Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ведение журнала аудита почтовых ящиков включено по умолчанию во всех организациях. Этот параметр автоматически регистрирует определенные действия, выполняемые владельцами, делегатами и администраторами почтовых ящиков. Администраторы могут искать в журнале аудита почтовых ящиков соответствующие записи аудита почтового ящика.
Ниже приведены некоторые преимущества аудита почтовых ящиков по умолчанию.
- Аудит автоматически включается при создании нового почтового ящика. Вам не нужно вручную включать аудит почтовых ящиков для новых пользователей.
- Вам не нужно управлять действиями почтового ящика, которые проверяются. Стандартный набор действий почтового ящика по умолчанию проверяется для каждого типа входа (Администратор, делегат и владелец).
- Когда корпорация Майкрософт выпускает новое действие почтового ящика, это действие может быть автоматически добавлено в список действий почтового ящика, которые по умолчанию проверяются, при условии, что пользователь имеет соответствующую лицензию. Этот результат означает, что вам не нужно добавлять новые действия в почтовые ящики по мере их освобождения.
- У вас есть согласованная политика аудита почтовых ящиков в организации, так как вы выполняете аудит одинаковых действий для всех почтовых ящиков.
Проверка того, включен ли аудит почтовых ящиков по умолчанию
Чтобы убедиться, что аудит почтовых ящиков включен по умолчанию для вашей организации, выполните следующую команду в Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
Значение False указывает, что аудит почтового ящика по умолчанию включен для организации. Аудит почтовых ящиков по умолчанию в организации переопределяет, включен или отключен аудит для отдельных почтовых ящиков. Он не переопределяет параметры операций аудита на уровне почтового ящика.
Как работает аудит на уровне организации и почтового ящика:
- Если аудит на уровне организации имеет значение ON, а аудит на уровне почтового ящика — OFF, аудит на уровне организации переопределяет параметр почтового ящика и включает аудит. Применяются настроенные операции аудита почтового ящика.
- Если аудит на уровне организации включен, а аудит на уровне почтового ящика — Включено: аудит на уровне почтового ящика остается включенным и применяются настроенные операции аудита почтового ящика.
Например, если аудит почтового ящика по умолчанию включен для организации, свойство AuditEnabled , возвращаемое командлетом Get-Mailbox , всегда отображает значение True. Почтовый ящик выполняет аудит действий почтового ящика с помощью настроенных действий почтового ящика.
Чтобы отключить аудит почтовых ящиков для определенных почтовых ящиков, настройте обход аудита почтовых ящиков для владельца почтового ящика и других пользователей с делегированным доступом к почтовому ящику. Дополнительные сведения см. в разделе Обход журнала аудита почтовых ящиков далее в этой статье.
Поддерживаемые типы почтовых ящиков
В следующей таблице описаны типы почтовых ящиков, которые по умолчанию поддерживает аудит почтовых ящиков.
| Тип почтового ящика | Поддержка аудита | Включено, по умолчанию поддерживается |
|---|---|---|
| Почтовые ящики групп Microsoft 365 | ✔ | ✔ |
| Почтовые ящики общедоступных папок | ||
| Почтовые ящики ресурса | ||
| Общие почтовые ящики | ✔ | ✔ |
| почтовые ящики пользователей; | ✔ | ✔ |
Типы входа и действия почтовых ящиков
Типы входа классифицируют тех, кто отвечает за проверенные действия в почтовом ящике. В следующем списке описаны типы входа, которые используются для ведения журнала аудита почтовых ящиков.
- Владелец: владелец почтового ящика (учетная запись, связанная с почтовым ящиком).
-
Делегат:
- Пользователь назначил разрешение SendAs, SendOnBehalf или FullAccess другому почтовому ящику.
- Администратор назначил разрешение FullAccess почтовому ящику пользователя.
-
Администратор:
- Почтовый ящик выполняется с помощью одного из следующих средств обнаружения электронных данных Майкрософт:
- Обнаружение электронных данных на портале Microsoft Purview.
- In-Place обнаружение электронных данных в Exchange Online.
- Доступ к почтовому ящику осуществляется с помощью редактора MAPI Microsoft Exchange Server.
