在 Exchange 2013 中執行非擁有者信箱存取報告
適用於:Exchange Server 2013
Exchange 系統管理中心的非擁有者信箱存取報告 (EAC) 會列出擁有信箱之人員以外的人所存取的信箱。 當非擁有者存取信箱時,Microsoft Exchange 會記錄此動作的相關資訊。 信箱稽核記錄會儲存為要稽核之信箱中隱藏資料夾中的電子郵件訊息。 此記錄中的項目會顯示為搜尋結果,並包含非擁有者存取的信箱清單、存取信箱的人員、何時、非擁有者所執行的動作,以及動作是否成功。 根據預設,信箱稽核記錄中的專案會保留 90 天。
當您啟用信箱的信箱稽核記錄時,Microsoft Exchange 會記錄非擁有者的特定動作,包括被指派信箱許可權的系統管理員和使用者,稱為委派的使用者。 您也可以將搜尋範圍縮小為組織內部或外部的使用者。
開始之前有哪些須知?
預估完成時間:5 分鐘。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的許可權,請參閱訊息原則 和合規性許可權 主題中的「信箱稽核記錄」專案。
如需適用於本主題中程式的鍵盤快捷方式相關信息,請參閱 Exchange 2013 中 Exchange 系統管理中心的鍵盤快捷方式。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。
啟用信箱稽核記錄
您必須針對想要執行非擁有者信箱存取報告的每個信箱啟用信箱稽核記錄。 如果未啟用信箱稽核記錄,當您執行報表時不會收到任何結果。
若要啟用單一信箱的信箱稽核記錄,請執行下列Shell命令。
Set-Mailbox <Identity> -AuditEnabled $true
例如,若要啟用名稱為 Flipo 之使用者的信箱稽核,請執行下列命令。
Set-Mailbox "Florence Flipo" -AuditEnabled $true
若要針對組織內的所有使用者信箱啟用信箱稽核,請執行下列命令。
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
如何知道這是否正常運作?
執行下列命令,確認您已成功設定信箱稽核記錄。
Get-Mailbox | Format-List Name,AuditEnabled
AuditEnabled 屬性的 True 值會驗證已啟用稽核記錄。
執行非擁有者信箱存取報告
在 EAC 中,流覽至 [ 合規性管理>稽核]。
按兩下 [執行非擁有者信箱存取報告]。
根據預設,Microsoft Exchange 會執行報告,以取得過去兩周內組織中任何信箱的非擁有者存取權。 搜尋結果中所列的信箱會啟用信箱稽核記錄。
若要檢視特定信箱的非擁有者存取權,請從信箱清單中選取信箱。 在詳細數據窗格中檢視搜尋結果。
提示
想要縮小搜尋結果嗎? 選取開始日期、結束日期或兩者,然後選取要搜尋的特定信箱。 按兩下 [搜尋 ] 重新執行報表。
搜尋特定類型的非擁有者存取
您也可以指定要搜尋的非擁有者存取類型,也稱為登入類型。 您的選項如下:
所有非擁有者 搜尋組織內系統管理員和委派使用者的存取權。 也包括組織外部的存取使用者。
外部使用者 搜尋組織外部使用者的存取權。
系統管理員和委派的使用者:搜尋組織內的系統管理員和委派的使用者的存取。
系統管理員:搜尋組織內系統管理員的存取。
如何知道這是否正常運作?
若要確認您已成功執行非擁有者信箱存取報告,請檢查搜尋結果窗格。 您執行報表的信箱會顯示在此窗格中。 如果特定信箱沒有任何結果,則可能無法由非擁有者存取,或非擁有者存取不會在指定的日期範圍內進行。 如先前所述,請務必確認已針對您想要搜尋非擁有者存取權的信箱啟用稽核記錄。
哪些項目會記錄在信箱稽核記錄中?
當您執行非擁有者信箱存取報告時,來自信箱稽核記錄的項目會顯示在 EAC 的搜尋結果中。 每個報表專案都包含此資訊:
存取信箱的人員和存取時機
非擁有者所執行的動作
受影響的訊息及其資料夾位置
動作是否成功
下表列出非擁有者可由信箱稽核記錄所執行的動作。 在數據表中, [是 ] 表示可以針對該登入類型記錄動作, 而 [否 ] 表示無法記錄動作。 星號 ( ) * 表示在信箱啟用信箱稽核記錄時,預設會記錄動作。 如果您想要追蹤預設未記錄的動作,您必須使用PowerShell來啟用這些動作的記錄。
注意事項
已將完整存取權指派給使用者信箱的系統管理員會被視為委派的使用者。
| 動作 | 描述 | 系統管理員 | 委派的使用者 |
|---|---|---|---|
| Copy | 郵件已複製到另一個資料夾。 | 是 | 否 |
| Create | 專案會在信箱的 [行事歷]、[聯繫人]、[附注] 或 [工作] 資料夾中建立;例如,會建立新的會議邀請。 系統不會稽核訊息或資料夾的建立。 | 是* | 是* |
| FolderBind | 已存取信箱資料夾。 | 是* | 是 |
| 硬式刪除 | 已從 [可復原的專案] 資料夾清除訊息。 | 是* | 是* |
| MessageBind | 已在預覽窗格中檢視或開啟訊息。 | 是 | 否 |
| Move | 郵件已移到另一個資料夾。 | 是* | 是 |
| 移至已刪除的專案 | 郵件已移至 [已刪除的郵件] 資料夾。 | 是* | 是 |
| 傳送為 | 已使用 SendAs 許可權傳送訊息。 這表示另一位使用者傳送郵件,就如同來自信箱擁有者一樣。 | 是* | 是* |
| 代表傳送 | 使用 SendOnBehalf 許可權傳送訊息。 這表示另一位使用者代表信箱擁有者傳送郵件。 此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。 | 是* | 是 |
| 虛刪除 | 已從 [刪除的郵件] 資料夾中刪除訊息。 | 是* | 是* |
| 更新 | 訊息已變更。 | 是* | 是* |
注意事項
* 在啟用信箱的稽核時依預設稽核。