管理邮箱审核
默认情况下,邮箱审核日志记录在所有组织中都处于打开状态。 这意味着邮箱所有者、代理人和管理员执行的某些操作会自动记录。 管理员可以在邮箱审核日志中搜索相应的邮箱审核记录。
默认情况下启用邮箱审核的一些好处包括:
- 创建新邮箱时,会自动启用审核。 无需为新用户手动启用邮箱审核。
- 无需管理审核的邮箱操作。 默认情况下,将为每个登录类型审核一组预定义的邮箱操作, (管理员、委托和所有者) 。
- 当Microsoft发布新的邮箱操作时,该操作可能会自动添加到默认审核的邮箱操作列表中, (受具有相应许可证) 的用户的约束。 此结果意味着无需在邮箱发布后对邮箱添加新操作。
- 你在整个组织 (都有一致的邮箱审核策略,因为你要审核所有邮箱) 的相同操作。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。
验证是否已默认启用邮箱审核。
若要验证是否为组织默认启用邮箱审核,请在 Exchange Online PowerShell 中运行以下命令:
Get-OrganizationConfig | Format-List AuditDisabled
值 False 表示默认为组织启用邮箱审核。 默认情况下,组织中的邮箱审核将覆盖单个邮箱的邮箱审核设置。 例如,如果对邮箱禁用邮箱审核, (邮箱上的 AuditEnabled 属性为 False) ,则仍会针对邮箱审核默认邮箱操作,因为组织默认启用邮箱审核。
若要为特定邮箱禁用邮箱审核,请为邮箱所有者和其他具有邮箱委派访问权限的用户配置邮箱 审核旁路 。 有关详细信息,请参阅本文后面的 绕过邮箱审核日志记录 部分。
注意
默认情况下,当为组织启用邮箱审核时,受影响邮箱的 AuditEnabled 属性不会从 False 更改为 True。 换句话说,默认情况下,启用的邮箱审核会忽略邮箱上的 AuditEnabled 属性。
支持的邮箱类型
下表描述了默认情况下由邮箱审核支持的邮箱类型:
邮箱类型 | 支持审核 | 默认支持打开 |
---|---|---|
用户邮箱 | ✔ | ✔ |
共享邮箱 | ✔ | ✔ |
Microsoft 365 个组邮箱 | ✔ | ✔ |
资源邮箱 | ✔ | |
公用文件夹邮箱 |
登录类型和邮箱操作
登录类型对谁负责邮箱的审核操作进行分类。 以下列表介绍了邮箱审核日志记录中使用的登录类型:
- 所有者:邮箱所有者 (与邮箱) 关联的帐户。
-
委托:
- 已为另一个邮箱分配了 SendAs、SendOnBehalf 或 FullAccess 权限的用户。
- 已为用户邮箱分配 FullAccess 权限的管理员。
-
管理员:
- 使用以下Microsoft电子数据展示工具之一搜索邮箱:
- Microsoft Purview 门户或合规性门户中的电子数据展示。
- In-Place Exchange Online 中的电子数据展示。
- 使用 Microsoft Exchange Server MAPI 编辑器访问邮箱。
- 邮箱由模拟其他用户的帐户访问。 将 ApplicationImpersonation 角色分配给帐户(例如现在正在主动访问数据的应用程序)时,就会发生这种情况。 有关详细信息,请参阅 配置模拟。
- 使用以下Microsoft电子数据展示工具之一搜索邮箱:
用户邮箱和共享邮箱的邮箱操作
下表描述了用户邮箱和共享邮箱的邮箱审核日志记录中可用的邮箱操作。
- 复选标记 (✔) 指示可以为登录类型记录邮箱操作 (并非所有操作都可用于) 的所有登录类型。
- 复选标记后,星号 ( * ) ,指示默认情况下为登录类型记录邮箱操作。
- 请记住,对邮箱具有完全访问权限的管理员被视为代理人。
邮箱操作 | 说明 | 管理员 | 委派用户 | 所有者 |
---|---|---|---|---|
AddFolderPermissions | 虽然此值被接受为邮箱操作,但它已包含在 UpdateFolderPermissions 操作中,并且不会单独审核。 换句话说,请勿使用此值。 | |||
ApplyRecord | 项目标记为记录。 | ✔* | ✔* | ✔* |
Copy | 已将邮件复制到其他文件夹。 | ✔ | ||
