Поиск в журнале аудита на портале соответствия требованиям
Нужно узнать, просматривал ли пользователь определенный документ или удалял элемент из своего почтового ящика? В этом случае можно использовать средство поиска в журнале аудита на портале соответствия требованиям для поиска в едином журнале аудита, чтобы просматривать действия пользователей и администраторов в организации. Тысячи операций, выполняемых пользователями и администраторами в десятках служб и решений Microsoft 365, записываются и сохраняются в едином журнале аудита организации. Пользователи в организации могут применять средство поиска в журнале аудита для поиска, просмотра и экспорта (в CSV-файл) записей аудита для этих операций.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Службы Microsoft 365, поддерживающие аудит
Почему именно единый журнал аудита? Так как вы можете осуществлять в журнале аудита поиск действий, выполняемых в различных службах Microsoft 365. В следующей таблице перечислены службы и функции Microsoft 365, поддерживаемые единым журналом аудита.
| Служба или компонент Microsoft 365 | Типы записей |
|---|---|
| Azure Active Directory | AzureActiveDirectory, AzureActiveDirectoryAccountLogon, AzureActiveDirectoryStsLogon |
| Azure Information Protection | AipDiscover, AipSensitivityLabelAction, AipProtectionAction, AipFileDeleted, AipHeartBeat |
| Соответствие требованиям к обмену данными | ComplianceSupervisionExchange |
| Обозреватель содержимого | LabelContentExplorer |
| Соединители данных | ComplianceConnector |
| Защита от потери данных (DLP) | ComplianceDLPSharePoint, ComplianceDLPExchange, DLPEndpoint |
| Dynamics 365 | CRM |
| Обнаружение электронных данных (цен. категория "Стандартный" + "Премиум") | Discovery, AeD |
| Точное соответствие данных | MipExactDataMatch |
| Exchange Online | ExchangeAdmin, ExchangeItem, ExchangeItemAggregated |
| Forms | MicrosoftForms |
| Информационные барьеры | InformationBarrierPolicyApplication |
| Microsoft 365 Defender | AirInvestigation, AirManualInvestigation, AirAdminActionInvestigation, MS365DCustomDetection |
| Microsoft Defender для удостоверений (MDI) | MicrosoftDefenderForIdentityAudit |
| Microsoft Teams | MicrosoftTeams |
| MyAnalytics | MyAnalyticsSettings |
| OneDrive для бизнеса | OneDrive |
| Power Apps | PowerAppsApp, PowerAppsPlan |
| Power Automate | MicrosoftFlow |
| Power BI | PowerBIAudit |
| Карантин | Quarantine |
| метки Защита информации Microsoft Purview (MIP) | MIPLabel, MipAutoLabelExchangeItem, MipAutoLabelSharePointItem, MipAutoLabelSharePointPolicyLocation |
| Типы конфиденциальной информации | DlpSensitiveInformationType |
| Метки конфиденциальности | MIPLabel, SensitivityLabelAction, SensitivityLabeledFileAction, SensitivityLabelPolicyMatch |
| Портал зашифрованных сообщений | OMEPortal |
| SharePoint Online | SharePoint, SharePointFileOperation,SharePointSharingOperation, SharePointListOperation, SharePointCommentOperation |
| Stream | MicrosoftStream |
| Threat Intelligence | ThreatIntelligence, ThreatIntelligenceUrl, ThreatFinder, ThreatIntelligenceAtpContent |
| Viva Цели | Viva Цели |
| Рабочая аналитика | WorkplaceAnalytics |
| Yammer | Yammer |
| SystemSync | DataShareCreated, DataShareDeleted, GenerateCopyOfLakeData, DownloadCopyOfLakeData |
Дополнительные сведения об операциях, которые проверяются в каждой из служб, перечисленных в предыдущей таблице, см. в статье Действия журнала аудита .
В предыдущей таблице также определяется значение типа записи, используемое для поиска в журнале аудита действий в соответствующей службе с помощью командлета Search-UnifiedAuditLog в Exchange Online PowerShell или с помощью сценария PowerShell. У некоторых служб есть несколько типов записей для различных типов действий в одной службе. Более полный список типов записей аудита см. в статье Схема API действий управления Office 365.
