔ | ||
| MailItemsAccessed | Observação: esse valor está disponível apenas para usuários com licenças E5/A5/G5. Para obter mais informações, consulte Configurar Auditoria do Microsoft Purview (Premium). Ocorre quando os dados de email são acessados por protocolos de email e clientes. |
✔* | ✔* | ✔* |
| MessageBind | Observação: esse valor está disponível apenas para usuários sem licenças E5/A5/G5. Uma mensagem foi exibida no painel de visualização ou aberta por um administrador. |
✔ | ||
| ModifiFolderPermissions | Embora esse valor seja aceito como uma ação de caixa de correio, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Em outras palavras, não use esse valor. | |||
| Mover | Uma mensagem foi movida para outra pasta. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Uma mensagem foi excluída e movida para a pasta Itens Excluídos. | ✔* | ✔* | ✔* |
| RecordDelete | Um item rotulado como um registro foi excluído suavemente (movido para a pasta Itens Recuperáveis). Itens rotulados como registros não podem ser excluídos permanentemente (limpos da pasta Itens Recuperáveis). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Embora esse valor seja aceito como uma ação de caixa de correio, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente. Em outras palavras, não use esse valor. | |||
| SearchQueryInitiated | Observação: esse valor está disponível apenas para usuários com licenças E5/A5/G5. Para obter mais informações, consulte Configurar Auditoria do Microsoft Purview (Premium). Uma pessoa usa o Outlook (Windows, Mac, iOS, Android ou Outlook na Web) ou o aplicativo Mail para Windows 10 pesquisar itens em uma caixa de correio. |
✔ | ||
| Send | Observação: esse valor está disponível apenas para usuários com licenças E5/A5/G5. Para obter mais informações, consulte Configurar Auditoria do Microsoft Purview (Premium). O usuário envia uma mensagem de email, responde a uma mensagem de email ou encaminha uma mensagem de email. |
✔* | ✔* | |
| SendAs | Uma mensagem foi enviada usando a permissão SendAs. Essa permissão permite que outro usuário envie a mensagem como se ela fosse do proprietário da caixa de correio. | ✔* | ✔* | |
| SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. Essa permissão permite que outro usuário envie a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem realmente a enviou. | ✔* | ✔* | |
| SoftDelete | Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
| Atualizar | Uma mensagem ou qualquer uma de suas propriedades foi alterada. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Uma delegação de calendário foi atribuída a uma caixa de correio. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio. | ✔* | ✔* | |
| UpdateFolderPermissions | Uma permissão da pasta foi alterada. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Uma regra de caixa de entrada foi adicionada, removida ou alterada. As regras de caixa de entrada processam mensagens na caixa de entrada do usuário com base nas condições. As ações especificam o que fazer com mensagens que correspondem às condições da regra. Por exemplo, mova a mensagem para uma pasta especificada ou exclua a mensagem. | ✔* | ✔* | ✔* |
Importante
Se você personalizou as ações da caixa de correio para auditar antes que a auditoria da caixa de correio ativada por padrão fosse ativada em sua organização, as configurações personalizadas de auditoria de caixa de correio serão preservadas na caixa de correio e não serão substituídas pelas ações padrão da caixa de correio, conforme descrito nesta seção. Para reverter as ações da caixa de correio de auditoria para seus valores padrão (o que você pode fazer a qualquer momento), consulte a seção Restaurar as ações de caixa de correio padrão mais adiante neste artigo.
Ações de caixa de correio para caixas de correio do Grupo Microsoft 365
A auditoria da caixa de correio por padrão traz o log de auditoria da caixa de correio para caixas de correio do Grupo microsoft 365, mas você não pode personalizar o que está sendo registrado (você não pode adicionar ou remover ações de caixa de correio registradas para qualquer tipo de entrada).
A tabela a seguir descreve as ações da caixa de correio registradas por padrão nas caixas de correio do Grupo Microsoft 365 para cada tipo de entrada.