创建 | 在邮箱的“日历”、“联系人”、“草稿”、“便笺”或“任务”文件夹中创建了一个项目 (例如,) 创建新的会议请求。 不会审核邮件的创建、发送或接收。 此外,不会审核邮箱文件夹的创建。 | ✔* | ✔* | ✔ |
FolderBind | 已访问某个邮箱文件夹。 管理员或代理人打开邮箱时也会记录此操作。 注意:将合并委托执行的文件夹绑定操作的审核记录。 在 24 小时内为单个文件夹访问生成一条审核记录。 |
✔ | ✔ | |
HardDelete | 已将某个邮件从"已恢复邮件"文件夹中清除。 | ✔* | ✔* | ✔* |
MailboxLogin | 用户登录到其邮箱。 | ✔ | ||
MailItemsAccessed | 当邮件协议和客户端访问邮件数据时发生。 | ✔* | ✔* | ✔* |
MessageBind |
注意:此值仅适用于 没有 E5/A5/G5 许可证的用户。 在预览窗格中查看或由管理员打开的消息。 |
✔ | ||
ModifyFolderPermissions | 虽然此值被接受为邮箱操作,但它已包含在 UpdateFolderPermissions 操作中,并且不会单独审核。 换句话说,请勿使用此值。 | |||
移动 | 已将邮件移动到其他文件夹。 | ✔ | ✔ | ✔ |
MoveToDeletedItems | 已删除邮件,并已将其移动到“已删除邮件”文件夹。 | ✔* | ✔* | ✔* |
RecordDelete | 标记为记录的项目已软删除, (移动到“可恢复的项目”文件夹) 。 无法永久删除标记为记录的项目 (从“可恢复的项目”文件夹中清除) 。 | ✔ | ✔ | ✔ |
RemoveFolderPermissions | 虽然此值被接受为邮箱操作,但它已包含在 UpdateFolderPermissions 操作中,并且不会单独审核。 换句话说,请勿使用此值。 | |||
SearchQueryInitiated | 用户使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 网页版) 或 Windows 10 的“邮件”应用来搜索邮箱中的项目。 | ✔ | ||
Send | 用户发送电子邮件、答复电子邮件或转发电子邮件。 | ✔* | ✔* | |
SendAs | 已使用“发送方式”权限发送邮件。 此权限允许其他用户发送邮件,就像邮件来自邮箱所有者一样。 | ✔* | ✔* | |
SendOnBehalf | 已使用“代表发送”权限发送邮件。 此权限允许其他用户代表邮箱所有者发送邮件。 邮件将向收件人说明发送此邮件时使用的身份及实际发送者。 | ✔* | ✔* | |
SoftDelete | 已永久删除或已从“已删除邮件”文件夹中删除邮件。 软删除的项目将移动到“可恢复的项目”文件夹。 | ✔* | ✔* | ✔* |
更新 | 消息或其任何属性已更改。 | ✔* | ✔* | ✔* |
UpdateCalendarDelegation | 日历委派已分配给邮箱。 日历代理为同一组织内的其他人授予管理邮箱所有者日历的权限。 | ✔* | ✔* | |
UpdateFolderPermissions | 文件夹权限已更改。 文件夹权限用于控制组织中的哪些用户可以访问邮箱中的文件夹以及位于这些文件夹中的邮件。 | ✔* | ✔* | ✔* |
UpdateInboxRules | 已添加、删除或更改收件箱规则。 收件箱规则根据条件处理用户收件箱中的邮件。 操作指定对与规则条件匹配的邮件执行的操作。 例如,将邮件移动到指定的文件夹或删除邮件。 | ✔* | ✔* | ✔* |
重要
如果你在组织中默认启用邮箱审核 之前 自定义了要审核的邮箱操作,则自定义邮箱审核设置将保留在邮箱上,并且不会被本部分所述的默认邮箱操作覆盖。 若要将审核邮箱操作还原到其默认值 (,) 随时可以执行,请参阅本文后面的 还原默认邮箱操作 部分。
Microsoft 365 组邮箱的邮箱操作
默认情况下,邮箱审核会将邮箱审核日志记录引入Microsoft 365 组邮箱,但无法自定义记录的内容, (无法添加或删除为任何登录类型) 记录的邮箱操作。
下表描述了每种登录类型的 Microsoft 365 组邮箱上默认记录的邮箱操作。
请记住,对 Microsoft 365 组邮箱具有完全访问权限的管理员被视为代理人。
邮箱操作 | 说明 | 管理员 | 委派用户 | 所有者 |