Дополнительные сведения об использовании PowerShell для поиска в журнале аудита:
Перед поиском в журнале аудита
Прежде чем начать поиск в журнале аудита, обязательно просмотрите следующие элементы.
Поиск в журнале аудита включен по умолчанию для организаций, использующих Microsoft 365 и Office 365 корпоративный. Чтобы убедиться, что поиск по журналам аудита включен, выполните следующую команду в Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabledЗначение
Trueдля свойства UnifiedAuditLogIngestionEnabled указывает на то, что поиск в журнале аудита включен. Дополнительные сведения см. в статье Включение и отключение поиска в журнале аудита.Важно!
Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell для соответствия требованиям безопасности & , свойство UnifiedAuditLogIngestionEnabled всегда
Falseимеет значение , даже если включен поиск по журналам аудита.Для поиска в журнале аудита вам должна быть назначена роль "Только просмотр журналов аудита" или "Журналы аудита" в Exchange Online. По умолчанию эти роли назначаются группам ролей "Управление соответствием требованиям" и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange. Глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в группу ролей "Управление организацией" в Exchange Online. Чтобы предоставить пользователю возможность выполнять поиск в журнале аудита с минимальным уровнем привилегий, можно создать настраиваемую группу ролей в Exchange Online, добавить роль Просмотр журналов аудита или Журналы аудита, а затем добавить пользователя в новую группу ролей. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.
Если назначить пользователю роль "Только просмотр журналов аудита" или "Журналы аудита" на странице Разрешения на портале соответствия требованиям, этот пользователь не сможет выполнять поиск по журналу аудита. Разрешения должны быть назначены в Exchange Online. Это связано с тем, что для поиска в журнале аудита используется командлет Exchange Online.
Когда проверяемое действие выполняется пользователем или администратором, запись аудита создается и сохраняется в журнале аудита для вашей организации. Срок хранения записи аудита (и возможность ее поиска в журнале аудита) зависит от подписки Office 365 или Microsoft 365 корпоративный, и, в частности, от типа лицензии, присвоенной определенным пользователям.
Для пользователей, которым назначена лицензия Office 365 E5 или Microsoft 365 E5 (или для пользователей с лицензией на надстройки для соответствия требованиям Microsoft 365 E5 или обнаружения электронных данных и аудита Microsoft 365 E5) записи аудита для действий в Azure Active Directory, Exchange и SharePoint по умолчанию хранятся в течение одного года. Организации также могут создавать политики хранения журнала аудита, позволяющие хранить записи аудита для действий в других службах до одного года. Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.
Примечание.
Если ваша организация принимала участие в конфиденциальной программе по ознакомлению с предварительной версией записей аудита, хранящихся в течение одного года, срок хранения записей аудита, которые были созданы до даты выпуска общедоступной версии, не будет сброшен.
Для пользователей, которым назначены любые другие лицензии Office 365 или Microsoft 365 (не E5), записи аудита хранятся в течение 90 дней. Список подписок на Office 365 и Microsoft 365, поддерживающих единое ведение журнала аудита, см. в описании службы портала безопасности и соответствия требованиям.
Примечание.
Даже если аудит почтовых ящиков включен по умолчанию, вы можете заметить, что события аудита почтовых ящиков для некоторых пользователей не обнаруживаются в поиске по журналам аудита на портале соответствия требованиям или через API действий управления Office 365. Подробности см. в разделе Дополнительные сведения о журнале аудита почтовых ящиков.
Чтобы отключить поиск в журнале аудита для своей организации, запустите следующую команду в удаленном PowerShell в Exchange Online:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseЧтобы снова включить поиск в журнале аудита, можно выполнить в Exchange Online PowerShell следующую команду:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueДля получения дополнительной информации см. Отключение поиска в журнале аудита.
Базовый командлет, используемый для поиска в журнале аудита, является Exchange Online командлетом Search-UnifiedAuditLog. Это означает, что для поиска в журнале аудита можно использовать этот командлет вместо средства поиска на странице Аудит на портале соответствия требованиям. Этот командлет необходимо запускать в Exchange Online PowerShell. Дополнительные сведения см. в статье Search-UnifiedAuditLog.