- Доступ к почтовому ящику осуществляется учетной записью, олицетворяющей другого пользователя. Этот доступ происходит, когда роль ApplicationImpersonation назначается учетной записи, например приложению, которое в настоящее время активно обращается к данным. Дополнительные сведения см. в разделе Настройка олицетворения.
- Почтовый ящик выполняется с помощью одного из следующих средств обнаружения электронных данных Майкрософт:
Действия почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков
В следующей таблице описаны действия почтовых ящиков, которые можно использовать в журнале аудита почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков.
- Метка проверка (✔) указывает на действие почтового ящика, которое можно выполнить для входа типа (не все действия доступны для всех типов входа).
- Звездочка ( * ) после отметки проверка указывает, что действие почтового ящика регистрируется по умолчанию для типа входа.
- Администратор с разрешением на полный доступ к почтовому ящику считается делегатом.
| Действие почтового ящика | Описание | Администратор | Делегат | Владелец |
|---|---|---|---|---|
| AddFolderPermissions | Хотя это значение принимается как действие почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно. Другими словами, не используйте это значение. | |||
| ApplyRecord | Элемент помечается как запись. | ✔* | ✔* | ✔* |
| AttachmentAccess | Доступ к вложению почтового сообщения осуществляется через API Graph Майкрософт. Эта операция включена по умолчанию и не может быть настроена с другими действиями почтового ящика. | ✔* | ✔* | ✔* |
| Copy | Сообщение было скопировано в другую папку. | ✔ | ||
| Создание | Элемент был создан в папке Calendar, Контакты, Черновик, Заметки или Задачи в почтовом ящике (например, создается новый запрос на собрание). Создание, отправка и получение сообщений не подлежат аудиту. Кроме того, при создании папки почтового ящика не выполняется аудит. | ✔* | ✔* | ✔ |
| FolderBind | Была открыта папка почтового ящика. Это действие также вносится в журнал, когда администратор или делегированный пользователь открывает почтовый ящик. Примечание. Записи аудита для действий привязки папок, выполняемых делегатами, объединяются. Одна запись аудита создается для доступа к отдельным папкам в течение 24-часового периода. |
✔ | ✔ | |
| HardDelete | Сообщение, очищенное из папки "Элементы с возможностью восстановления". | ✔* | ✔* | ✔* |
| MailboxLogin | Пользователь вошел в свой почтовый ящик. | ✔ | ||
| MailItemsAccessed | Происходит, когда почтовые данные получают доступ к почтовым протоколам и клиентам. | ✔* | ✔* | ✔* |
| MessageBind |
Примечание. Это значение доступно только для пользователей без лицензий E5,A5/G5. Сообщение было просмотрено в области предварительного просмотра или открыто администратором. |
✔ | ||
| ModifyFolderPermissions | Хотя это значение принимается как действие почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно. Другими словами, не используйте это значение. | |||
| Move | Сообщение было перемещено в другую папку. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Сообщение удалено и перемещено в папку Удаленные. | ✔* | ✔* | ✔* |
| RecordDelete | Элемент, помеченный как запись, был обратимо удален (перемещен в папку "Элементы с возможностью восстановления"). Элементы, помеченные как записи, не могут быть окончательно удалены (очищаются из папки "Элементы с возможностью восстановления"). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Хотя это значение принимается как действие почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно. Другими словами, не используйте это значение. | |||
| SearchQueryInitiated | Пользователь использует Outlook (Windows, Mac, iOS, Android или Outlook в Интернете) или почтовое приложение для Windows 10 для поиска элементов в почтовом ящике. | ✔ | ||
| Send | Пользователь отправляет сообщение электронной почты, отвечает на сообщение электронной почты или пересылает сообщение электронной почты. | ✔* | ✔* | |
| SendAs | Сообщение было отправлено с использованием разрешения SendAs. Это разрешение позволяет другому пользователю отправлять сообщение так, как если бы оно поступило от владельца почтового ящика. | ✔* | ✔* | |
| SendOnBehalf | Сообщение было отправлено с использованием разрешения SendOnBehalf. Это разрешение позволяет другому пользователю отправлять сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле. | ✔* | ✔* | |
| SoftDelete | Сообщение, окончательно удаленное или удаленное из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы для восстановления". | ✔* | ✔* | ✔* |
| Обновление | Сообщение или любое из его свойств изменено. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Делегирование календаря было назначено почтовому ящику. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика. | ✔* | ✔* | |
| UpdateFolderPermissions | Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Правило папки "Входящие" было добавлено, удалено или изменено. Правила папки "Входящие" обрабатывают сообщения в папке "Входящие" пользователя на основе условий. Действия указывают, что следует делать с сообщениями, которые соответствуют условиям правила. Например, переместите сообщение в указанную папку или удалите сообщение. | ✔* | ✔* | ✔* |
Важно!
