Управление аудитом почтовых ящиков
Ведение журнала аудита почтовых ящиков включено по умолчанию во всех организациях. Это означает, что определенные действия, выполняемые владельцами почтовых ящиков, делегатами и администраторами, регистрируются автоматически. Соответствующие записи аудита почтового ящика доступны администраторам для поиска в журнале аудита почтовых ящиков.
Некоторые преимущества аудита почтовых ящиков по умолчанию:
- Аудит автоматически включается при создании нового почтового ящика. Вам не нужно вручную включать аудит почтовых ящиков для новых пользователей.
- Вам не нужно управлять действиями почтового ящика, которые проверяются. По умолчанию выполняется аудит предопределенного набора действий почтового ящика для каждого типа входа (администратор, делегат и владелец).
- Когда корпорация Майкрософт выпускает новое действие почтового ящика, действие может быть автоматически добавлено в список действий почтового ящика, которые проверяются по умолчанию (при условии, что пользователь имеет соответствующую лицензию). Этот результат означает, что вам не нужно добавлять новые действия в почтовые ящики по мере их освобождения.
- У вас есть согласованная политика аудита почтовых ящиков в организации (так как вы выполняете аудит одинаковых действий для всех почтовых ящиков).
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Проверка того, включен ли аудит почтовых ящиков по умолчанию
Чтобы убедиться, что аудит почтовых ящиков включен по умолчанию для вашей организации, выполните следующую команду в Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
Значение False указывает, что аудит почтового ящика по умолчанию включен для организации. Аудит почтовых ящиков по умолчанию в организации переопределяет параметры аудита почтовых ящиков для отдельных почтовых ящиков. Например, если аудит почтовых ящиков отключен для почтового ящика (свойство AuditEnabled в почтовом ящике имеет значение False), действия почтового ящика по умолчанию проверяются для почтового ящика, так как аудит почтовых ящиков по умолчанию включен для организации.
Чтобы отключить аудит почтовых ящиков для определенных почтовых ящиков, настройте обход аудита почтовых ящиков для владельца почтового ящика и других пользователей с делегированным доступом к почтовому ящику. Дополнительные сведения см. в разделе Обход журнала аудита почтовых ящиков далее в этой статье.
Примечание.
Если аудит почтового ящика по умолчанию включен для организации, свойство AuditEnabled для затронутых почтовых ящиков не будет изменено с False на True. Иными словами, аудит почтового ящика по умолчанию игнорирует свойство AuditEnabled в почтовых ящиках.
Поддерживаемые типы почтовых ящиков
Типы почтовых ящиков, поддерживаемые аудитом почтовых ящиков по умолчанию, описаны в следующей таблице:
| Тип почтового ящика | Поддержка аудита | Включено, по умолчанию поддерживается |
|---|---|---|
| почтовые ящики пользователей; | ✔ | ✔ |
| Общие почтовые ящики | ✔ | ✔ |
| Почтовые ящики групп Microsoft 365 | ✔ | ✔ |
| Почтовые ящики ресурсов | ✔ | |
| Почтовые ящики общедоступных папок |
Типы входа и действия почтовых ящиков
Типы входа классифицируют тех, кто отвечает за проверенные действия в почтовом ящике. В следующем списке описаны типы входа, используемые в журнале аудита почтовых ящиков.
- Владелец: владелец почтового ящика (учетная запись, связанная с почтовым ящиком).
-
Делегат:
- Пользователю, которому назначено разрешение SendAs, SendOnBehalf или FullAccess другому почтовому ящику.
- Администратор, которому назначено разрешение FullAccess для почтового ящика пользователя.
-
Администратор:
- Почтовый ящик выполняется с помощью одного из следующих средств обнаружения электронных данных Майкрософт:
- Обнаружение электронных данных на портале Microsoft Purview или на портале соответствия требованиям.
- In-Place обнаружения электронных данных в Exchange Online.