Сведения об экспорте результатов поиска, возвращаемых командлетом Search-UnifiedAuditLog в CSV-файл, см. в разделе "Советы по экспорту и просмотру журнала аудита" статьи Экспорт, настройка и просмотр записей журнала аудита.
Если вы хотите программно загрузить данные из журнала аудита, мы рекомендуем использовать API-интерфейс управления активностью Office 365 вместо сценария PowerShell. API действий управления Office 365 — это веб-служба REST, используемая для разработки решений мониторинга операций, безопасности и соответствия требованиям в организации. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.
Azure Active Directory (Azure AD) в службе каталогов для Microsoft 365. Единый журнал аудита содержит сведения о действиях, выполненных с пользователями, группами, приложениями, доменами и каталогами в Центре администрирования Microsoft 365 или на портале управления Azure. Полный список событий Azure AD см. в статье События отчета аудита Azure Active Directory.
Корпорация Майкрософт не гарантирует определенное время после возникновения события для возврата соответствующей записи аудита в результатах поиска по журналу аудита. Для основных служб (таких как Exchange, SharePoint, OneDrive и Teams) доступность записей аудита обычно обеспечивается через 60–90 минут после возникновения события. Для других служб обеспечение доступности записей аудита может занимать больше времени. Однако некоторые неустранимые проблемы (например, сбой сервера) могут возникать за пределами службы аудита, что задерживает обеспечение доступности записей аудита. По этой причине корпорация Майкрософт не устанавливает определенное время.
Ведение журнала аудита для Power BI по умолчанию отключено. Для поиска операций Power BI в журнале аудита необходимо включить аудит на портале администрирования Power BI. Инструкции см. в разделе "Журналы аудита" статьи Портал администрирования Power BI.
Поиск в журнале аудита
Процесс поиска по журналу аудита в Microsoft 365 состоит из указанных ниже этапов.
- Шаг 1. Запуск поиска по журналу аудита
- Шаг 2. Просмотр результатов поиска
- шаг 3. Экспорт результатов поиска в файл
Шаг 1. Выполнение поиска по журналу аудита
Перейдите на https://compliance.microsoft.com и войдите.
Совет
Используйте закрытый сеанс браузера (а не обычный) для доступа к порталу соответствия требованиям, так как это предотвратит использование учетных данных, с которым вы вошли в систему. Чтобы открыть сеанс просмотра InPrivate в Microsoft Edge или частный сеанс просмотра в Google Chrome (он называется окном инкогнито), нажмите клавиши CTRL+SHIFT+N.
В левой области портала соответствия требованиям выберите Аудит.
Откроется страница Аудит.
Примечание.
Если отображается ссылка Начать запись действий пользователей и администраторов , выберите ее, чтобы включить аудит. Если ее нет, аудит для вашей организации включен.
На вкладке Поиск настройте указанные ниже условия поиска.
- Дата начала и Дата окончания. По умолчанию выбраны последние семь дней. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены в формате UTC. Максимальный диапазон дат, который можно указать, составляет 90 дней. Если выбранный диапазон превышает 90 дней, выводится сообщение об ошибке.
Совет
Если вы используете максимальный диапазон, равный 90 дням, выберите для параметра Дата начала текущее время. В противном случае появится сообщение об ошибке из-за того, что дата начала раньше даты окончания. Если вы включили аудит в течение последних 90 дней, начальная дата максимального диапазона не может быть раньше даты включения аудита.
Действия. Выберите раскрывающийся список, чтобы отобразить действия, которые можно найти. Активность пользователя и администратора организованы в группы связанных действий. Можно выбрать определенные действия или имя группы действий, чтобы выбрать все действия в группе. Вы также можете выбрать выбранное действие, чтобы очистить выделение. После запуска поиска будут показаны записи журнала аудита, относящиеся только к выбранным действиям. Если выбрать пункт Показать результаты по всем действиям, будут показаны результаты для всех действий, совершенных выбранным пользователем или группой пользователей.
