管理邮箱审核

默认情况下，邮箱审核日志记录在所有组织中都处于打开状态。此设置会自动记录邮箱所有者、代理人和管理员执行的某些作。管理员可以在邮箱审核日志中搜索相应的邮箱审核记录。

默认情况下启用邮箱审核的一些好处包括：

创建新邮箱时，会自动启用审核。无需为新用户手动启用邮箱审核。
无需管理审核的邮箱作。默认情况下，将针对每种登录类型审核一组预定义的邮箱作， (管理员、委托和所有者) 。
当Microsoft发布新的邮箱作时，该作可能会自动添加到默认审核的邮箱作列表中，但取决于具有相应许可证的用户。此结果意味着无需在邮箱发布后对邮箱添加新作。
你在整个组织中具有一致的邮箱审核策略，因为你要审核所有邮箱的相同作。

验证是否已默认启用邮箱审核。

若要验证是否为组织默认启用邮箱审核，请在 PowerShell Exchange Online 运行以下命令：

Get-OrganizationConfig | Format-List AuditDisabled

值 False 表示默认为组织启用邮箱审核。默认情况下，组织中启用的邮箱审核将覆盖在单个邮箱上启用还是禁用审核。它不会替代邮箱级别的审核作设置。

组织级别审核和邮箱级审核如何协同工作：

如果组织级审核为 ON 且邮箱级审核为 OFF：组织级审核将覆盖邮箱设置并启用审核。邮箱配置的审核作适用。
如果组织级审核为 ON 且邮箱级审核为 ON：邮箱级审核仍处于启用状态，并且邮箱配置的审核作适用。

例如，如果组织默认启用邮箱审核，则 cmdlet 返回的 Get-MailboxAuditEnabled 属性始终显示 True。邮箱使用邮箱配置的邮箱作审核邮箱活动。

若要为特定邮箱禁用邮箱审核，请为邮箱所有者和具有对邮箱的委派访问权限的其他用户配置邮箱 审核旁路 。有关详细信息，请参阅本文后面的绕过邮箱审核日志记录部分。

支持的邮箱类型

下表描述了邮箱审核默认支持的邮箱类型：

邮箱类型	支持审核	默认支持打开
Microsoft 365 个组邮箱	✔	✔
公用文件夹邮箱
资源邮箱
共享邮箱	✔	✔
用户邮箱	✔	✔

登录类型对谁负责邮箱的审核作进行分类。以下列表描述了邮箱审核日志记录使用的登录类型：

所有者：邮箱所有者 (与邮箱) 关联的帐户。
委托：
- 用户向另一个邮箱分配了 SendAs、SendOnBehalf 或 FullAccess 权限。
- 管理员为用户邮箱分配了 FullAccess 权限。
管理员：
- 使用以下Microsoft电子数据展示工具之一搜索邮箱：
  - Microsoft Purview 门户中的电子数据展示。
  - 在 Exchange Online 中 In-Place 电子数据展示。
- 使用 MAPI 编辑器Microsoft Exchange Server访问邮箱。
- 邮箱由模拟其他用户的帐户访问。将 ApplicationImpersonation 角色分配给帐户（例如应用程序）时，将发生此访问，该帐户现在正在主动访问数据。有关详细信息，请参阅配置模拟。

用户邮箱和共享邮箱的邮箱作

下表介绍了可在用户邮箱和共享邮箱的邮箱审核日志记录中使用的邮箱作。

检查标记 (✔) 指示可以为登录类型记录的邮箱作， (并非所有作都可用于) 的所有登录类型。
星号 ( ^* ) 后检查标记指示默认情况下为登录类型记录邮箱作。
对邮箱具有完全访问权限的管理员被视为代理人。