- Доступ к почтовому ящику осуществляется с помощью редактора MAPI сервера Microsoft Exchange Server.
- Доступ к почтовому ящику осуществляется учетной записью, олицетворяющей другого пользователя. Это происходит, когда роль ApplicationImpersonation назначается учетной записи, например приложению, которое в настоящее время активно обращается к данным. Дополнительные сведения см. в разделе Настройка олицетворения.
- Почтовый ящик выполняется с помощью одного из следующих средств обнаружения электронных данных Майкрософт:
Действия почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков
В следующей таблице описаны действия почтовых ящиков, доступные в журнале аудита почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков.
- Флажок (✔) указывает, что действие почтового ящика может быть зарегистрировано для типа входа (не все действия доступны для всех типов входа).
- Звездочка ( * ) после флажка указывает, что действие почтового ящика регистрируется по умолчанию для типа входа.
- Помните, что администратор с разрешением на полный доступ к почтовому ящику считается делегатом.
| Действие почтового ящика | Описание | Администратор | Делегат | Владелец |
|---|---|---|---|---|
| AddFolderPermissions | Хотя это значение принимается как действие почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно. Другими словами, не используйте это значение. | |||
| ApplyRecord | Элемент помечается как запись. | ✔* | ✔* | ✔* |
| Copy | Сообщение было скопировано в другую папку. | ✔ | ||
| Создание | Элемент был создан в папке "Календарь", "Контакты", "Черновик", "Заметки" или "Задачи" в почтовом ящике (например, создается новый запрос на собрание). Создание, отправка и получение сообщений не подлежат аудиту. Кроме того, при создании папки почтового ящика не выполняется аудит. | ✔* | ✔* | ✔ |
| FolderBind | Была открыта папка почтового ящика. Это действие также вносится в журнал, когда администратор или делегированный пользователь открывает почтовый ящик. Примечание. Записи аудита для действий привязки папок, выполняемых делегатами, объединяются. Одна запись аудита создается для доступа к отдельным папкам в течение 24-часового периода. |
✔ | ✔ | |
| HardDelete | Сообщение очищено из папки "Элементы с возможностью восстановления". | ✔* | ✔* | ✔* |
| MailboxLogin | Пользователь вошел в свой почтовый ящик. | ✔ | ||
| MailItemsAccessed | Происходит, когда почтовые данные получают доступ к почтовым протоколам и клиентам. | ✔* | ✔* | ✔* |
| MessageBind |
Примечание. Это значение доступно только для пользователей без лицензий E5,A5/G5. Сообщение было просмотрено в области предварительного просмотра или открыто администратором. |
✔ | ||
| ModifyFolderPermissions | Хотя это значение принимается как действие почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно. Другими словами, не используйте это значение. | |||
| Перемещение | Сообщение было перемещено в другую папку. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Сообщение было удалено и перемещено в папку "Удаленные". | ✔* | ✔* | ✔* |
| RecordDelete | Элемент, помеченный как запись, был обратимо удален (перемещен в папку "Элементы с возможностью восстановления"). Элементы, помеченные как записи, не могут быть окончательно удалены (очищаются из папки "Элементы с возможностью восстановления"). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Хотя это значение принимается как действие почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно. Другими словами, не используйте это значение. | |||
| SearchQueryInitiated | Пользователь использует Outlook (Windows, Mac, iOS, Android или Outlook в Интернете) или почтовое приложение для Windows 10 для поиска элементов в почтовом ящике. | ✔ | ||
| Send | Пользователь отправляет сообщение электронной почты, отвечает на сообщение электронной почты или пересылает сообщение электронной почты. | ✔* | ✔* | |
| SendAs | Сообщение было отправлено с использованием разрешения SendAs. Это разрешение позволяет другому пользователю отправлять сообщение так, как если бы оно поступило от владельца почтового ящика. | ✔* | ✔* | |
| SendOnBehalf | Сообщение было отправлено с использованием разрешения SendOnBehalf. Это разрешение позволяет другому пользователю отправлять сообщение от имени владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле. | ✔* | ✔* | |
| SoftDelete | Сообщение было удалено окончательно или из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы для восстановления". | ✔* | ✔* | ✔* |
| Обновление | Сообщение или любое из его свойств было изменено. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Делегирование календаря было назначено почтовому ящику. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика. | ✔* | ✔* | |
| UpdateFolderPermissions | Изменены разрешения для папки. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Правило папки "Входящие" было добавлено, удалено или изменено. Правила папки "Входящие" обрабатывают сообщения в папке "Входящие" пользователя на основе условий. Действия указывают, что следует делать с сообщениями, которые соответствуют условиям правила. Например, переместите сообщение в указанную папку или удалите сообщение. | ✔* | ✔* | ✔* |
Важно!