Если вы настраиваете действия почтового ящика для аудита до включения аудита почтовых ящиков по умолчанию в вашей организации, настраиваемые параметры аудита почтовых ящиков сохраняются в почтовом ящике и не перезаписываются действиями почтового ящика по умолчанию, описанными в этом разделе. Сведения о том, как отменить изменения действия почтового ящика аудита значениям по умолчанию (что можно сделать в любое время), см. в разделе Восстановление действий почтового ящика по умолчанию далее в этой статье.
Действия почтовых ящиков для почтовых ящиков группы Microsoft 365
При включении аудита почтовых ящиков почтовые ящики группы Microsoft 365 начинают регистрировать данные аудита почтовых ящиков. Однако вы не можете настроить зарегистрированные данные, добавить или удалить действия почтового ящика для любого типа входа.
В следующей таблице описаны действия почтовых ящиков, которые по умолчанию регистрируются почтовыми ящиками группы Microsoft 365 для каждого типа входа.
Администратор с разрешением на полный доступ к почтовому ящику группы Microsoft 365 является делегатом.
| Действие почтового ящика | Описание | Администратор | Делегат | Владелец |
|---|---|---|---|---|
| Создание | Создание элемента календаря. Создание, отправка и получение сообщений не подлежат аудиту. | ✔* | ✔* | |
| HardDelete | Сообщение, очищенное из папки "Элементы с возможностью восстановления". | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Сообщение удалено и перемещено в папку Удаленные. | ✔* | ✔* | ✔* |
| SendAs | Сообщение, отправленное с помощью разрешения SendAs. | ✔* | ✔* | |
| SendOnBehalf | Сообщение, отправленное с помощью разрешения SendOnBehalf. | ✔* | ✔* | |
| SoftDelete | Сообщение, окончательно удаленное или удаленное из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы для восстановления". | ✔* | ✔* | ✔* |
| Обновление | Сообщение или любое из его свойств изменено. | ✔* | ✔* | ✔* |
Убедитесь, что действия почтового ящика по умолчанию регистрируются для каждого типа входа.
Значение свойства DefaultAuditSet показывает, выполняются ли действия почтового ящика по умолчанию (управляемые корпорацией Майкрософт) для почтового ящика.
Чтобы просмотреть значение почтовых ящиков пользователей или общих почтовых ящиков, замените <MailboxIdentity> именем, псевдонимом, адресом электронной почты или именем участника-пользователя (имя пользователя) почтового ящика и выполните следующую команду в Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Чтобы просмотреть значение для почтовых ящиков группы Microsoft 365, замените <MailboxIdentity> именем, псевдонимом или адресом электронной почты общего почтового ящика и выполните следующую команду в Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
Значение Admin, Delegate, Owner означает:
- Система выполняет аудит действий почтового ящика по умолчанию для всех трех типов входа. Это значение отображается в почтовых ящиках группы Microsoft 365.
- Администратор не изменял действия проверяемого почтового ящика для любого типа входа в почтовом ящике пользователя или общем почтовом ящике.
Если администратор изменяет действия почтового ящика, которые система проверяет для типа входа (с помощью параметров AuditAdmin, AuditDelegate или AuditOwner в командлете Set-Mailbox ), значение свойства будет другим.
Например, значение Owner свойства DefaultAuditSet в почтовом ящике пользователя или общем почтовом ящике означает:
- Система выполняет аудит действий почтового ящика по умолчанию для владельца почтового ящика.