В журнале аудита зарегистрировано более 100 действий пользователей и администраторов. Перейдите на вкладку Действия аудита в статье этой статьи, чтобы просмотреть описания каждого действия в каждой из разных служб.Пользователи. Выберите в этом поле, а затем выберите одного или нескольких пользователей для отображения результатов поиска. В списке результатов приводятся записи журнала аудита для выбранного действия, выполненного выбранными в этом поле пользователями. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.
Файл, папка или сайт. Введите полное имя файла или папки либо его часть, чтобы найти действие, связанное с этим файлом или папкой. Также можно указать URL-адрес файла или папки. Если вы используете URL-адрес, убедитесь, что введите полный путь к URL-адресу, или если вы вводите часть URL-адреса, не включайте никаких специальных символов или пробелов (однако использование подстановочного знака (*) поддерживается).
Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.
Совет
Если вы ищете все действия, связанные с сайтом, добавьте подстановочный знак (*) после URL-адреса, чтобы вернуть все записи для этого сайта; например,
"https://contoso-my.sharepoint.com/personal*".Если вы ищете все действия, связанные с файлом, добавьте подстановочный знак (*) перед именем файла, чтобы вернуть все записи для этого файла; например,
"*Customer_Profitability_Sample.csv".
Выберите Поиск , чтобы выполнить поиск с использованием условий поиска.
Результаты поиска загружаются, а через несколько секунд они отображаются на новой странице. По завершении поиска отображается число найденных результатов. Максимальное количество отображаемых событий: 50 000 с шагом 150. Если условия поиска соответствуют более 50 000 событий, будут возвращены только 50 000 несортированных событий.
Советы по поиску в журнале аудита
Вы можете выбрать определенные действия для поиска, выбрав имя действия. Вы также можете найти все действия в группе (например , действия с файлами и папками), выбрав имя группы. Если выбрано действие, его можно выбрать, чтобы отменить выделение. В поле поиска также можно просмотреть действия, содержащие введенное ключевое слово.
Чтобы отобразить записи из журнала аудита действий администратора Exchange, нужно выбрать в списке Действия пункт Показать результаты по всем действиям. В результатах поиска события из этого журнала аудита содержат имена командлетов (например, Set-Mailbox) в столбце Действие. Для получения дополнительных сведений перейдите на вкладку Действия аудита в этой статье, а затем выберите Действия администратора Exchange.
Для некоторых действий аудита нет соответствующих элементов в списке Действия. Если вам известно имя операции для этих действий, вы можете выполнить поиск всех действий, затем отфильтровать операции после экспорта результатов поиска в CSV-файл.
Нажмите кнопку Очистить , чтобы очистить текущие условия поиска. Диапазон дат сбрасывается в значение по умолчанию (последние семь дней). Вы также можете выбрать Очистить все, чтобы отобразить результаты для всех действий , чтобы отменить все выбранные действия.
Если найдено 50 000 результатов, можно предположить, что условиям поиска соответствует более 50 000 событий. Вы можете либо уточнить критерии поиска и повторно запустить поиск, чтобы получить меньше результатов, либо экспортировать 50 000 результатов поиска, выбрав Экспорт результатов>Скачать все результаты.
Шаг 2. Просмотр результатов поиска
Результаты поиска по журналу аудита выводятся в области Результаты на странице Поиск в журнале аудита. Как указано ранее, отображаются 50 000 последних событий с шагом 150. Чтобы отобразить следующие 150 событий, воспользуйтесь полосой прокрутки или нажмите клавиши SHIFT+END.
В результатах приводятся указанные ниже сведения о каждом событии, возвращенном поиском.
Дата: дата и время (в формате UTC), когда произошло событие.
IP-адрес. IP-адрес устройства, которое использовалось при регистрации действия в журнале. IP-адрес отображается в формате адреса IPv4 или IPv6.
Примечание.