Если вы настроили действия почтового ящика для аудита до того, как аудит почтового ящика был включен по умолчанию в вашей организации, настраиваемые параметры аудита почтовых ящиков сохраняются в почтовом ящике и не перезаписываются действиями почтового ящика по умолчанию, как описано в этом разделе. Чтобы вернуть действия почтового ящика аудита к значениям по умолчанию (что можно сделать в любое время), см. раздел Восстановление действий почтового ящика по умолчанию далее в этой статье.
Действия почтовых ящиков для почтовых ящиков группы Microsoft 365
Аудит почтовых ящиков по умолчанию приводит к ведению журнала аудита почтовых ящиков в почтовых ящиках группы Microsoft 365, но вы не можете настроить то, что регистрируется в журнале (вы не можете добавлять или удалять действия почтового ящика, которые регистрируются для любого типа входа).
В следующей таблице описаны действия почтовых ящиков, которые по умолчанию регистрируются в почтовых ящиках группы Microsoft 365 для каждого типа входа.
Помните, что администратор с разрешением на полный доступ к почтовому ящику группы Microsoft 365 считается делегатом.
| Действие почтового ящика | Описание | Администратор | Делегат | Владелец |
|---|---|---|---|---|
| Создание | Создание элемента календаря. Создание, отправка и получение сообщений не подлежат аудиту. | ✔* | ✔* | |
| HardDelete | Сообщение очищено из папки "Элементы с возможностью восстановления". | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Сообщение было удалено и перемещено в папку "Удаленные". | ✔* | ✔* | ✔* |
| SendAs | Сообщение было отправлено с использованием разрешения SendAs. | ✔* | ✔* | |
| SendOnBehalf | Сообщение было отправлено с использованием разрешения SendOnBehalf. | ✔* | ✔* | |
| SoftDelete | Сообщение было удалено окончательно или из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы для восстановления". | ✔* | ✔* | ✔* |
| Обновление | Сообщение или любое из его свойств было изменено. | ✔* | ✔* | ✔* |
Убедитесь, что действия почтового ящика по умолчанию регистрируются для каждого типа входа.
Аудит почтовых ящиков по умолчанию добавляет новое свойство DefaultAuditSet во все почтовые ящики. Значение этого свойства указывает, выполняются ли в почтовом ящике действия почтового ящика по умолчанию (управляемые корпорацией Майкрософт).
Чтобы отобразить значение в почтовых ящиках пользователей или общих почтовых ящиках, замените <MailboxIdentity> именем, псевдонимом, адресом электронной почты или именем участника-пользователя (имя пользователя) почтового ящика и выполните следующую команду в Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Чтобы отобразить значение в почтовых ящиках группы Microsoft 365, замените <MailboxIdentity> именем, псевдонимом или адресом электронной почты общего почтового ящика и выполните следующую команду в Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
Значение Admin, Delegate, Owner указывает:
- Выполняется аудит действий почтового ящика по умолчанию для всех трех типов входа. Это значение является единственным значением, которое отображается в почтовых ящиках группы Microsoft 365.