邮箱作	说明	管理员	委派用户	所有者
AddFolderPermissions	虽然此值被接受为邮箱作，但它已包含在 UpdateFolderPermissions 作中，并且不会单独审核。换句话说，请勿使用此值。
ApplyRecord	项目标记为记录。	✔^*	✔^*	✔^*
AttachmentAccess	邮件附件是通过Microsoft图形 API访问的。此作默认启用，无法与其他邮箱作一起配置。	✔^*	✔^*	✔^*
Copy	已将邮件复制到其他文件夹。	✔
创建	在邮箱的“Calendar”、“联系人”、“草稿”、“备注”或“任务”文件夹中创建了一个项目 (例如，) 创建新的会议请求。不会审核邮件的创建、发送或接收。此外，不会审核邮箱文件夹的创建。	✔^*	✔^*	✔
FolderBind	已访问某个邮箱文件夹。管理员或代理人打开邮箱时也会记录此作。注意：将合并委托执行的文件夹绑定作的审核记录。在 24 小时内为单个文件夹访问生成一条审核记录。	✔	✔
HardDelete	从“可恢复的项目”文件夹中清除的邮件。	✔^*	✔^*	✔^*
MailboxLogin	用户登录到其邮箱。			✔
MailItemsAccessed	当邮件协议和客户端访问邮件数据时发生。	✔^*	✔^*	✔^*
MessageBind	注意：此值仅适用于没有 E5/A5/G5 许可证的用户。在预览窗格中查看或由管理员打开的消息。	✔
ModifyFolderPermissions	虽然此值被接受为邮箱作，但它已包含在 UpdateFolderPermissions 作中，并且不会单独审核。换句话说，请勿使用此值。
移动	已将邮件移动到其他文件夹。	✔	✔	✔
MoveToDeletedItems	已删除邮件并将其移动到“已删除邮件”文件夹。	✔^*	✔^*	✔^*
RecordDelete	标记为记录的项目已软删除， (移动到“可恢复的项目”文件夹) 。无法永久删除标记为记录的项目 (从“可恢复的项目”文件夹中清除) 。	✔	✔	✔
RemoveFolderPermissions	虽然此值被接受为邮箱作，但它已包含在 UpdateFolderPermissions 作中，并且不会单独审核。换句话说，请勿使用此值。
SearchQueryInitiated	用户使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 网页版) 或邮件应用Windows 10搜索邮箱中的项目。			✔
Send	用户发送电子邮件、答复电子邮件或转发电子邮件。	✔^*		✔^*
SendAs	已使用“发送方式”权限发送邮件。此权限允许其他用户发送邮件，就像邮件来自邮箱所有者一样。	✔^*	✔^*
SendOnBehalf	已使用“代表发送”权限发送邮件。此权限允许其他用户代表邮箱所有者发送邮件。邮件将向收件人说明发送此邮件时使用的身份及实际发送者。	✔^*	✔^*
SoftDelete	永久删除或从“已删除邮件”文件夹中删除的邮件。软删除的项目将移动到“可恢复的项目”文件夹。	✔^*	✔^*	✔^*
更新	消息或其任何属性已更改。	✔^*	✔^*	✔^*
UpdateCalendarDelegation	日历委派已分配给邮箱。日历代理为同一组织内的其他人授予管理邮箱所有者日历的权限。	✔^*		✔^*
UpdateFolderPermissions	文件夹权限已更改。文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。	✔^*	✔^*	✔^*
UpdateInboxRules	已添加、删除或更改收件箱规则。收件箱规则根据条件处理用户收件箱中的邮件。作指定对与规则条件匹配的邮件执行的作。例如，将邮件移动到指定的文件夹或删除邮件。	✔^*	✔^*	✔^*

重要

如果在组织中默认启用邮箱审核之前自定义要审核的邮箱作，则自定义邮箱审核设置将保留在邮箱上，不会被本节中所述的默认邮箱作覆盖。若要将审核邮箱作还原为其默认值 () 随时可以执行，请参阅本文后面的还原默认邮箱作部分。