Lembre-se de que um administrador com permissão de Acesso Completo para uma caixa de correio do Grupo Microsoft 365 é considerado um delegado.
| Ação caixa de correio | Descrição | Administrador | Delegar | Proprietário |
|---|---|---|---|---|
| Create | Criação de um item de calendário. Criar, enviar ou receber uma mensagem não é auditada. | ✔* | ✔* | |
| HardDelete | Uma mensagem foi removida da pasta de Itens Recuperáveis. | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Uma mensagem foi excluída e movida para a pasta Itens Excluídos. | ✔* | ✔* | ✔* |
| SendAs | Uma mensagem foi enviada usando a permissão SendAs. | ✔* | ✔* | |
| SendOnBehalf | Uma mensagem foi enviada usando a permissão SendOnBehalf. | ✔* | ✔* | |
| SoftDelete | Uma mensagem foi permanentemente excluída ou foi excluída da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis. | ✔* | ✔* | ✔* |
| Atualizar | Uma mensagem ou qualquer uma de suas propriedades foi alterada. | ✔* | ✔* | ✔* |
Verifique se ações de caixa de correio padrão estão sendo registradas para cada tipo de entrada
A auditoria da caixa de correio por padrão adiciona uma nova propriedade DefaultAuditSet a todas as caixas de correio. O valor dessa propriedade indica se as ações de caixa de correio padrão (gerenciadas pela Microsoft) estão sendo auditadas na caixa de correio.
Para exibir o valor em caixas de correio de usuário ou caixas de correio compartilhadas, substitua <MailboxIdentity> pelo nome, alias, endereço de email ou nome de entidade de usuário (nome de usuário) da caixa de correio e execute o seguinte comando no Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Para exibir o valor nas caixas de correio de grupo do Microsoft 365, substitua <MailboxIdentity> pelo nome, alias ou endereço de email da caixa de correio compartilhada e execute o seguinte comando no Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
O valor Admin, Delegate, Owner indica:
- As ações de caixa de correio padrão para todos os três tipos de entrada estão sendo auditadas. Esse valor é o único valor que você vê nas caixas de correio do Grupo microsoft 365.
- Um administrador não alterou as ações de caixa de correio auditadas para qualquer tipo de entrada em uma caixa de correio do usuário ou em uma caixa de correio compartilhada.
Se um administrador tiver alterado as ações da caixa de correio auditadas para um tipo de entrada (usando os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox ), o valor da propriedade será diferente.
Por exemplo, o valor Owner da propriedade DefaultAuditSet em uma caixa de correio de usuário ou caixa de correio compartilhada indica:
- As ações de caixa de correio padrão para o proprietário da caixa de correio estão sendo auditadas.
- As ações de caixa de correio auditadas para os
Delegatetipos de entrada eAdminforam alteradas das ações padrão.
Um valor em branco para a propriedade DefaultAuditSet indica que as ações da caixa de correio para todos os três tipos de entrada foram alteradas na caixa de correio do usuário ou em uma caixa de correio compartilhada.
Para obter mais informações, consulte a seção Alterar ou restaurar ações de caixa de correio registradas por padrão neste artigo.
Exibir as ações da caixa de correio que estão sendo registradas em caixas de correio
Para ver as ações da caixa de correio que estão sendo registradas atualmente em caixas de correio de usuário ou caixas de correio compartilhadas, substitua <MailboxIdentity> pelo nome, alias, endereço de email ou nome da entidade de usuário (nome de usuário) da caixa de correio e execute um ou mais dos seguintes comandos no Exchange Online PowerShell.
Observação
Embora você possa adicionar a opção -GroupMailbox aos seguintes comandos Get-Mailbox para caixas de correio do Grupo Do Microsoft 365, não acredite nos valores retornados. As ações de caixa de correio padrão e estáticas auditadas para caixas de correio do Grupo Microsoft 365 são descritas na seção Caixas de correio do Grupo Microsoft 365 no início deste artigo.
Ações do proprietário
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Ações de delegado
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Administração ações
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Alterar ou restaurar ações de caixa de correio registradas por padrão
Como explicado anteriormente, um dos principais benefícios de ter a auditoria da caixa de correio ativada por padrão é: você não precisa gerenciar as ações de caixas de correio auditadas. A Microsoft gerencia as ações para você e adicionamos automaticamente novas ações de caixa de correio a serem auditadas por padrão à medida que são lançadas.
No entanto, sua organização pode ser necessária para auditar um conjunto diferente de ações de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas. Os procedimentos nesta seção mostram como alterar as ações de caixa de correio auditadas para cada tipo de entrada e como reverter de volta às ações padrão gerenciadas pela Microsoft.
Importante
Se você usar os procedimentos a seguir para personalizar as ações de caixa de correio que estão registradas em caixas de correio de usuário ou caixas de correio compartilhadas, quaisquer novas ações de caixa de correio padrão lançadas pela Microsoft não serão auditadas automaticamente nessas caixas de correio. Você precisará adicionar manualmente quaisquer novas ações de caixa de correio à sua lista personalizada de ações.