- Администратор не изменил действия проверяемого почтового ящика для любого типа входа в почтовый ящик пользователя или общий почтовый ящик.
Если администратор когда-либо изменял действия почтового ящика, которые проверяются для типа входа (с помощью параметров AuditAdmin, AuditDelegate или AuditOwner в командлете Set-Mailbox ), значение свойства будет другим.
Например, значение Owner свойства DefaultAuditSet в почтовом ящике пользователя или общем почтовом ящике указывает:
- Выполняется аудит действий почтового ящика по умолчанию для владельца почтового ящика.
- Действия проверяемого почтового ящика
Delegateдля типов входа иAdminбыли изменены по сравнению с действиями по умолчанию.
Пустое значение свойства DefaultAuditSet указывает, что действия почтового ящика для всех трех типов входа были изменены в почтовом ящике пользователя или общем почтовом ящике.
Дополнительные сведения см. в разделе Изменение или восстановление действий почтового ящика, зарегистрированных по умолчанию этой статьи.
Отображение действий почтового ящика, которые регистрируются в почтовых ящиках
Чтобы просмотреть действия почтового ящика, которые в настоящее время регистрируются в почтовых ящиках пользователей или общих почтовых ящиках, замените <MailboxIdentity> именем, псевдонимом, адресом электронной почты или именем участника-пользователя (имя пользователя) почтового ящика и выполните одну или несколько из следующих команд в Exchange Online PowerShell.
Примечание.
Хотя вы можете добавить -GroupMailbox переключатель в следующие команды Get-Mailbox для почтовых ящиков группы Microsoft 365, не верьте возвращаемым значениям. Действия по умолчанию и статические почтовые ящики, которые проверяются для почтовых ящиков группы Microsoft 365, описаны в разделе Действия почтовых ящиков для почтовых ящиков группы Microsoft 365 ранее в этой статье.
Действия владельца
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Делегирование действий
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Действия администратора
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Изменение или восстановление действий почтового ящика, зарегистрированных по умолчанию
Как упоминалось ранее, одним из ключевых преимуществ аудита почтовых ящиков по умолчанию является то, что вам не нужно управлять действиями почтовых ящиков, которые проверяются. Корпорация Майкрософт управляет действиями за вас, и мы автоматически добавляем новые действия почтового ящика для аудита по умолчанию при их выпуске.
Однако вашей организации может потребоваться выполнить аудит другого набора действий почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков. В процедурах в этом разделе показано, как изменить действия почтового ящика, которые проверяются для каждого типа входа, и как вернуться к действиям по умолчанию, управляемым Корпорацией Майкрософт.
Важно!
Если вы используете следующие процедуры для настройки действий почтового ящика, которые вошли в почтовые ящики пользователей или общие почтовые ящики, все новые действия почтовых ящиков по умолчанию, выпущенные корпорацией Майкрософт, не будут автоматически проверяться в этих почтовых ящиках. Вам потребуется вручную добавить все новые действия почтового ящика в настраиваемый список действий.
Изменение действий почтового ящика для аудита
Параметры AuditAdmin, AuditDelegate или AuditOwner в командлете Set-Mailbox можно использовать для изменения действий почтовых ящиков, которые проверяются для почтовых ящиков пользователей и общих почтовых ящиков (действия аудита для почтовых ящиков группы Microsoft 365 нельзя настроить).
Для указания действий почтового ящика можно использовать два разных метода:
-
Замените (перезапись) существующих действий почтового ящика с помощью следующего синтаксиса:
action1,action2,...actionN. -
Добавление или удаление действий почтового ящика без влияния на другие существующие значения с помощью следующего синтаксиса:
@{Add="action1","action2",..."actionN"}или@{Remove="action1","action2",..."actionN"}.