Для некоторых служб значение, отображаемое в этом поле, может быть IP-адресом доверенного приложения (например, веб-приложений Office), обращающегося в службу от имени пользователя, а не IP-адресом устройства пользователя, выполнившего действие. Кроме того, для действий администратора (или действий, выполняемых системной учетной записью) при событиях, связанных с Azure Active Directory, IP-адрес не записывается в журнал, а в этом поле отображается значение
null.Пользователь. Пользователь (или учетная запись службы), который выполнил действие, вызвавшее событие.
Действие. Действие, выполненное пользователем. Это значение соответствует действиям, выбранным в раскрывающемся списке Действия. Для события из журнала аудита действий администратора Exchange значение в этом столбце представляет собой командлет Exchange.
Элемент. Объект, созданный или измененный в результате соответствующего действия. Это может быть, например, просмотренный или измененный файл либо обновленная учетная запись пользователя. Значения в этом столбце отображаются не для всех действий.
Сведения. Дополнительные сведения о действии. Аналогичным образом значения в этом столбце отображаются не для всех действий.
Совет
Выберите заголовок столбца в разделе Результаты , чтобы отсортировать результаты. Вы можете отсортировать результаты от A до Z или от Z до A. Выберите заголовок Date , чтобы отсортировать результаты от самых старых к новым или от самых новых к старым.
Просмотр сведений об определенном событии
Дополнительные сведения о событии можно просмотреть, выбрав запись события в списке результатов поиска. Откроется всплывающая страница со свойствами, содержащимися в записи о событии. Отображаемые свойства зависят от службы, в которой происходит событие.
Шаг 3. Экспорт результатов поиска в файл
Результаты поиска по журналу аудита можно экспортировать в файл данных с разделителями-запятыми (CSV) на компьютере. Этот файл можно открыть в Microsoft Excel и использовать такие возможности, как поиск, сортировка, фильтрация и разделение одного столбца (содержащего несколько свойств) на несколько.
Выполните поиск по журналу аудита, а затем изменяйте условия поиска, пока не получите нужные результаты.
На странице результатов поиска выберите Экспорт>Скачать все результаты.
Все записи из журнала аудита, соответствующие условиям поиска, экспортируются в CSV-файл. Необработанные данные из журнала аудита сохраняются в CSV-файл. Дополнительные сведения из записей журнала аудита включаются в столбец с именем AuditData в CSV-файле.
Важно!
В CSV-файл можно загрузить до 50 000 записей результатов одной операции поиска по журналу аудита. Если в CSV-файл загружено 50 000 записей, можно предположить, что условиям поиска соответствует более 50 000 событий. Чтобы обойти это ограничение и экспортировать больше записей, попробуйте указать диапазон дат, позволяющий сократить количество записей из журнала. Чтобы экспортировать больше 50 000 записей, вы можете выполнить поиск несколько раз со смежными диапазонами дат.
После завершения процесса экспорта в верхней части окна отображается сообщение с предложением открыть CSV-файл и сохранить его на локальном компьютере. Вы также можете получить доступ к CSV-файлу в папке "Загрузки".
Дополнительные сведения об экспорте и просмотре результатов поиска в журнале аудита
При загрузке всех результатов поиска CSV-файл содержит столбцы CreationDate, UserIds, Operations и AuditData. Столбец AuditData содержит дополнительные сведения о каждом событии (аналогично подробным сведениям, отображаемым на всплывающей странице при просмотре результатов поиска в Центре соответствия требованиям). Данные в этом столбце состоят из объекта JSON, содержащего несколько свойств записи журнала аудита. Каждая пара свойство:значение в объекте JSON отделяется запятыми. С помощью средства преобразования JSON в редакторе Power Query в Excel можно разделить столбец AuditData на несколько столбцов, чтобы для каждого свойства в объекте JSON использовался отдельный столбец. Это позволит выполнять сортировку и фильтрацию по одному или нескольким из этих свойств. Пошаговые инструкции по преобразованию объекта JSON с помощью редактора Power Query см. в статье Экспорт, настройка и просмотр записей журнала аудита.
После разделения столбца AuditData вы можете отфильтровать данные по столбцу Operations, чтобы увидеть подробную информацию для действий того или иного типа.
