Ведение журнала в Exchange Online

Важно!

Ознакомьтесь с Центр безопасности Microsoft 365 и Портал соответствия требованиям Microsoft Purview функций безопасности и соответствия требованиям Exchange. Они больше не доступны в новом Центре администрирования Exchange.

По возможности рекомендуется использовать хранение Microsoft 365 для архивации и управления данными на месте в соответствии с требованиями к соответствию. Однако в некоторых организациях может потребоваться использовать стороннее решение для получения копий электронной почты для хранения или других сценариев. Настройте ведение журнала для хранения данных за пределами Exchange.

Рекомендации по ведение журналам

Ведение журнала — это более старая функция Exchange, которая перемещает данные за пределы Microsoft 365, поэтому необходимо принять дополнительные меры предосторожности, чтобы защитить их, а также устранить любые дублирования, которые могут возникнуть в результате этого решения. Вы несете ответственность за мониторинг и отслеживание любых квитанций о недоставках в почтовый ящик журнала, которые могут возникнуть из-за внешних и зависимых служб.

Эти дополнительные административные издержки отсутствуют при использовании хранения Microsoft 365 и других решений соответствия требованиям Microsoft Purview , которые хранят данные в клиенте. Как более современное решение для обеспечения соответствия требованиям, они не ограничиваются только электронной почтой, но также могут управлять современным набором приложений для общения и повышения производительности, таких как Microsoft Teams.

Правила журнала

Ниже приведены ключевые аспекты правил журнала:

• Правило журнала область. Определяет, какие сообщения регистрируются агентом журнала.
• Получатель журнала. Указывает SMTP-адрес получателя, который требуется записывать в журнал.
• Почтовый ящик журнала. Указывает один или несколько почтовых ящиков, используемых для сбора отчетов журнала.

В Exchange Online существует ограничение на количество правил журнала, которые можно создать. Дополнительные сведения см. в разделе Ограничения правил для журналов, транспорта и папки "Входящие".

Область действия правил журнала

Можно использовать правила ведения журнала для регистрации в журнале только внутренних сообщений, только внешних сообщений или сообщений обоих типов. Эти области действия описываются в следующем списке.

• Только внутренние сообщения. Правила журнала с область настроены для записи внутренних сообщений, отправляемых между получателями в организации Exchange.
• Только внешние сообщения¹. Правила журнала с область задается для записи внешних сообщений, отправляемых получателям или полученных от отправителей за пределами организации Exchange.
• Все сообщения: правила журнала, в область задается запись всех сообщений, проходящих через организацию, независимо от происхождения или назначения. К ним относятся сообщения, которые, возможно, уже обработаны правилами журнала во внутренней и внешней областях.

¹ Если отправитель и получатели находятся в обслуживаемых доменах одной организации, сообщения не учитываются как внешние, даже если x-ms-exchange-crosstenant-authas заголовок в сообщениях имеет значение anonymous. Соответственно, эти сообщения не регистрируются как внешние.

Получатель журнала

Реализовать правила ведения журнала можно, задав SMTP-адрес получателя, которого необходимо регистрировать в журнале. Получатель может быть почтовым ящиком, группой рассылки, динамической группой рассылки, почтовым пользователем или контактом. На этих получателей могут распространяться требования законодательств, или эти получатели могут быть вовлечены в судебное разбирательство, и сообщения электронной почты или другие средства взаимодействия могут собираться в качестве доказательств. Указывая конкретных получателей или определенные группы получателей, можно легко настроить среду ведения журнала, которая будет соответствовать рабочим процессам организации, а также требованиям законов и нормативов. Выбор определенных получателей, которые должны регистрироваться в журнале, позволяет снизить издержки на хранение и другие затраты, связанные с хранением большого количества данных.

Все сообщения, отправляемые или принимаемые указанными в правиле получателями, для которых ведется журнал, регистрируются в журнале. Если в качестве получателя, для которого ведется журнал, указана группа рассылки, в журнале будут регистрироваться все сообщения, отправляемые и принимаемые участниками этой группы рассылки. Если получатель не будет указан, в журнале будут регистрироваться все сообщения, отправляемые получателям, соответствующим области действия правила журнала, и принимаемые от них.

Примечание.

SMTP-адрес, указанный для получателя журнала, не может содержать подстановочный знак. Например, SMTP-адрес не может быть указан как *@contoso.com.