В этом примере изменяются действия почтового ящика администратора для почтового ящика с именем "Gabriela Laureano", перезаписав действия по умолчанию с помощью SoftDelete и HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
В этом примере действие владельца MailboxLogin добавляется в почтовый ящик laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
В этом примере удаляется действие делегата MoveToDeletedItems для почтового ящика обсуждения группы.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Независимо от используемого метода настройка действий с проверенным почтовым ящиком в почтовых ящиках пользователей или общих почтовых ящиках дает следующие результаты:
- Для настраиваемого типа входа действия проверяемого почтового ящика больше не управляются корпорацией Майкрософт.
- Настроенный тип входа больше не отображается в значении свойства DefaultAuditSet для почтового ящика, как описано ранее.
Восстановление действий почтового ящика по умолчанию
Примечание.
Следующие процедуры не применяются к почтовым ящикам группы Microsoft 365 (они ограничены действиями по умолчанию, как описано здесь).
Если вы настроили действия почтового ящика, которые проверяются в почтовом ящике пользователя или общем почтовом ящике, можно восстановить действия почтового ящика по умолчанию для одного или всех типов входа с помощью следующего синтаксиса:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Можно указать несколько значений DefaultAuditSet , разделенных запятыми.
В этом примере восстанавливаются действия проверяемого почтового ящика по умолчанию для всех типов входа в почтовый ящик mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
В этом примере восстанавливаются действия проверяемого почтового ящика по умолчанию для типа входа администратора в почтовом ящике chris@contoso.onmicrosoft.com, но для типов входа делегата и владельца оставляются настраиваемые действия с проверенным почтовым ящиком.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
Восстановление действий почтового ящика по умолчанию для типа входа имеет следующие результаты:
- Текущий список действий почтового ящика заменяется действиями почтового ящика по умолчанию для типа входа.
- Все новые действия почтового ящика, выпущенные корпорацией Майкрософт, автоматически добавляются в список проверенных действий для типа входа.
- Значение свойства DefaultAuditSet для почтового ящика обновляется, чтобы включить восстановленный тип входа.
Отключение аудита почтовых ящиков по умолчанию для вашей организации
Вы можете отключить аудит почтовых ящиков по умолчанию для всей организации, выполнив следующую команду в Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
Отключение аудита почтовых ящиков по умолчанию приводит к следующим результатам:
- Аудит почтовых ящиков отключен для вашей организации.
- С момента отключения аудита почтовых ящиков по умолчанию никакие действия почтового ящика не проверяются, даже если аудит почтовых ящиков включен в почтовом ящике (свойство AuditEnabled в почтовом ящике имеет значение True).
- Аудит почтовых ящиков не включен для новых почтовых ящиков, и параметр свойства AuditEnabled для нового или существующего почтового ящика значение True игнорируется.
- Все параметры обхода связи аудита почтового ящика (настроенные с помощью командлета Set-MailboxAuditBypassAssociation ) игнорируются.
- Существующие записи аудита почтовых ящиков сохраняются до истечения срока действия журнала аудита для записи.
Включение аудита почтовых ящиков по умолчанию
Чтобы снова включить аудит почтовых ящиков в организации, выполните следующую команду в Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $false
Обход ведения журнала аудита почтовых ящиков
В настоящее время невозможно отключить аудит для определенных почтовых ящиков, если в организации включен аудит почтовых ящиков по умолчанию. Например, если для свойства почтового ящика AuditEnabled задано значение False , не учитывается.
Однако вы по-прежнему можете использовать командлет Set-MailboxAuditBypassAssociation в Exchange Online PowerShell, чтобы предотвратить ведение журнала всех действий с почтовыми ящиками указанных пользователей независимо от места их выполнения. Например:
- Действия владельца почтового ящика, выполняемые обходными пользователями, не регистрируются.
- Действия делегирования, выполняемые пропущенными пользователями в почтовых ящиках других пользователей (включая общие почтовые ящики), не регистрируются.
