配置和分析审核日志

在 Microsoft 365 组织中，将自动记录由邮箱所有者、代理人和管理员执行的某些操作。可在邮箱审核日志中查看相应的邮箱审核记录。这称为“默认启用邮箱审核”。

默认情况下，用户邮箱、共享邮箱和 Microsoft 365 组邮箱均启用邮箱审核。但对于资源和公用文件夹邮箱则不会自动启用。

验证是否已默认启用邮箱审核。

若要验证已为组织默认启用邮箱审核，请运行以下 Exchange Online cmdlet：

Get-OrganizationConfig | Format-List AuditDisabled

在返回的信息中，False 值表示已为组织默认启用邮箱审核。

通过将 AuditDisabled 更改为 $true，可以为整个组织关闭默认启用邮箱审核：

Set-OrganizationConfig -AuditDisabled $true

若要为组织重新启用邮箱审核，请将 AuditDisabled 更改为 $false：

Set-OrganizationConfig -AuditDisabled $false

目前，组织内已默认启用邮箱审核时，不能为特定邮箱禁用邮箱审核。例如，如果将特定邮箱的 AuditEnabled 设置为 $false，将忽略该更改。

但是，可使用 Set-MailboxAuditBypassAssociation cmdlet 阻止记录指定用户的任何和所有邮箱操作，无论这些操作发生在何处。。

若要绕过特定用户的邮箱审核日志记录，请将 MailboxIdentity 替换为用户的姓名、电子邮件地址、别名或用户主体名称（用户名），并运行以下命令：

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

若要验证是否已绕过对指定用户的审核，请运行以下命令：

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

如果看到用户的值为 True，则以为该用户绕过邮箱审核日志记录。