- Действия проверяемого почтового ящика
Delegateдля типов входа иAdminизменяются по сравнению с действиями по умолчанию.
Пустое значение свойства DefaultAuditSet означает, что действия почтового ящика для всех трех типов входа изменяются в почтовом ящике пользователя или общем почтовом ящике.
Дополнительные сведения см. в разделе Изменение или восстановление действий почтового ящика, зарегистрированных по умолчанию этой статьи.
Отображение действий почтового ящика, зарегистрированных в почтовых ящиках
Чтобы просмотреть действия почтовых ящиков, которые в настоящее время зарегистрированы в почтовых ящиках пользователей или общих почтовых ящиках, замените <MailboxIdentity> именем, псевдонимом, адресом электронной почты или именем участника-пользователя (имя пользователя) почтового ящика. Затем выполните одну или несколько из следующих команд в Exchange Online PowerShell.
Примечание.
Хотя вы можете добавить -GroupMailbox переключатель в следующие команды Get-Mailbox для почтовых ящиков групп Microsoft 365, не доверяйте возвращаемым значениям. Действия по умолчанию и статические почтовые ящики, которые проверяются для почтовых ящиков группы Microsoft 365, описаны в разделе Действия почтовых ящиков для почтовых ящиков группы Microsoft 365 ранее в этой статье.
Действия владельца
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Делегирование действий
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
действия Администратор
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Изменение или восстановление действий почтового ящика, зарегистрированных по умолчанию
Одним из основных преимуществ использования действий почтового ящика по умолчанию является то, что вам не нужно управлять действиями почтового ящика, которые проверяются. Корпорация Майкрософт управляет действиями за вас и автоматически добавляет новые действия почтового ящика для аудита по умолчанию по мере их выпуска.
Однако вашей организации может потребоваться выполнить аудит другого набора действий почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков. В процедурах в этом разделе показано, как изменить действия почтового ящика, которые проверяются для каждого типа входа, и как отменить изменения обратно к действиям по умолчанию, управляемым Корпорацией Майкрософт.
Важно!
Если вы используете следующие процедуры для настройки действий почтового ящика, которые вошли в почтовые ящики пользователей или общие почтовые ящики, новые действия почтовых ящиков по умолчанию, выпущенные корпорацией Майкрософт, не будут автоматически проверяться в этих почтовых ящиках. Необходимо вручную добавить все новые действия почтового ящика в настраиваемый список.
Изменение действий почтового ящика для аудита
Чтобы изменить действия почтовых ящиков, выполняемые корпорацией Майкрософт для пользовательских почтовых ящиков и общих почтовых ящиков, используйте параметры AuditAdmin, AuditDelegate или AuditOwner в командлете Set-Mailbox . Вы не можете настроить действия аудита для почтовых ящиков групп Microsoft 365.
Используйте два разных метода, чтобы указать действия почтового ящика:
-
Замените (перезапись) существующих действий почтового ящика с помощью следующего синтаксиса:
action1,action2,...actionN. -
Добавление или удаление действий почтового ящика без влияния на другие существующие значения с помощью следующего синтаксиса:
@{Add="action1","action2",..."actionN"}или@{Remove="action1","action2",..."actionN"}.
В следующем примере изменяется действие почтового ящика администратора для почтового ящика с именем "Gabriela Laureano", перезаписав действия по умолчанию с помощью SoftDelete и HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
В следующем примере действие владельца MailboxLogin добавляется в почтовый ящик laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
В следующем примере удаляется действие делегата MoveToDeletedItems для почтового ящика обсуждения группы.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Независимо от используемого метода настройка действий с проверенным почтовым ящиком в почтовых ящиках пользователей или общих почтовых ящиках дает следующие результаты:
- Корпорация Майкрософт больше не управляет действиями проверяемого почтового ящика для настроенного типа входа.
- Настроенный тип входа больше не отображается в значении свойства DefaultAuditSet для почтового ящика, как описано ранее.
Восстановление действий почтового ящика по умолчанию
Примечание.
Следующие процедуры не применяются к почтовым ящикам группы Microsoft 365. Эти почтовые ящики ограничены действиями по умолчанию, описанными здесь.