- Действия администратора, выполняемые пропущенными пользователями, не регистрируются.
Чтобы обойти ведение журнала аудита почтовых ящиков для определенного пользователя, замените значение <MailboxIdentity> на имя, электронный адрес, псевдоним или имя субъекта-пользователя (имя пользователя) и выполните следующую команду:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Чтобы убедиться, что для определенного пользователя включен обход аудита, выполните следующую команду:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
Значение True указывает, что ведение журнала аудита почтового ящика не выполняется для пользователя.
Дополнительная информация
По умолчанию записи журнала аудита почтовых ящиков хранятся в течение 90 дней, прежде чем они будут удалены. Ограничение на возраст для записей журнала аудита можно изменить с помощью параметра AuditLogAgeLimit в командлете Set-Mailbox в Exchange Online PowerShell. Однако увеличение этого значения не позволяет искать события старше 90 дней в журнале аудита.
При увеличении предельного возраста необходимо использовать командлет Search-MailboxAuditLog в Exchange Online PowerShell для поиска записей старше 90 дней в журнале аудита почтового ящика пользователя.
Если вы изменили свойство AuditLogAgeLimit для почтового ящика до того, как аудит почтового ящика был включен по умолчанию для организации, существующий предельный возраст журнала аудита почтового ящика не изменится. Иными словами, аудит почтового ящика по умолчанию не влияет на текущий возраст для записей аудита почтовых ящиков.
Чтобы изменить значение AuditLogAgeLimit в почтовом ящике группы Microsoft 365, необходимо включить
-GroupMailboxпараметр в команду Set-Mailbox .Записи журнала аудита почтового ящика хранятся во вложенной папке ( с именем Audits) в папке "Элементы с возможностью восстановления" в почтовом ящике каждого пользователя. Помните о записях аудита почтового ящика и папке "Элементы с возможностью восстановления".
Количество записей аудита почтового ящика соответствует квоте хранилища папки "Элементы с возможностью восстановления", которая по умолчанию составляет 30 ГБ (квота предупреждения — 20 ГБ). Квота хранилища автоматически увеличивается до 100 ГБ (с квотой предупреждений 90 ГБ), если:
- Удержание помещается в почтовый ящик.
- Почтовый ящик назначается политике хранения на портале Microsoft Purview или на портале соответствия требованиям.
Записи аудита почтового ящика также учитывают ограничение папки для папки "Элементы с возможностью восстановления". Во вложенной папке Audits можно хранить не более 3 миллионов элементов (записей аудита).
Примечание.
Маловероятно, что аудит почтового ящика по умолчанию повлияет на квоту хранилища или ограничение папки для папки "Элементы с возможностью восстановления".
В Exchange Online PowerShell можно выполнить следующую команду, чтобы отобразить размер и количество элементов во вложенной папке Audits в папке "Элементы с возможностью восстановления".
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderВы не можете напрямую получить доступ к записи журнала аудита в папке "Элементы с возможностью восстановления". Вместо этого используйте командлет Search-MailboxAuditLog или выполните поиск в журнале аудита, чтобы найти и просмотреть записи аудита почтовых ящиков.
Если почтовый ящик помещен на удержание или назначен политике хранения, записи журнала аудита по-прежнему сохраняются в течение срока, определенного свойством AuditLogAgeLimit почтового ящика (по умолчанию 90 дней). Чтобы дольше сохранять записи журнала аудита для почтовых ящиков на удержании, необходимо увеличить значение AuditLogAgeLimit почтового ящика.
В среде с несколькими регионами аудит почтовых ящиков между регионами не поддерживается. Например, если пользователю назначены разрешения на доступ к общему почтовому ящику в другом географическом расположении, действия, выполняемые этим пользователем, не регистрируются в журнале аудита общего почтового ящика. События аудита администратора Exchange доступны для всех расположений с помощью Microsoft Purview и командлета Search-UnifiedAuditLog .