---|---|---|---|---|
创建 | 创建日历项。 不会审核邮件的创建、发送或接收。 | ✔* | ✔* | |
HardDelete | 已将某个邮件从"已恢复邮件"文件夹中清除。 | ✔* | ✔* | ✔* |
MoveToDeletedItems | 已删除邮件,并已将其移动到“已删除邮件”文件夹。 | ✔* | ✔* | ✔* |
SendAs | 已使用“发送方式”权限发送邮件。 | ✔* | ✔* | |
SendOnBehalf | 已使用“代表发送”权限发送邮件。 | ✔* | ✔* | |
SoftDelete | 已永久删除或已从“已删除邮件”文件夹中删除邮件。 软删除的项目将移动到“可恢复的项目”文件夹。 | ✔* | ✔* | ✔* |
更新 | 消息或其任何属性已更改。 | ✔* | ✔* | ✔* |
验证是否为每种登录类型记录了默认邮箱操作
默认情况下,启用邮箱审核会将新的 DefaultAuditSet 属性添加到所有邮箱。 此属性的值指示是否正在邮箱上审核由 Microsoft) 管理的默认邮箱操作 (。
若要在用户邮箱或共享邮箱上显示值,请将 MailboxIdentity> 替换为<邮箱的名称、别名、电子邮件地址或用户主体名称 (用户名) ,并在 Exchange Online PowerShell 中运行以下命令:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
若要在 Microsoft 365 个组邮箱上显示值,请将 MailboxIdentity> 替换为<共享邮箱的名称、别名或电子邮件地址,并在 Exchange Online PowerShell 中运行以下命令:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
该值 Admin, Delegate, Owner
指示:
- 正在审核所有三种登录类型的默认邮箱操作。 此值是在 Microsoft 365 组邮箱上看到的唯一值。
- 管理员 尚未 更改用户邮箱或共享邮箱上任何登录类型的已审核邮箱操作。
如果管理员使用 Set-Mailbox cmdlet) 上的 AuditAdmin、AuditDelegate 或 AuditOwner 参数更改了针对登录类型 (审核的邮箱操作,则属性值会有所不同。
例如,用户邮箱或共享邮箱上的 DefaultAuditSet 属性的值Owner
指示:
- 正在审核邮箱所有者的默认邮箱操作。
- 和
Admin
登录类型的审核邮箱操作Delegate
已从默认操作更改。
DefaultAuditSet 属性的空白值指示已更改用户邮箱或共享邮箱上所有三种登录类型的邮箱操作。
有关详细信息,请参阅本文中的 更改或还原默认记录的邮箱操作 部分。
显示正在登录邮箱的邮箱操作
若要查看当前正在登录用户邮箱或共享邮箱的邮箱操作,请将 MailboxIdentity> 替换为<邮箱的名称、别名、电子邮件地址或用户主体名称 (用户名) ,并在 Exchange Online PowerShell 中运行以下命令。
注意
尽管可以将 开关添加到 -GroupMailbox
Microsoft 365 组邮箱的以下 Get-Mailbox 命令,但不要相信返回的值。 本文前面的 Microsoft 365 组邮箱的邮箱操作部分介绍了针对 Microsoft 365 组邮箱 审核的默认和静态邮箱操作。
所有者操作
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
委托操作
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
管理员操作
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
更改或还原默认记录的邮箱操作
如前所述,默认情况下启用邮箱审核的主要好处之一是:无需管理审核的邮箱操作。 Microsoft为你管理操作,我们会自动添加新的邮箱操作,以便在这些操作发布时默认对其进行审核。
但是,组织可能需要审核用户邮箱和共享邮箱的不同邮箱操作集。 本部分中的过程说明如何更改针对每种登录类型审核的邮箱操作,以及如何还原为Microsoft管理的默认操作。
