Запуск отчета о доступе к почтовому ящику, не являющегося владельцем, в Exchange 2013
Область применения: Exchange Server 2013 г.
В отчете о доступе к почтовым ящикам, не являющимся владельцем, в Центре администрирования Exchange (EAC) перечислены почтовые ящики, к которым обращается кто-то другой пользователь, не являющийся владельцем почтового ящика. Когда к почтовому ящику обращается не владелец, Microsoft Exchange записывает в журнал сведения об этом действии. Журнал аудита почтового ящика хранится в виде сообщения электронной почты в скрытой папке в проверяемом почтовом ящике. Записи этого журнала отображаются в качестве результатов поиска; при этом отображается список почтовых ящиков, к которым обращались пользователи, не являющиеся их владельцами, указывается, кто и когда обращался к почтовому ящику, какие действия выполнялись и были ли они успешными. По умолчанию записи в журнале аудита почтовых ящиков хранятся в течение 90 дней.
При включении ведения журнала аудита почтового ящика Microsoft Exchange регистрирует определенные действия, выполняемые не владельцами, включая администраторов и пользователей, называемых делегированными пользователями, которым назначены разрешения для почтового ящика. Вы также можете ограничить поиск пользователями из вашей организации или людьми со стороны.
Что нужно знать перед началом работы
Предполагаемое время для завершения: 5 минут.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Ведение журнала аудита почтовых ящиков" в разделе Политика обмена сообщениями и разрешения на соответствие требованиям .
Сведения о сочетаниях клавиш, которые применяются к процедурам, описанным в этом разделе, см. в статье Сочетания клавиш для Центра администрирования Exchange в Exchange 2013.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.
Включение ведения журнала аудита почтовых ящиков
Ведение журнала аудита почтовых ящиков включается для всех почтовых ящиков, по которым следует составлять отчет о доступе пользователей, не являющихся владельцами. Если ведение журнала аудита почтового ящика не включено, вы не получите никаких результатов при запуске отчета.
Чтобы включить ведение журнала аудита почтового ящика для одного почтового ящика, выполните следующую команду оболочки.
Set-Mailbox <Identity> -AuditEnabled $true
Например, чтобы включить аудит почтовых ящиков для пользователя Николая Грачева, выполните следующую команду:
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Чтобы включить аудит для всех почтовых ящиков пользователей в организации, выполните следующие команды:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Как проверить, все ли получилось?
Выполните следующую команду, чтобы убедиться, что вы успешно настроили ведение журнала аудита почтового ящика.
Get-Mailbox | Format-List Name,AuditEnabled
Значение True свойства AuditEnabled проверяет, включено ли ведение журнала аудита.
Запуск отчета об обращениях к почтовым ящикам со стороны пользователей, не являющихся их владельцами
В EAC перейдите в раздел Аудит управления соответствием> требованиям.
Выберите команду Запустить отчет о доступе к почтовым ящикам со стороны пользователей, не являющихся владельцами.
По умолчанию Microsoft Exchange запускает отчет о доступе, не являющемся владельцем, к любым почтовым ящикам в организации за последние две недели. Почтовые ящики, перечисленные в результатах поиска, включены для ведения журнала аудита почтовых ящиков.
Чтобы просмотреть отчет о доступе к определенному почтовому ящику со стороны пользователей, не являющихся владельцами, выберите этот почтовый ящик со списка почтовых ящиков. Просмотрите результаты поиска в области сведений.
Совет
Нужно сузить поиск? Выберите начальную и конечные даты и конкретные почтовые ящики для поиска. Нажмите кнопку Поиск, чтобы снова запустить отчет.
Поиск отдельных типов доступа пользователей, не являющихся владельцами
Вы также можете указать тип доступа, не являющегося владельцем, который также называется типом входа для поиска. Доступны следующие варианты:
Все пользователи, не являющиеся владельцами Поиск обращений администраторов и делегированных пользователей из организации. Сюда также входят обращения пользователей за пределами организации.
Внешние пользователи Поиск обращений пользователей за пределами организации.
Администраторы и пользователи-делегаты Поиск обращений администраторов и делегатов из организации.
Администраторы Поиск обращений от администраторов организации.
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно выполнили отчет о доступе к почтовому ящику, не являющегося владельцем, проверка области результатов поиска. Почтовые ящики, для которых вы запустили отчет, отображаются в этой области. Если для определенного почтового ящика нет результатов, возможно, доступ со стороны не является владельцем или доступ не выполняется в течение указанного диапазона дат. Как описано ранее, убедитесь, что ведение журнала аудита включено для почтовых ящиков, к которым вы хотите найти доступ, не являющихся владельцами.
Что записывается в журнале аудита почтовых ящиков?
При запуске отчета о доступе к почтовому ящику, не являющегося владельцем, записи из журнала аудита почтовых ящиков отображаются в результатах поиска в EAC. Каждая запись в отчете содержит следующие сведения:
Кто и когда обращается к почтовому ящику
Действия, выполняемые не владельцем
Затронуто сообщение и его расположение папки
Успешно ли выполнено действие
В следующей таблице перечислены действия, выполняемые не владельцами, которые могут быть зарегистрированы в журнале аудита почтовых ящиков. В таблице значение Да указывает, что действие может быть зарегистрировано для этого типа входа, а значение Нет указывает, что действие не может быть зарегистрировано. Звездочка ( * ) указывает, что действие регистрируется по умолчанию, когда для почтового ящика включено ведение журнала аудита почтового ящика. Если вы хотите отслеживать действия, которые не регистрируются по умолчанию, необходимо включить ведение журнала этих действий с помощью PowerShell.
Примечание.
Администратор, которому назначено разрешение на полный доступ к почтовому ящику пользователя, считается делегированным пользователем.
| Действие | Описание | Администратор | Делегированный пользователь |
|---|---|---|---|
| Copy | Сообщение было скопировано в другую папку. | Да | Нет |
| Создание | В папке "Календарь", "Контакты", "Заметки" или "Задачи" почтового ящика создан элемент, например новое приглашение на собрание. Создание сообщений или папок не проверяется. | Да* | Да* |
| FolderBind | Была открыта папка почтового ящика. | Да* | Да |
| Удаление без возможности восстановления | Сообщение очищено из папки "Элементы с возможностью восстановления". | Да* | Да* |
| MessageBind | Сообщение открывалось или просматривалось в области просмотра. | Да | Нет |
| Перемещение | Сообщение было перемещено в другую папку. | Да* | Да |
| Перемещение в папку "Удаленные" | Сообщение было перемещено в папку "Удаленные". | Да* | Да |
| "Отправить как" | Сообщение было отправлено с помощью разрешения SendAs. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика. | Да* | Да* |
| Отправка от имени | Сообщение отправлено с помощью разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика. В сообщении будет указано, от чьего имени и кем было отправлено сообщение. | Да* | Да |
| Удаление с возможностью восстановления | Сообщение было удалено из папки "Удаленные". | Да* | Да* |
| Обновление | Сообщение было изменено. | Да* | Да* |
Примечание.
*Записывается по умолчанию, если для почтового ящика включена функция ведения журнала аудита.