Если вы настраиваете действия почтового ящика, которые система выполняет аудит в почтовом ящике пользователя или общем почтовом ящике, можно восстановить действия почтового ящика по умолчанию для одного или всех типов входа с помощью следующего синтаксиса:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Можно указать несколько значений DefaultAuditSet , разделенных запятыми.
В этом примере восстанавливаются действия проверяемого почтового ящика по умолчанию для всех типов входа в почтовый ящик mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
В этом примере восстанавливаются действия проверяемого почтового ящика по умолчанию для типа входа Администратор в почтовом ящике chris@contoso.onmicrosoft.com, но сохраняются настраиваемые действия для аудита почтовых ящиков для типов входа делегата и владельца.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
При восстановлении действий почтового ящика по умолчанию для типа входа вы получите следующие результаты:
- Текущий список действий почтового ящика заменяется действиями почтового ящика по умолчанию для типа входа.
- Все новые действия почтового ящика, выпускаемые корпорацией Майкрософт, автоматически добавляются в список действий аудита для типа входа.
- Значение свойства DefaultAuditSet для почтового ящика обновляется, чтобы включить восстановленный тип входа.
Отключение аудита почтовых ящиков по умолчанию для вашей организации
Чтобы отключить аудит почтовых ящиков по умолчанию для всей организации, выполните следующую команду в Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
При отключении аудита почтовых ящиков по умолчанию необходимо внести следующие изменения:
- Аудит почтовых ящиков отключен для вашей организации.
- С момента отключения аудита почтовых ящиков по умолчанию никакие действия почтового ящика не проверяются, даже если аудит почтовых ящиков включен в почтовом ящике (свойство AuditEnabled в почтовом ящике имеет значение True).
- Аудит почтовых ящиков не включен для новых почтовых ящиков, и параметр свойства AuditEnabled для нового или существующего почтового ящика значение True игнорируется.
- Все параметры обхода связи аудита почтового ящика (настроенные с помощью командлета Set-MailboxAuditBypassAssociation ) игнорируются.
- Существующие записи аудита почтовых ящиков сохраняются до истечения срока действия журнала аудита для записи.
Включение аудита почтовых ящиков по умолчанию
Чтобы снова включить аудит почтовых ящиков в организации, выполните следующую команду в Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $false
Обход ведения журнала аудита почтовых ящиков
В настоящее время невозможно отключить аудит для определенных почтовых ящиков, если в организации включен аудит почтовых ящиков по умолчанию. Например, система игнорирует присвоение свойству почтового ящика AuditEnabledзначения False.
Однако можно использовать командлет Set-MailboxAuditBypassAssociation в Exchange Online PowerShell, чтобы предотвратить ведение журнала всех действий с почтовыми ящиками указанных пользователей независимо от места их выполнения. Например, вы можете:
- Действия владельца почтового ящика, выполняемые обходными пользователями, не регистрируются.
- Делегирование действий, выполняемых обходными пользователями в почтовых ящиках других пользователей (включая общие почтовые ящики), не регистрируется.
- Администратор действия, выполняемые обходными пользователями, не регистрируются.
Чтобы обойти ведение журнала аудита почтовых ящиков для определенного пользователя, замените значение <MailboxIdentity> на имя, электронный адрес, псевдоним или имя субъекта-пользователя (имя пользователя) и выполните следующую команду:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Чтобы убедиться, что для определенного пользователя включен обход аудита, выполните следующую команду:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
Значение True указывает, что ведение журнала аудита почтового ящика не выполняется для пользователя.
Дополнительная информация
AuditLogAgeLimitбольше не применяется для управления хранением журналов аудита почтовых ящиков. Теперь хранение журналов аудита настраивается и управляется с помощью Microsoft Purview. Сведения о настройке и управлении хранением журналов аудита см. в документации по Microsoft Purview по политикам хранения журналов аудита.В среде с несколькими регионами аудит почтовых ящиков между регионами не поддерживается. Например, если пользователю назначены разрешения на доступ к общему почтовому ящику в другом географическом расположении, действия, выполняемые пользователем, не регистрируются в журнале аудита общего почтового ящика. События аудита администратора Exchange доступны для всех расположений с помощью Microsoft Purview и командлета Search-UnifiedAuditLog .