重要
如果使用以下过程自定义登录用户邮箱或共享邮箱的邮箱操作,则不会对这些邮箱自动审核Microsoft发布的任何新的默认邮箱操作。 需要手动将任何新的邮箱操作添加到自定义的操作列表中。
将邮箱操作更改为审核
可以使用 Set-Mailbox cmdlet 上的 AuditAdmin、AuditDelegate 或 AuditOwner 参数更改针对用户邮箱和共享邮箱审核的邮箱操作, (无法) 自定义Microsoft 365 组邮箱的审核操作。
可以使用两种不同的方法来指定邮箱操作:
-
使用以下语法替换 (覆盖) 现有邮箱操作:
action1,action2,...actionN
。 - 使用以下语法添加或删除邮箱操作,而不会影响其他现有值:
@{Add="action1","action2",..."actionN"}
或@{Remove="action1","action2",..."actionN"}
。
此示例通过覆盖 SoftDelete 和 HardDelete 的默认操作来更改名为“Gabriela Laureano”的邮箱的管理员邮箱操作。
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
本示例将 MailboxLogin 所有者操作添加到邮箱 laura@contoso.onmicrosoft.com。
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
此示例删除团队讨论邮箱的 MoveToDeletedItems 委托操作。
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
无论使用哪种方法,自定义对用户邮箱或共享邮箱的审核邮箱操作将产生以下结果:
- 对于自定义的登录类型,审核的邮箱操作不再由 Microsoft 管理。
- 自定义的登录类型不再显示在邮箱的 DefaultAuditSet 属性值中,如 前所述。
还原默认邮箱操作
注意
以下过程不适用于 Microsoft 365 组邮箱, (它们仅限于 此处) 中所述的默认操作。
如果自定义了在用户邮箱或共享邮箱上审核的邮箱操作,则可以使用以下语法为一种或所有登录类型还原默认邮箱操作:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
可以指定多个用逗号分隔的 DefaultAuditSet 值。
此示例还原邮箱 上所有登录类型的默认审核邮箱 mark@contoso.onmicrosoft.com操作。
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
此示例还原邮箱上管理员登录类型的默认已审核邮箱 chris@contoso.onmicrosoft.com操作,但保留委托和所有者登录类型的自定义审核邮箱操作。
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
还原登录类型的默认审核邮箱操作具有以下结果:
- 邮箱操作的当前列表将替换为登录类型的默认邮箱操作。
- Microsoft发布的任何新邮箱操作都会自动添加到登录类型的已审核操作列表中。
- 邮箱的 DefaultAuditSet 属性值将更新为包含还原的登录类型。
默认情况下,为组织关闭邮箱审核
通过在 Exchange Online PowerShell 中运行以下命令,可以默认关闭整个组织的邮箱审核:
Set-OrganizationConfig -AuditDisabled $true
默认情况下,关闭邮箱审核将产生以下结果:
- 组织的邮箱审核已关闭。
- 从默认情况下关闭邮箱审核开始,不会审核邮箱操作,即使邮箱上启用了邮箱审核, (邮箱上的 AuditEnabled 属性为 True) 也是如此。
- 不会为新邮箱启用邮箱审核,并且忽略将新邮箱或现有邮箱上的 AuditEnabled 属性设置为 True 。
- (使用 Set-MailboxAuditBypassAssociation cmdlet 配置的任何邮箱审核绕过关联设置) 将被忽略。
- 现有邮箱审核记录将保留到记录的审核日志期限限制过期为止。
默认情况下启用邮箱审核
