生成非所有者邮箱访问报告
Exchange 管理中心中的 非所有者邮箱访问报告 (EAC) 列出了由邮箱所有者以外的其他人访问的邮箱。 当非所有者访问邮箱时,Exchange 会记录有关此操作的信息。 Exchange 会将此邮箱审核日志作为电子邮件存储在审核邮箱的隐藏文件夹中。 报表将此日志中的条目显示为搜索结果,并包括非所有者访问的任何邮箱、访问每个邮箱的时间、非所有者执行的操作以及操作是否成功。
Exchange 记录非所有者的特定操作,其中包括向邮箱分配权限的管理员和用户, () 称为 委派用户 。 还可以将搜索范围缩小到组织内部或外部的用户。 默认情况下,Exchange 会将邮箱审核日志中的条目保留 90 天。
在 Exchange 命令行管理程序中启用邮箱审核日志记录。
在开始之前,您需要知道什么?
估计完成时间:5 分钟。
若要打开 EAC,请参阅 Exchange Server 中的 Exchange 管理中心。 若要打开 EAC,请参阅 Exchange Server 中的 Exchange 管理中心中。若要打开 Exchange 命令行管理程序,请参阅打开 Exchange 命令行管理程序。
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅邮件策略和符合性权限一文中的“邮箱审核日志记录”条目Exchange Server。
有关适用于本文中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心中的键盘快捷方式。
提示
是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange Server、Exchange Online 或 Exchange Online Protection。
步骤 1:使用 Exchange 命令行管理程序启用邮箱审核日志记录
必须对要包含在非所有者邮箱访问报告中的每个邮箱启用邮箱审核日志记录。 如果未启用邮箱审核日志记录,则运行报表时不会获得任何结果。
若要为单个邮箱启用邮箱审核日志记录,请在 Exchange 命令行管理程序中运行以下命令:
Set-Mailbox <Identity> -AuditEnabled $true
例如,若要为名为"Florence Flipo"的用户启用邮箱审核,则运行以下命令。
Set-Mailbox "Florence Flipo" -AuditEnabled $true
若要为组织中的所有用户邮箱启用邮箱审核,请运行以下命令:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
如何知道操作成功?
运行以下命令,验证是否已成功配置邮箱审核日志记录。
Get-Mailbox | Format-List Name,AuditEnabled
AuditEnabled 属性的 值True验证是否启用了审核日志记录。
步骤 2:使用 EAC 运行非所有者邮箱访问报告
在 EAC 中,导航到 “合规性管理>审核”。
选择 “运行非所有者邮箱访问报告”。
默认情况下,Exchange 运行报表,供非所有者在过去两周内访问组织中任何邮箱。 为搜索结果中列出的邮箱启用了审核日志记录。
要查看特定邮箱的非所有者访问,请从邮箱列表中选择邮箱。 在详细信息窗格中查看搜索结果。
注意:
Want to narrow the search results? Select the start date, end date, or both, and select specific mailboxes to search. 选择“ 搜索 ”以重新运行报表。
还可以指定要搜索非所有者访问类型(也称为登录类型)。 可采用以下方法:
所有非所有者:搜索组织中管理员和委派用户的访问权限。 Also includes access user outside of your organization.
外部用户:搜索组织外部用户的访问权限。
管理员和委派用户:搜索组织内的管理员和委派用户的访问权限。
管理员:搜索组织中的管理员的访问权限。
如何知道操作成功?
要验证是否已成功运行非所有者邮箱访问报告,请查看搜索结果窗格。 结果窗格显示运行报表的邮箱,无论是单个用户还是一组邮箱。 如果特定邮箱没有结果,则可能在指定的日期范围内没有非所有者访问权限或没有非所有者访问权限。 正如我们之前建议的,请务必验证是否为要搜索非所有者访问权限的邮箱启用了审核日志记录。
在邮箱审核日志中记录了哪些内容?
运行非所有者邮箱访问报告时,EAC 搜索结果将显示邮箱审核日志中的条目。 每个报告条目都包含以下信息:
访问邮箱的人员以及访问时间。
非所有者执行的操作。
受影响的邮件及其文件夹位置。
是否成功执行了操作
下表描述了记录的操作类型,以及默认情况下是否记录这些操作以供管理员访问和委派用户访问。 如果要跟踪默认情况下未记录的操作,则必须使用 Exchange 命令行管理程序来启用这些操作的日志记录。
| 操作 | 说明 | 管理员 | 委派用户 |
|---|---|---|---|
| 更新 | 更改了某个邮件。 | 是 | 是 |
| Copy | 已将邮件复制到其他文件夹。 | 否 | 否 |
| 移动 | 已将邮件移动到其他文件夹。 | 是 | 否 |
| 移至"已删除邮件" | 已将某个邮件移至"已删除邮件"文件夹。 | 是 | 否 |
| 软删除 | 已将某个邮件从"已删除邮件"文件夹中删除。 | 是 | 是 |
| 硬删除 | 已将某个邮件从"已恢复邮件"文件夹中清除。 | 是 | 是 |
| FolderBind | 已访问某个邮箱文件夹。 | 是 | 否 |
| 代理发送 | 已使用 SendAs 权限发送某个邮件。 这表示另一个用户发送了邮件,而该邮件就好像来自于邮箱所有者。 | 是 | 是 |
| 代表发送 | 已使用 SendOnBehalf 权限发送某个邮件。 这表示另一个用户代表邮箱所有者发送了邮件。 邮件将向收件人说明发送此邮件时使用的身份及实际发送者。 | 是 | 否 |
| MessageBind | 在预览窗格查看邮件或打开邮件。 | 否 | 否 |