Почтовый ящик журналов

Почтовый ящик журналов используется для сбора отчетов журнала. Настройка почтового ящика службы ведения журнала зависит от требований политик, законов и нормативов, применяемых в организации. Можно указать один почтовый ящик журнала, в который будут собираться сообщения для всех правил журнала, настроенных в организации, либо использовать разные почтовые ящики для каждого правила журнала или набора правил.

Вы не можете назначить почтовый ящик Exchange Online в качестве почтового ящика журнала. Возможна доставка отчетов журнала в локальную систему архивации или стороннюю службу архивации. Если вы используете гибридное развертывание Exchange с почтовыми ящиками, разделенными между локальными серверами и Exchange Online, вы можете назначить локальный почтовый ящик в качестве почтового ящика журнала для Exchange Online и локальных почтовых ящиков.

Почтовые ящики журнала содержат конфиденциальную информацию. Их необходимо обезопасить, поскольку в них собираются сообщения, отправляемые и принимаемые получателями в организации. Эти сообщения могут относиться к юридическим процессам или подпадать под нормативные требования. Различные законы требуют, чтобы сообщения были защищены от несанкционированного доступа до того, как они будут переданы в следственные органы. Рекомендуется создать политики, управляющие доступом к почтовым ящикам журналов в организации, чтобы доступ предоставлялся только тем лицам, у которых имеется прямая необходимость в нем. Проконсультируйтесь с юристами, чтобы убедиться, что система ведения журналов соответствует всем законам и нормативам, действующим для организации.

Важно!

Если вы настроили правило журнала для отправки отчетов журнала в соответствующий почтовый ящик, который не существует или недопустим, этот отчет будет находиться в очереди транспорта на тех серверах центра обработки данных, которые принадлежат корпорации Майкрософт. В этом случае сотрудники центра обработки данных Майкрософт свяжутся с вашей организацией и попросят устранить проблему, чтобы отчеты журнала успешно доставлялись в почтовый ящик журналов. Если вы не устраните проблему в течение двух дней с момента такого обращения, корпорация Майкрософт отключит проблемное правило журнала.

Альтернативный почтовый ящик журналов

Если почтовый ящик службы ведения журнала недоступен, можно запретить сбор недоставленных отчетов журнала в очередях почты на серверах почтовых ящиков. Вместо этого можно использовать альтернативный почтовый ящик журналов для сохранения таких отчетов журнала. Альтернативный почтовый ящик журнала получает отчеты журнала в виде вложений в отчетах о недоставке (также известных как недоставка или отказ сообщений), созданных, когда почтовый ящик журнала или сервер, на котором он находится, отказывается от доставки отчета журнала или становится недоступным. Как и в случае с почтовым ящиком журнала, вы не можете назначить Exchange Online почтовый ящик в качестве альтернативного почтового ящика журнала.

Когда почтовый ящик журнала снова станет доступен, вы можете использовать функцию Отправить еще раз в Outlook, чтобы отправлять отчеты журнала для доставки в почтовый ящик журнала.

При настройке альтернативного почтового ящика журналов все отчеты журнала, которые были отклонены или не могут быть доставлены в организации Exchange, доставляются в этот альтернативный почтовый ящик. Следовательно, важно обеспечить возможность приема альтернативным почтовым ящиком журналов и сервером почтовых ящиков, где он расположен, большого количества отчетов журнала.

Предостережение

Настроив альтернативный почтовый ящик журнала, необходимо отслеживать его для гарантии того, что он не станет недоступен одновременно с почтовыми ящиками журнала. Если альтернативный почтовый ящик журналов становится недоступным и отклоняет отчеты журнала, они удаляются без возможности восстановления. Из-за существующих ограничений на получение электронной почты для Exchange Online почтовых ящиков настройка альтернативного почтового ящика журнала в качестве Exchange Online почтового ящика не поддерживается.

Так как альтернативный почтовый ящик журнала собирает все отклоненные отчеты журнала для всей Exchange Online организации, необходимо убедиться, что это не нарушает никаких законов или нормативных актов, применимых к вашей организации. Если законы или нормы запрещают организации хранение отчетов журнала, отправленных на различные почтовые ящики журналов, в одном альтернативном почтовом ящике журналов, настройка такого альтернативного почтового ящика может оказаться невозможной. Этот вопрос необходимо обсудить с юристами и определить, можно ли использовать альтернативный почтовый ящик журналов.

При настройке альтернативного почтового ящика журналов необходимо использовать те же критерии, что и при создании почтового ящика журналов.

Важно!