若要为组织重新启用邮箱审核,请在 Exchange Online PowerShell 中运行以下命令:
Set-OrganizationConfig -AuditDisabled $false
绕过邮箱审核日志记录
目前,组织内已默认启用邮箱审核时,不能为特定邮箱禁用邮箱审核。 例如,忽略将 AuditEnabled 邮箱属性设置为 False 。
但是,你仍然可以在 Exchange Online PowerShell 中使用 Set-MailboxAuditBypassAssociation cmdlet 来阻止记录指定用户 的所有 邮箱操作,而不管这些操作发生在何处。 例如:
- 不会记录被绕过的用户执行的邮箱所有者操作。
- 不会记录被绕过的用户对其他用户邮箱执行的操作, (包括共享邮箱) 。
- 不会记录被绕过的用户执行的管理员操作。
若要绕过特定用户的邮箱审核日志记录,请将 <MailboxIdentity> 替换为用户的姓名、电子邮件地址、别名或用户主体名称(用户名),并运行以下命令:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
若要验证是否已绕过对指定用户的审核,请运行以下命令:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
值 True 指示用户绕过邮箱审核日志记录。
更多信息
默认情况下,邮箱审核日志记录在删除前会保留 90 天。 可以在 Exchange Online PowerShell 中使用 Set-Mailbox cmdlet 上的 AuditLogAgeLimit 参数更改审核日志记录的期限限制。 但是,增加此值不能在审核日志中搜索超过 90 天的事件。
如果提高期限限制,则需要使用 Exchange Online PowerShell 中的 Search-MailboxAuditLog cmdlet 在用户的邮箱审核日志中搜索超过 90 天的记录。
如果你在默认情况下为组织启用邮箱审核之前更改了邮箱的 AuditLogAgeLimit 属性,则邮箱的现有审核日志期限限制不会更改。 换句话说,默认情况下启用的邮箱审核不会影响邮箱审核记录的当前期限限制。
若要更改 Microsoft 365 组邮箱上的 AuditLogAgeLimit 值,需要在
-GroupMailbox
Set-Mailbox 命令中包含 开关。邮箱审核日志记录存储在名为“ 审核) ”的子文件夹中 (每个用户邮箱的“可恢复项目”文件夹中。 有关邮箱审核记录和“可恢复的项目”文件夹,请记住以下事项:
邮箱审核记录根据“可恢复的项目”文件夹的存储配额进行计数,默认情况下为 30 GB, (警告配额为 20 GB) 。 在以下情况下,存储配额会自动增加到 100 GB (并) 90 GB 警告配额:
- 对邮箱进行保留。
- 邮箱分配到 Microsoft Purview 门户或合规性门户中的保留策略。
邮箱审核记录还会计入 “可恢复邮件”文件夹的文件夹限制。 审核子文件夹中最多可以存储 300 万项 (审核记录) 。
注意
默认情况下,启用的邮箱审核不太可能影响“可恢复的项目”文件夹的存储配额或文件夹限制。
可以在 Exchange Online PowerShell 中运行以下命令,以显示“可恢复的项目”文件夹中“审核”子文件夹中项目的大小和数量:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
不能直接访问“可恢复的项目”文件夹中的审核日志记录;请改为使用 Search-MailboxAuditLog cmdlet 或搜索审核日志来查找和查看邮箱审核记录。
如果邮箱处于保留状态或分配给保留策略,则默认情况下,审核日志记录仍将保留邮箱的 AuditLogAgeLimit 属性定义的持续时间 (90 天) 。 若要为保留邮箱保留更长的审核日志记录,需要增加邮箱的 AuditLogAgeLimit 值。
在多地理位置环境中,不支持跨地理位置邮箱审核。 例如,如果向用户分配了访问不同地理位置的共享邮箱的权限,则该用户执行的邮箱操作不会记录到共享邮箱的邮箱审核日志中。 Exchange 管理员审核事件可通过 Microsoft Purview 和 Search-UnifiedAuditLog cmdlet 在所有位置使用。