Microsoft 365 组邮箱的邮箱作

启用邮箱审核后，Microsoft 365 组邮箱将开始记录邮箱审核数据。但是，不能为任何登录类型自定义记录的数据或添加或删除邮箱作。

下表描述了每种登录类型默认Microsoft 365 组邮箱日志的邮箱作。

对 Microsoft 365 组邮箱具有完全访问权限的管理员是代理人。

邮箱作	说明	管理员	委派用户	所有者
创建	创建日历项。不会审核邮件的创建、发送或接收。	✔^*	✔^*
HardDelete	从“可恢复的项目”文件夹中清除的邮件。	✔^*	✔^*	✔^*
MoveToDeletedItems	已删除邮件并将其移动到“已删除邮件”文件夹。	✔^*	✔^*	✔^*
SendAs	使用 SendAs 权限发送的消息。	✔^*	✔^*
SendOnBehalf	使用 SendOnBehalf 权限发送的消息。	✔^*	✔^*
SoftDelete	永久删除或从“已删除邮件”文件夹中删除的邮件。软删除的项目将移动到“可恢复的项目”文件夹。	✔^*	✔^*	✔^*
更新	消息或其任何属性已更改。	✔^*	✔^*	✔^*

DefaultAuditSet 属性的值显示是否对邮箱Microsoft) 管理的默认邮箱作 (进行审核。

若要查看用户邮箱或共享邮箱的值，请将替换为<MailboxIdentity>邮箱的名称、别名、电子邮件地址或用户主体名称 (用户名) ，并在 Exchange Online PowerShell 中运行以下命令：

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

若要查看 Microsoft 365 组邮箱的值，请将替换为<MailboxIdentity>共享邮箱的名称、别名或电子邮件地址，并在 PowerShell Exchange Online 运行以下命令：

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

该值 Admin, Delegate, Owner 表示：

系统将审核所有三种登录类型的默认邮箱作。在 Microsoft 365 个组邮箱上可以看到此值。
管理员未更改用户邮箱或共享邮箱上任何登录类型的已审核邮箱作。

如果管理员使用 Set-Mailbox cmdlet) 上的 AuditAdmin、AuditDelegate 或 AuditOwner 参数更改系统审核登录类型 (邮箱作，则属性值会有所不同。

例如，用户邮箱或共享邮箱上的 DefaultAuditSet 属性的值Owner表示：

系统将审核邮箱所有者的默认邮箱作。
和 Admin 登录类型的审核邮箱作Delegate已从默认作中更改。

DefaultAuditSet 属性的空白值意味着针对用户邮箱或共享邮箱更改了所有三种登录类型的邮箱作。

有关详细信息，请参阅本文中的更改或还原默认记录的邮箱作部分。

显示登录邮箱的邮箱作

若要查看当前登录用户邮箱或共享邮箱的邮箱作，请将替换为 <MailboxIdentity> 邮箱的名称、别名、电子邮件地址或用户主体名称 (用户名) 。然后在 Exchange Online PowerShell 中运行以下命令的一个或多个。

注意

尽管可以将开关添加到 -GroupMailbox Microsoft 365 组邮箱的以下 Get-Mailbox 命令，但不要信任返回的值。本文前面的 Microsoft 365 组邮箱的邮箱作部分介绍了针对 Microsoft 365 组邮箱审核的默认和静态邮箱作。

所有者作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委托作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理员作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

更改或还原默认记录的邮箱作

使用默认邮箱作的主要好处之一是，无需管理已审核的邮箱作。 Microsoft管理作，并自动添加新的邮箱作在发布后默认进行审核。

但是，组织可能需要审核用户邮箱和共享邮箱的不同邮箱作集。本部分中的过程演示如何更改针对每种登录类型审核的邮箱作，以及如何还原回Microsoft管理的默认作。

重要

如果使用以下过程来自定义登录用户邮箱或共享邮箱的邮箱作，则不会对这些邮箱自动审核由 Microsoft 发布的新默认邮箱作。需要手动将任何新的邮箱作添加到自定义列表。

将邮箱作更改为审核

若要更改对用户邮箱和共享邮箱Microsoft审核的邮箱作，请在 Set-Mailbox cmdlet 上使用 AuditAdmin、AuditDelegate 或 AuditOwner 参数。无法为 Microsoft 365 个组邮箱自定义审核的作。