Альтернативный почтовый ящик журналов должен рассматриваться как специальный выделенный почтовый ящик. Все сообщения, отправленные непосредственно на альтернативный почтовый ящик журналов не регистрируются в журнале.

Отчеты журнала

Отчет журнала — это сообщение, которое агент ведения журнала создает, когда письмо соответствует правилу журнала и должно быть отправлено в почтовый ящик журналов. Исходное сообщение, соответствующее правилу журнала, включается в отчет журнала без изменений в виде вложения. Текст отчета журнала включает такие сведения исходного письма, как электронный адрес отправителя, тема сообщения, код сообщения и электронный адрес получателя. Это также называется журналированием конвертов и является единственным методом, поддерживаемым Microsoft 365 и Office 365.

Отчеты журнала и защищенные IRM сообщения

При реализации функции ведения журнала необходимо учитывать отчеты журнала и сообщения, защищенные службой управления правами на доступ к данным (IRM). Сообщения, защищенные IRM, повлияют на возможности поиска и обнаружения в сторонних системах архивации, в которых нет встроенной поддержки RMS. В Microsoft 365 и Office 365 можно настроить расшифровку отчета журнала, чтобы сохранить в отчете журнала копию сообщения с открытым текстом. Сообщения и вложения расшифровываются, если шифрование исходит от организации. Ведение журнала не расшифровывает элементы, зашифрованные внешними организациями.

Чтобы включить расшифровку отчетов журнала для организации, выполните следующие действия.

1. На локальном компьютере, используя рабочую или учебную учетную запись с разрешениями глобального администратора или администратора соответствия требованиям в вашей организации, подключитесь к Exchange Online PowerShell.

2. Выполните командлет , Set-IRMConfiguration чтобы включить расшифровку отчетов журнала.

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Присвойте JournalReportDecryptionEnabled параметру значение true , чтобы включить расшифровку. Присвойте параметру значение , false чтобы отключить расшифровку.

Важно!

Расшифровка отчетов журнала в настоящее время не поддерживает явное использование шаблонов фирменной символики OME. Если вы используете правило потока обработки почты (также известное как правило транспорта) для применения шаблона фирменной символики OME, отчет журнала не будет содержать расшифрованную копию сообщения. В настоящее время расшифровка отчетов журнала работает только с шаблоном фирменной символики OME по умолчанию, который применяется без правила потока обработки почты Exchange Online. Иными словами, шаблон фирменной символики, примененный OME неявно к сообщениям.

Устранение неполадок

Если сообщение соответствует область нескольких правил журнала, будут активированы все соответствующие правила.

• Если правила сопоставления настроены с разными почтовыми ящиками журналов, отчет журнала будет отправлен в каждый почтовый ящик журнала.
• Если все правила сопоставления настроены с одним и тем же почтовым ящиком журнала, в почтовый ящик журнала отправляется только один отчет журнала.

Ведение журнала всегда определяет сообщения как внутренние, если адрес электронной почты в команде SMTP MAIL FROM находится в домене, настроенном как обслуживаемый домен в Exchange Online. К этим сообщениям относятся поддельные сообщения из внешних источников (сообщения, в которых значение заголовка X-MS-Exchange-Organization-AuthAs также является Анонимным). Таким образом, правила журнала, которые относятся к внешним сообщениям, не будут активироваться поддельными сообщениями с адресами электронной почты SMTP MAIL FROM в обслуживаемых доменах.

Сценарии дублирования отчетов журнала в гибридной среде Exchange

В гибридной среде Exchange следующие сценарии, как известно, приводят к дублированию отчетов журнала, и они учитываются по умолчанию:

1. Из облака в облако. В любых ситуациях, когда электронная почта является вилкой, приведет к дублированию журнала, например:

   • Скол транспорта (слишком много получателей в сообщении).
   • В одном сообщении существуют внутренние и внешние получатели: для спама или фишинга создаются две вилки (в одной из них существуют внутренние получатели, а вторая — для внешних получателей).
   • Любые будущие потребности в том случае, когда облако должно создать вилку сообщения.

2. Из локальной среды в облако: один раз, когда локальные журналы, и один раз, когда журналы в облаке. Это можно предотвратить, реализовав тестовый тест PreventDupJournaling в клиенте Exchange Online. Чтобы включить этот рейс, необходимо открыть запрос в службу поддержки майкрософт.

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online или Exchange Online Protection.

Если у вас возникли неполадки с почтовым ящиком JournalingReportDNRTo, изучите статью Правила транспорта и почтовых ящиков в Exchange Online не работает должным образом.