При загрузке всех результатов из поискового запроса, который содержит события из разных служб, столбец AuditData в файле CSV содержит разные свойства, в зависимости от того, в какой службе было выполнено действие. Например, записи из журналов аудита Exchange и Azure AD включают свойство с именем ResultStatus, которое указывает, было ли действие выполнено успешно. Это свойство отсутствует для событий в SharePoint. Аналогичным образом, события SharePoint имеют свойство, в котором указывается URL-адрес сайта для действий, связанных с файлами и папками. Чтобы избежать этого, рекомендуем использовать разные поисковые запросы для экспорта результатов из отдельных служб.
Описание многих свойств, перечисленных в столбце AuditData в файле CSV при загрузке всех результатов и службы, к которой относится каждый, см. в разделе Подробные свойства в журнале аудита.
Вопросы и ответы
Какие службы Microsoft 365 в настоящее время проходят аудит?
Аудиту подлежат самые популярные службы, такие как Exchange Online, SharePoint Online, OneDrive для бизнеса, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender для Office 365 и Power BI. Список служб, подлежащих аудиту, см. в начале этой статьи.
Какие действия проверяются службой аудита в Microsoft 365?
Список и описание действий, для которых проводится аудит, см. в статье Действия журнала аудита.
Сколько времени требуется, чтобы запись аудита стала доступной после выполнения события?
Большинство данных аудита доступны в течение 60–90 минут, но для отображения соответствующей записи журнала аудита в результатах поиска может потребоваться до 24 часов после возникновения события. См. раздел Перед поиском в журнале аудита этой статьи, где показано время, необходимое для доступности событий в разных службах.
Сколько хранятся записи аудита?
Как говорилось выше, записи аудита, связанные с действиями пользователей, которым назначена лицензия Office 365 E5 или Microsoft E5 (или пользователями с дополнительной лицензией на надстройку Microsoft 365 E5) хранятся в течение одного года. Для всех остальных подписок с поддержкой ведения единого журнала аудита записи аудита хранятся в течение 90 дней.
Можно ли получить доступ к данным аудита программным способом?
Да. Для получения журналов аудита программным способом используется API действий управления Office 365. Сведения о начале работы см. в статье Начало работы с API управления Office 365.
Существуют ли другие способы получения журналов аудита, кроме использования Центра безопасности и соответствия требованиям или API действий управления Office 365?
Да. Получить журналы аудита можно следующими способами:
- API действий управления Office 365
- Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview
- Командлет PowerShell Search-UnifiedAuditLog в Exchange Online.
Нужно ли включать аудит отдельно в каждой службе, для которой нужно создать журналы аудита?
В большинстве служб аудит включен по умолчанию после того, как вы изначально включили аудит для своей организации (как описано в разделе Перед поиском в журнале аудита в этой статье).
Поддерживает ли служба аудита дедупликацию записей?
Нет. Конвейер службы аудита работает практически в режиме реального времени и поэтому не поддерживает дедупликацию.
Где хранятся данные аудита?
В настоящее время существуют развертывания конвейеров аудита в регионах NA (Северная Америка), EMEA (Европа, Ближний Восток и Африка) и APAC (Азиатско-Тихоокеанский регион). Для клиентов, размещенных в этих регионах, данные аудита будут храниться в регионе. Для клиентов с поддержкой нескольких регионов данные аудита, собранные из всех регионов клиента, будут храниться только в домашнем регионе клиента. Однако вы можем направлять потоки данных между этими регионами для балансировки нагрузки и только при проблемах на активном сайте. При выполнении этих действий передаваемые данные зашифрованы.
Зашифрованы ли данные аудита?
Данные аудита хранятся в почтовых ящиках Exchange (неактивные данные) в том же регионе, из которого разворачивается единый конвейер аудита. Неактивные данные почтового ящика не шифруются Exchange. Однако при шифровании на уровне обслуживания шифруются все данные почтовых ящиков, так как серверы Exchange в центрах обработки данных корпорации Майкрософт зашифрованы с помощью BitLocker. Дополнительные сведения см. в статье Шифрование в Microsoft 365 для Skype для бизнеса, OneDrive для бизнеса, SharePoint Online и Exchange Online.
Данные почты при передаче всегда шифруются.