Alterar as ações da caixa de correio para auditoria
Você pode usar os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox para alterar as ações de caixa de correio auditadas para caixas de correio de usuário e caixas de correio compartilhadas (as ações auditadas para caixas de correio do grupo do Microsoft 365 não podem ser personalizadas).
Você pode usar dois métodos diferentes para especificar as ações da caixa de correio:
- Substitua (substitua) as ações de caixa de correio existentes usando essa sintaxe:
action1,action2,...actionN. - Adicione ou remova ações de caixa de correio sem afetar outros valores existentes usando essa sintaxe:
@{Add="action1","action2",..."actionN"}ou@{Remove="action1","action2",..."actionN"}.
Este exemplo altera as ações de caixa de correio de administrador para a caixa de correio chamada "Gabriela Laureano" substituindo as ações padrão com SoftDelete e HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
Este exemplo adiciona a ação do proprietário do MailboxLogin à caixa de correio laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
Este exemplo remove a ação delegado MoveToDeletedItems para a caixa de correio Discussão de Equipe.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Independentemente do método usado, personalizar as ações da caixa de correio auditada em caixas de correio do usuário ou caixas de correio compartilhadas tem os seguintes resultados:
- Para o tipo de entrada personalizado, as ações de caixa de correio auditadas não são mais gerenciadas pela Microsoft.
- O tipo de entrada personalizado não é mais exibido no valor da propriedade DefaultAuditSet para a caixa de correio, conforme descrito anteriormente.
Restaurar as ações padrão da caixa de correio
Observação
Os procedimentos a seguir não se aplicam às caixas de correio do Grupo microsoft 365 (eles estão limitados às ações padrão, conforme descrito aqui).
Se você personalizou as ações de caixa de correio auditadas em uma caixa de correio do usuário ou em uma caixa de correio compartilhada, você poderá restaurar as ações de caixa de correio padrão para um ou todos os tipos de entrada usando essa sintaxe:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Você pode especificar vários valores DefaultAuditSet separados por vírgulas.
Este exemplo restaura as ações de caixa de correio auditadas padrão para todos os tipos de entrada na caixa de correio mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
Este exemplo restaura as ações de caixa de correio auditadas padrão para o tipo de entrada Administração na caixa de correio chris@contoso.onmicrosoft.com, mas deixa as ações de caixa de correio auditadas personalizadas para os tipos de entrada Delegado e Proprietário.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
Restaurar as ações de caixa de correio auditadas padrão para um tipo de entrada tem os seguintes resultados:
- A lista atual de ações de caixa de correio é substituída pelas ações de caixa de correio padrão para o tipo de entrada.
- Todas as novas ações de caixa de correio lançadas pela Microsoft são adicionadas automaticamente à lista de ações auditadas para o tipo de entrada.
- O valor da propriedade DefaultAuditSet para a caixa de correio é atualizado para incluir o tipo de entrada restaurado.
Desative a auditoria da caixa de correio por padrão para sua organização
Você pode desativar a auditoria de caixa de correio por padrão para toda a sua organização executando o seguinte comando no Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
Desativar a auditoria da caixa de correio por padrão tem os seguintes resultados:
- A auditoria da caixa de correio está desativada para sua organização.
- A partir do momento em que você desativa a auditoria da caixa de correio por padrão, nenhuma ação de caixa de correio é auditada, mesmo que a auditoria de caixa de correio esteja habilitada em uma caixa de correio (a propriedade AuditEnabled na caixa de correio é True).
- A auditoria de caixa de correio não está ativada para novas caixas de correio e a configuração da propriedade AuditEnabled em uma caixa de correio nova ou existente como True é ignorada.
- Todas as configurações de associação de bypass de auditoria de caixa de correio (configuradas usando o cmdlet Set-MailboxAuditBypassAssociation ) são ignoradas.
- Os registros de auditoria de caixa de correio existentes são mantidos até que o limite de idade do log de auditoria para o registro expire.
Ativar a auditoria de caixa de correio por padrão
Para ativar novamente a auditoria de caixa de correio para sua organização, execute o seguinte comando no Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $false
Ignorar log de auditoria de caixa de correio
Atualmente, não é possível desabilitar a auditoria de caixas de correio para específicas caixas de correio quando a auditoria de caixas de correio estiver ativada por padrão na organização. Por exemplo, a configuração da propriedade de caixa de correio AuditEnabled como False é ignorada.