使用两种不同的方法来指定邮箱作：

使用以下语法替换 (覆盖) 现有邮箱作： action1,action2,...actionN。
使用以下语法添加或删除邮箱作，而不会影响其他现有值： @{Add="action1","action2",..."actionN"} 或 @{Remove="action1","action2",..."actionN"}。

以下示例通过使用 SoftDelete 和 HardDelete 覆盖默认作来更改名为“Gabriela Laureano”的邮箱的管理员邮箱作。

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

以下示例将 MailboxLogin 所有者作添加到邮箱 laura@contoso.onmicrosoft.com。

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

以下示例删除 Team 讨论邮箱的 MoveToDeletedItems 委托作。

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

无论使用哪种方法，自定义对用户邮箱或共享邮箱的审核邮箱作将产生以下结果：

Microsoft不再管理你自定义的登录类型的审核邮箱作。
自定义的登录类型不再显示在邮箱的 DefaultAuditSet 属性值中，如前所述。

还原默认邮箱作

注意

以下过程不适用于 Microsoft 365 组邮箱。这些邮箱仅限于此处所述的默认作。

如果自定义系统审核用户邮箱或共享邮箱的邮箱作，则可以使用以下语法为一种或所有登录类型还原默认邮箱作：

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

可以指定多个用逗号分隔的 DefaultAuditSet 值。

此示例还原邮箱上所有登录类型的默认审核邮箱 mark@contoso.onmicrosoft.com作。

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

本示例在邮箱上还原管理员登录类型的默认审核邮箱chris@contoso.onmicrosoft.com作，但保留“委托”和“所有者”登录类型的自定义审核邮箱作。

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

还原登录类型的默认审核邮箱作时，将得到以下结果：

邮箱作的当前列表将替换为登录类型的默认邮箱作。
Microsoft版本的任何新邮箱作都会自动添加到登录类型的已审核作列表中。
邮箱的 DefaultAuditSet 属性值将更新为包含还原的登录类型。

默认情况下，为组织关闭邮箱审核

若要默认关闭整个组织的邮箱审核，请在 Exchange Online PowerShell 中运行以下命令：

Set-OrganizationConfig -AuditDisabled $true

默认情况下，关闭邮箱审核时，将进行以下更改：

组织的邮箱审核已关闭。
从默认情况下关闭邮箱审核开始，不会审核邮箱作，即使邮箱上启用了邮箱审核， (邮箱上的 AuditEnabled 属性为 True) 也是如此。
不会为新邮箱启用邮箱审核，并且忽略将新邮箱或现有邮箱上的 AuditEnabled 属性设置为 True 。
(使用 Set-MailboxAuditBypassAssociation cmdlet 配置的任何邮箱审核绕过关联设置) 将被忽略。
现有邮箱审核记录将保留到记录的审核日志期限限制过期为止。

默认情况下启用邮箱审核

若要为组织重新启用邮箱审核，请在 PowerShell Exchange Online 运行以下命令：

Set-OrganizationConfig -AuditDisabled $false

绕过邮箱审核日志记录

目前，组织内已默认启用邮箱审核时，不能为特定邮箱禁用邮箱审核。例如，系统忽略将 AuditEnabled 邮箱属性设置为 False。

但是，可以使用 Exchange Online PowerShell 中的 Set-MailboxAuditBypassAssociation cmdlet 来阻止记录指定用户的所有邮箱作，而不管作发生在何处。例如：

不会记录绕过用户执行的邮箱所有者作。
委托绕过的用户对其他用户邮箱执行的作， (包括共享邮箱) 不会记录。
不会记录绕过用户执行的作管理员。

若要绕过特定用户的邮箱审核日志记录，请将 <MailboxIdentity> 替换为用户的姓名、电子邮件地址、别名或用户主体名称（用户名），并运行以下命令：

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

若要验证是否已绕过对指定用户的审核，请运行以下命令：

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

值 True 指示用户绕过邮箱审核日志记录。

反馈

此页面是否有帮助？

Last updated on 2026-02-28