在 Exchange 2013 中运行非所有者邮箱访问报告
适用于:Exchange Server 2013
Exchange 管理中心的“非所有者邮箱访问报告” (EAC) 列出了由邮箱所有者以外的其他人访问的邮箱。 当非所有者访问邮箱时,Microsoft Exchange 将记录有关此操作的信息。 邮箱审核日志作为电子邮件存储在要审核的邮箱中的隐藏文件夹中。 此日志中的条目可作为搜索结果显示,其中列出了非所有者访问过的邮箱、访问邮箱的用户和时间、非所有者执行的操作以及操作是否成功。 默认情况下,邮箱审核日志中的条目将保留 90 天。
为邮箱启用邮箱审核日志记录时,Microsoft Exchange 会记录非所有者的特定操作,包括管理员和用户(称为委派用户),他们被分配有邮箱的权限。 还可以将搜索范围缩小到组织内部或外部的用户。
在开始之前,您需要知道什么?
估计完成时间:5 分钟。
您必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 邮件策略和遵从性权限主题中的"邮箱审核日志记录"条目。
有关适用于本主题中过程的键盘快捷方式的信息,请参阅 Exchange 2013 中 Exchange 管理中心的键盘快捷方式。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
启用邮箱审核日志记录
对于需要运行非所有者邮箱访问报告的每个邮箱,必须启用邮箱审核日志记录。 如果未启用邮箱审核日志记录,则运行报表时不会获得任何结果。
若要对单个邮箱启用邮箱审核日志记录,请运行以下命令行管理程序命令。
Set-Mailbox <Identity> -AuditEnabled $true
例如,若要为名为"Florence Flipo"的用户启用邮箱审核,则运行以下命令。
Set-Mailbox "Florence Flipo" -AuditEnabled $true
要对组织中所有用户邮箱启用邮箱审核,请运行以下命令:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
如何知道操作成功?
运行以下命令,验证是否已成功配置邮箱审核日志记录。
Get-Mailbox | Format-List Name,AuditEnabled
AuditEnabled 属性的 值True验证是否启用了审核日志记录。
生成非所有者邮箱访问报告
在 EAC 中,导航到 “合规性管理>审核”。
Click Run a non-owner mailbox access report.
默认情况下,Microsoft Exchange 将运行有关过去两周内非所有者对组织内的任何邮箱的访问情况的报告。 搜索结果中列出的邮箱已启用邮箱审核日志记录。
要查看特定邮箱的非所有者访问,请从邮箱列表中选择邮箱。 在详细信息窗格中查看搜索结果。
提示
Want to narrow the search results? Select the start date, end date, or both, and select specific mailboxes to search. 单击“搜索”再次运行此报告。
搜索特定类型的非所有者访问
您也可以指定要搜索的非所有者访问的类型(也称作“登录类型”)。 您可以选择以下选项:
All non-owners Search for access by administrators and delegated users inside your organization. Also includes access user outside of your organization.
外部用户 搜索组织外部的用户访问。
管理员和代理用户 搜索组织内的管理员和代理用户的访问。
管理员 搜索组织内的管理员的访问。
如何知道操作成功?
要验证是否已成功运行非所有者邮箱访问报告,请查看搜索结果窗格。 您对其行报告的邮箱将显示在窗格中。 如果特定邮箱没有结果,则可能是非所有者没有访问权限,或者非所有者访问未在指定的日期范围内发生。 如前所述,请务必验证是否为要搜索非所有者访问权限的邮箱启用了审核日志记录。
在邮箱审核日志中记录了哪些内容?
运行非所有者邮箱访问报告时,EAC 的搜索结果中将会显示邮箱审核日志中的条目。 每个报告条目都包含以下信息:
访问邮箱的用户和访问时间
非所有者执行的操作
受影响的邮件及其文件夹位置
是否成功执行了操作
下表列出了并非由所有者执行的操作,这些操作可通过邮箱审核日志进行记录。 在表中, 是 表示可为该登录类型记录操作, 否 表示操作无法记录。 星号 ( * ) 表示为邮箱启用邮箱审核日志记录时,将默认记录操作。 如果想要跟踪默认情况下不会记录的操作,则必须使用 PowerShell 启用对这些操作的记录。
注意
分配了用户邮箱“完全访问”权限的管理员被视为委派用户。
| 操作 | 说明 | 管理员 | 代理用户 |
|---|---|---|---|
| Copy | 已将某个邮件复制到另一个文件夹。 | 是 | 否 |
| 创建 | 在邮箱的日历、联系人、备注或任务文件夹中创建项目;例如,创建新的会议请求。 不会审核邮件或文件夹的创建。 | 是* | 是* |
| FolderBind | 已访问某个邮箱文件夹。 | 是* | 是 |
| 硬删除 | 已将某个邮件从“已恢复邮件”文件夹中清除。 | 是* | 是* |
| MessageBind | 在预览窗格查看邮件或打开邮件。 | 是 | 否 |
| 移动 | 已将某个邮件移至另一个文件夹。 | 是* | 是 |
| 移至"已删除邮件" | 已将某个邮件移至“已删除邮件”文件夹。 | 是* | 是 |
| 代理发送 | 已使用 SendAs 权限发送某个邮件。 这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。 | 是* | 是* |
| 代表发送 | 已使用 SendOnBehalf 权限发送某个邮件。 这表示另一个用户代表邮箱所有者发送了邮件。 邮件将向收件人说明发送此邮件时使用的身份及实际发送者。 | 是* | 是 |
| 软删除 | 已将某个邮件从“已删除邮件”文件夹中删除。 | 是* | 是* |
| 更新 | 更改了某个邮件。 | 是* | 是* |
注意
* 如果为邮箱启用了审核功能,则默认为已审核。