No entanto, você ainda pode usar o cmdlet Set-MailboxAuditBypassAssociation em Exchange Online PowerShell para impedir que todas e todas as ações de caixa de correio dos usuários especificados sejam registradas, independentemente de onde as ações ocorram. Por exemplo:
- As ações do proprietário da caixa de correio executadas pelos usuários ignorados não são registradas.
- As ações de delegado executadas pelos usuários ignorados nas caixas de correio de outros usuários (incluindo caixas de correio compartilhadas) não são registradas.
- Administração ações executadas pelos usuários ignorados não são registradas.
Para ignorar o log de auditoria de caixa de correio de um usuário específico, substitua <MailboxIdentity> pelo nome, endereço de email, alias ou nome principal de usuário (nome de usuário) do usuário e execute o seguinte comando:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Para verificar se a auditoria é ignorada para o usuário especificado, execute o seguinte comando:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
O valor True indica que o log de auditoria da caixa de correio é ignorado para o usuário.
Mais informações
Por padrão, os registros de log de auditoria da caixa de correio são mantidos por 90 dias antes de serem excluídos. Você pode alterar o limite de idade para registros de log de auditoria usando o parâmetro AuditLogAgeLimit no cmdlet Set-Mailbox no Exchange Online PowerShell. No entanto, aumentar esse valor não permite que você pesquise eventos com mais de 90 dias no log de auditoria.
Se você aumentar o limite de idade, precisará usar o cmdlet Pesquisa-MailboxAuditLog no Exchange Online PowerShell para pesquisar o log de auditoria da caixa de correio do usuário em busca de registros com mais de 90 dias.
Se você tiver alterado a propriedade AuditLogAgeLimit para uma caixa de correio antes da auditoria da caixa de correio ativada por padrão, ativada para organização, o limite de idade de log de auditoria existente da caixa de correio não será alterado. Em outras palavras, a auditoria de caixa de correio por padrão não afeta o limite de idade atual para registros de auditoria de caixa de correio.
Para alterar o valor AuditLogAgeLimit em uma caixa de correio do Grupo Microsoft 365, você precisa incluir a opção
-GroupMailboxno comando Set-Mailbox .Os registros de log de auditoria da caixa de correio são armazenados em uma subpasta (chamada Auditorias) na pasta Itens Recuperáveis na caixa de correio de cada usuário. Lembre-se das seguintes coisas sobre os registros de auditoria da caixa de correio e a pasta Itens Recuperáveis:
Os registros de auditoria da caixa de correio contam com a cota de armazenamento da pasta Itens Recuperáveis, que é de 30 GB por padrão (a cota de aviso é de 20 GB). A cota de armazenamento é automaticamente aumentada para 100 GB (com uma cota de aviso de 90 GB) quando:
- Um porão é colocado em uma caixa de correio.
- A caixa de correio é atribuída a uma política de retenção no portal do Microsoft Purview ou no portal de conformidade.
Os registros de auditoria da caixa de correio também contam com o limite de pasta para a pasta Itens Recuperáveis. Um máximo de 3 milhões de itens (registros de auditoria) podem ser armazenados na subpasta Auditorias.
Observação
É improvável que a auditoria da caixa de correio por padrão impacte a cota de armazenamento ou o limite de pasta para a pasta Itens Recuperáveis.
Você pode executar o seguinte comando no Exchange Online PowerShell para exibir o tamanho e o número de itens na subpasta Auditorias na pasta Itens Recuperáveis:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderVocê não pode acessar diretamente um registro de log de auditoria na pasta Itens Recuperáveis; Em vez disso, você usa o cmdlet Pesquisa-MailboxAuditLog ou pesquisa o log de auditoria para localizar e exibir registros de auditoria da caixa de correio.
Se uma caixa de correio for colocada em espera ou atribuída a uma política de retenção, os registros de log de auditoria ainda serão mantidos durante a duração definida pela propriedade AuditLogAgeLimit da caixa de correio (90 dias por padrão). Para manter registros de log de auditoria por mais tempo para caixas de correio em espera, você precisa aumentar o valor auditLogAgeLimit da caixa de correio.
Em um ambiente multi-geográfico, não há suporte para auditoria entre caixas de correio. Por exemplo, se um usuário tiver permissões atribuídas para acessar uma caixa de correio compartilhada em um local geográfico diferente, as ações de caixa de correio executadas por esse usuário não serão registradas no log de auditoria da caixa de correio compartilhada. Os eventos de auditoria de administrador do Exchange estão disponíveis para todos os locais por meio do Microsoft Purview e do cmdlet Pesquisa-UnifiedAuditLog.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários