Verwalten der Postfächern

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

Ab Januar 2019 aktiviert Microsoft die Postfachüberwachungsprotokollierung standardmäßig für alle Organisationen. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretungen und Administratoren ausgeführt werden, automatisch protokolliert werden und die entsprechenden Postfachüberwachungsdatensätze verfügbar sind, wenn Sie im Postfachüberwachungsprotokoll danach suchen. Bevor die Postfachüberwachung standardmäßig aktiviert wurde, mussten Sie sie manuell für jedes Benutzerpostfach in Ihrer Organisation aktivieren.

Hier sind einige Vorteile der Postfachüberwachung, die standardmäßig aktiviert ist:

  • Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen. Sie müssen es nicht manuell für neue Benutzer aktivieren.
  • Sie müssen die überwachten Postfachaktionen nicht verwalten. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Administrator, Stellvertretung und Besitzer) überwacht.
  • Wenn Microsoft eine neue Postfachaktion veröffentlicht, wird die Aktion möglicherweise automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (je nachdem, dass der Benutzer über die entsprechende Lizenz verfügt). Dies bedeutet, dass Sie das Hinzufügen neuer Aktionen für Postfächer nicht überwachen müssen.
  • Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihrer Organisation (da Sie dieselben Aktionen für alle Postfächer überwachen).

Hinweis

  • Die wichtige Sache, an die Sie sich bei der standardmäßigen Veröffentlichung der Postfachüberwachung erinnern sollten, ist: Sie müssen nichts tun, um die Postfachüberwachung zu verwalten. Um jedoch mehr zu erfahren, die Postfachüberwachung anhand der Standardeinstellungen anzupassen oder sie vollständig zu deaktivieren, kann Dieser Artikel Ihnen helfen.
  • Standardmäßig sind nur Postfachüberwachungsereignisse für E5-Benutzer in Überwachungsprotokollsuchen im Microsoft Purview Compliance-Portal oder über die Office 365 Verwaltungsaktivitäts-API verfügbar. Weitere Informationen finden Sie im Abschnitt "Weitere Informationen " in diesem Artikel.

Überprüfen, ob die Postfachüberwachung standardmäßig aktiviert ist

Um zu überprüfen, ob die Postfachüberwachung für Ihre Organisation standardmäßig aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-OrganizationConfig | Format-List AuditDisabled

Der Wert "False" gibt an, dass die Postfachüberwachung standardmäßig für die Organisation aktiviert ist. Dies ist standardmäßig der Organisationswert, der die Einstellung für die Postfachüberwachung für bestimmte Postfächer außer Kraft setzt. Wenn z. B. die Postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled-Eigenschaft ist für das Postfach falsch ), werden die Standardmäßigen Postfachaktionen weiterhin für das Postfach überwacht, da die Postfachüberwachung standardmäßig für die Organisation aktiviert ist.

Damit die Postfachüberwachung für bestimmte Postfächer deaktiviert bleibt, konfigurieren Sie die Postfachüberwachungsumgehung für den Postfachbesitzer und andere Benutzer, denen der Zugriff auf das Postfach delegiert wurde. Weitere Informationen finden Sie im Abschnitt "Postfachüberwachungsprotokollierung umgehen" weiter unten in diesem Artikel.

Hinweis

Wenn die Postfachüberwachung für die Organisation standardmäßig aktiviert ist, wird die AuditEnabled-Eigenschaft für betroffene Postfächer nicht von "False" in "True" geändert. Mit anderen Worten: Bei der Postfachüberwachung wird die AuditEnabled-Eigenschaft für Postfächer standardmäßig ignoriert.

Unterstützte Postfachtypen

In der folgenden Tabelle sind die Postfachtypen aufgeführt, die derzeit standardmäßig von der Postfachüberwachung unterstützt werden:

Postfachtyp Unterstützt
Benutzerpostfächer Häkchen
Freigegebene Postfächer Häkchen
Microsoft 365 Von Gruppenpostfächern Häkchen
Ressourcenpostfächer
Postfächer für öffentliche Ordner

Anmeldetypen und Postfachaktionen

Anmeldetypen klassifizieren den Benutzer, der die überwachten Aktionen für das Postfach ausgeführt hat. In der folgenden Liste werden die Anmeldetypen beschrieben, die in der Postfachüberwachungsprotokollierung verwendet werden:

  • Besitzer: Der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).
  • Stellvertretung:
    • Ein Benutzer, dem die Berechtigung "SendAs", "SendOnBehalf" oder "FullAccess" für ein anderes Postfach zugewiesen wurde.
    • Ein Administrator, dem die Berechtigung "FullAccess" für das Postfach eines Benutzers zugewiesen wurde.
  • Administrator:
    • Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
      • Inhaltssuche im Compliance Center.
      • eDiscovery oder eDiscovery (Premium) im Compliance Center.
      • In-Place eDiscovery in Exchange Online.
    • Der Zugriff auf das Postfach erfolgt über den Microsoft Exchange Server MAPI-Editor.

Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die in der Postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer verfügbar sind.

  • Ein Häkchen (Häkchen) gibt an, dass die Postfachaktion für den Anmeldetyp protokolliert werden kann (nicht alle Aktionen sind für alle Anmeldetypen verfügbar).
  • Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Postfachaktion standardmäßig für den Anmeldetyp protokolliert wird.
  • Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Postfach als Stellvertretung gilt.
Postfachaktion Beschreibung Administrator Stellvertretung Besitzer
AddFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Mit anderen Worten: Verwenden Sie diesen Wert nicht.
ApplyRecord Ein Element wird als Datensatz bezeichnet. Häkchen.* Häkchen.* Häkchen.*
Kopieren Eine Nachricht wurde in einen anderen Ordner kopiert. Häkchen
Create Ein Element wurde im Ordner "Kalender", "Kontakte", "Entwurf", "Notizen" oder "Aufgaben" im Postfach erstellt (beispielsweise wird eine neue Besprechungsanfrage erstellt). Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Auch das Erstellen eines Postfachordners wird nicht überwacht. Häkchen.* Häkchen.* Häkchen
FolderBind Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.

Hinweis: Überwachungsdatensätze für Ordnerbindungsaktionen, die von Stellvertretungen ausgeführt werden, werden konsolidiert. Innerhalb eines Zeitraums von 24 Stunden wird ein Überwachungsdatensatz für den zugriff auf einzelne Ordner generiert.
Häkchen Häkchen
HardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. Häkchen.* Häkchen.* Häkchen.*
MailboxLogin Der Benutzer hat sich bei dessen Postfach angemeldet. Häkchen
MailItemsAccessed Hinweis: Dieser Wert ist nur für Benutzer mit E5/A5/G5-Lizenzen verfügbar. Weitere Informationen finden Sie unter Einrichten der Microsoft Purview-Überwachung (Premium).For more information, see Set up Microsoft Purview Audit (Premium).

Der Zugriff auf E-Mail-Daten erfolgt über E-Mail-Protokolle und -Clients.
Häkchen.* Häkchen.* Häkchen*
MessageBind Hinweis: Dieser Wert ist nur für Benutzer ohne E5/A5/G5-Lizenzen verfügbar.

Eine Nachricht wurde im Vorschaubereich angezeigt oder von einem Administrator geöffnet.
Häkchen
ModifyFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Mit anderen Worten: Verwenden Sie diesen Wert nicht.
Verschieben Eine Nachricht wurde in einen anderen Ordner verschoben. Häkchen Häkchen Häkchen
MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben. Häkchen.* Häkchen.* Häkchen*
RecordDelete Ein Element, das als Datensatz bezeichnet ist, wurde vorläufig gelöscht (in den Ordner "Wiederherstellbare Elemente" verschoben). Als Datensätze bezeichnete Elemente können nicht dauerhaft gelöscht werden (aus dem Ordner "Wiederherstellbare Elemente" gelöscht). Häkchen Häkchen Häkchen
RemoveFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Mit anderen Worten: Verwenden Sie diesen Wert nicht.
SearchQueryInitiated Hinweis: Dieser Wert ist nur für Benutzer mit E5/A5/G5-Lizenzen verfügbar. Weitere Informationen finden Sie unter Einrichten der Microsoft Purview-Überwachung (Premium).For more information, see Set up Microsoft Purview Audit (Premium).

Eine Person verwendet Outlook (Windows, Mac, iOS, Android oder Outlook im Web) oder die Mail-App für Windows 10, um nach Elementen in einem Postfach zu suchen.
Häkchen
Send Hinweis: Dieser Wert ist nur für Benutzer mit E5/A5/G5-Lizenzen verfügbar. Weitere Informationen finden Sie unter Einrichten der Microsoft Purview-Überwachung (Premium).For more information, see Set up Microsoft Purview Audit (Premium).

Der Benutzer sendet eine E-Mail-Nachricht, antwortet auf eine E-Mail-Nachricht oder leitet eine E-Mail-Nachricht weiter.
Häkchen.* Häkchen*
SendAs Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint. Häkchen.* Häkchen*
SendOnBehalf Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. Häkchen.* Häkchen*
SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. Häkchen.* Häkchen.* Häkchen*
Update Eine Nachricht oder eine ihrer Eigenschaften wurde geändert. Häkchen.* Häkchen.* Häkchen*
UpdateCalendarDelegation Einem Postfach wurde eine Kalenderdelegierung zugewiesen. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. Häkchen.* Häkchen*
UpdateComplianceTag Eine andere Aufbewahrungsbezeichnung wird auf ein E-Mail-Element angewendet (einem Element kann nur eine Aufbewahrungsbezeichnung zugewiesen sein). Häkchen Häkchen Häkchen
UpdateFolderPermissions Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. Häkchen.* Häkchen.* Häkchen*
UpdateInboxRules Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert. Posteingangsregeln werden verwendet, um Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen zu verarbeiten und Aktionen auszuführen, wenn die Bedingungen einer Regel erfüllt sind, z. B. das Verschieben einer Nachricht in einen angegebenen Ordner oder das Löschen einer Nachricht. Häkchen.* Häkchen* Häkchen*

Wichtig

Wenn Sie die Postfachaktionen angepasst haben, die für alle Anmeldetypen überwacht werden sollen, bevor die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert wurde, bleiben die angepassten Einstellungen im Postfach erhalten und werden nicht wie in diesem Abschnitt beschrieben von den Standardpostfachaktionen überschrieben. Informationen zum Wiederherstellen der Überwachungspostfachaktionen auf die Standardwerte (die Sie jederzeit ausführen können), finden Sie im Abschnitt "Wiederherstellen der Standardmäßigen Postfachaktionen " weiter unten in diesem Artikel.

Postfachaktionen für Microsoft 365 Gruppenpostfächer

Die Postfachüberwachung ist standardmäßig aktiviert, sodass die Postfachüberwachungsprotokollierung Microsoft 365 Gruppenpostfächern bereitgestellt wird. Sie können jedoch nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für jeden Anmeldetyp protokolliert werden).

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die standardmäßig für Microsoft 365 Gruppenpostfächer für jeden Anmeldetyp protokolliert werden.

Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Microsoft 365 Gruppenpostfach als Stellvertretung gilt.

Postfachaktion Beschreibung Administrator Stellvertretung Besitzer
Create Erstellen eines Kalenderelements. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Häkchen* Häkchen*
HardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. Häkchen.* Häkchen* Häkchen*
MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben. Häkchen.* Häkchen* Häkchen*
SendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Häkchen* Häkchen*
SendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Häkchen* Häkchen*
SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. Häkchen.* Häkchen* Häkchen*
Update Eine Nachricht oder eine ihrer Eigenschaften wurde geändert. Häkchen.* Häkchen* Häkchen*

Überprüfen, ob standardmäßige Postfachaktionen für jeden Anmeldetyp protokolliert werden

Die Standardmäßig aktivierte Postfachüberwachung fügt allen Postfächern eine neue DefaultAuditSet-Eigenschaft hinzu. Der Wert dieser Eigenschaft gibt an, ob die standardmäßigen Postfachaktionen (verwaltet von Microsoft) für das Postfach überwacht werden.

Um den Wert für Benutzerpostfächer oder freigegebene Postfächer anzuzeigen, ersetzen Sie <MailboxIdentity> den Namen, Alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Um den Wert in Microsoft 365 Gruppenpostfächern anzuzeigen, ersetzen Sie <MailboxIdentity> den Namen, Alias oder die E-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Der Wert Admin, Delegate, Owner gibt Folgendes an:

  • Die Standardmäßigen Postfachaktionen für alle drei Anmeldetypen werden überwacht. Dies ist der einzige Wert, der in Microsoft 365 Gruppenpostfächern angezeigt wird.
  • Ein Administrator hat die Überwachten Postfachaktionen für einen Anmeldetyp für ein Benutzerpostfach oder ein freigegebenes Postfach nicht geändert. Beachten Sie, dass dies der Standardstatus ist, nachdem die Postfachüberwachung standardmäßig in Ihrer Organisation aktiviert wurde.

Wenn ein Administrator jemals die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter "AuditAdmin", " AuditDelegate" oder " AuditOwner " im Cmdlet "Set-Mailbox "), ist der Eigenschaftswert unterschiedlich.

Beispielsweise gibt der Wert Owner für die DefaultAuditSet-Eigenschaft für ein Benutzerpostfach oder ein freigegebenes Postfach Folgendes an:

  • Die standardmäßigen Postfachaktionen für den Postfachbesitzer werden überwacht.
  • Die überwachten Postfachaktionen für die Delegate Und-Anmeldetypen Admin wurden von den Standardaktionen geändert.

Ein leerer Wert für die DefaultAuditSet-Eigenschaft gibt an, dass die Postfachaktionen für alle drei Anmeldetypen für das Benutzerpostfach oder ein freigegebenes Postfach geändert wurden.

Weitere Informationen finden Sie im Abschnitt "Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen " in diesem Artikel.

Anzeigen der Postfachaktionen, die bei Postfächern protokolliert werden

Um die Postfachaktionen anzuzeigen, die derzeit bei Benutzerpostfächern oder freigegebenen Postfächern protokolliert werden, ersetzen Sie <MailboxIdentity> sie durch den Namen, Alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie einen oder mehrere der folgenden Befehle in Exchange Online PowerShell aus.

Hinweis

Obwohl Sie die -GroupMailbox Option zu den folgenden Get-Mailbox-Befehlen für Microsoft 365 Gruppenpostfächer hinzufügen können, glauben Sie nicht, dass die zurückgegebenen Werte zurückgegeben werden. Die standardmäßigen und statischen Postfachaktionen, die für Microsoft 365 Gruppenpostfächer überwacht werden, werden im Abschnitt "Postfachaktionen für Microsoft 365 Gruppenpostfächer" weiter oben in diesem Artikel beschrieben.

Besitzeraktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Stellvertretungsaktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Administratoraktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen

Wie zuvor erläutert, besteht einer der wichtigsten Vorteile der standardmäßigen Postfachüberwachung darin, dass Sie die überwachten Postfachaktionen nicht verwalten müssen. Microsoft erledigt dies für Sie, und wir fügen automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, sobald sie veröffentlicht werden.

Möglicherweise muss Ihre Organisation jedoch einen anderen Satz von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer überwachen. Die Verfahren in diesem Abschnitt zeigen, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie zu den von Microsoft verwalteten Standardaktionen zurückkehren.

Wichtig

Wenn Sie die folgenden Verfahren verwenden, um die Postfachaktionen anzupassen, die bei Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle von Microsoft veröffentlichten Standardpostfachaktionen für diese Postfächer nicht automatisch überwacht. Sie müssen alle neuen Postfachaktionen manuell zu Ihrer angepassten Liste von Aktionen hinzufügen.

Ändern der Postfachaktionen zur Überwachung

Sie können die Parameter "AuditAdmin", "AuditDelegate" oder "AuditOwner" für das Cmdlet "Set-Mailbox" verwenden, um die Postfachaktionen zu ändern, die für Benutzerpostfächer und freigegebene Postfächer überwacht werden (überwachte Aktionen für Microsoft 365 Gruppenpostfächer können nicht angepasst werden).

Sie können zwei verschiedene Methoden verwenden, um die Postfachaktionen anzugeben:

  • Ersetzen (überschreiben) Sie die vorhandenen Postfachaktionen mithilfe der folgenden Syntax: action1,action2,...actionN.
  • Hinzufügen oder Entfernen von Postfachaktionen ohne Auswirkung auf andere vorhandene Werte mithilfe dieser Syntax: @{Add="action1","action2",..."actionN"} oder @{Remove="action1","action2",..."actionN"}.

In diesem Beispiel werden die Administratorpostfachaktionen für das Postfach "Gabriela Laureano" geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In diesem Beispiel wird der Postfach-laura@contoso.onmicrosoft.com die Postfachlogin-Besitzeraktion hinzugefügt.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In diesem Beispiel wird die Stellvertretungsaktion "MoveToDeletedItems" für das Postfach "Teamdisk diskussion" entfernt.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Unabhängig von der verwendeten Methode hat das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer die folgenden Ergebnisse:

  • Für den von Ihnen angepassten Anmeldetyp werden die überwachten Postfachaktionen nicht mehr von Microsoft verwaltet.
  • Der von Ihnen angepasste Anmeldetyp wird nicht mehr wie zuvor beschrieben im DefaultAuditSet-Eigenschaftswert für das Postfach angezeigt.

Wiederherstellen der Standardmäßigen Postfachaktionen

Hinweis

Die folgenden Verfahren gelten nicht für Microsoft 365 Gruppenpostfächer (sie sind auf die hier beschriebenen Standardaktionen beschränkt).

Wenn Sie die Postfachaktionen angepasst haben, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standardpostfachaktionen für einen oder alle Anmeldetypen mithilfe der folgenden Syntax wiederherstellen:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Sie können mehrere DefaultAuditSet-Werte durch Kommas getrennt angeben.

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für alle Anmeldetypen im Postfach mark@contoso.onmicrosoft.com wiederhergestellt.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Administratoranmeldungstyp für das Postfach chris@contoso.onmicrosoft.com wiederhergestellt, aber die benutzerdefinierten überwachten Postfachaktionen für die Anmeldetypen "Stellvertretung" und "Besitzer" verbleiben.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Das Wiederherstellen der standardmäßigen überwachten Postfachaktionen für einen Anmeldetyp hat die folgenden Ergebnisse:

  • Die aktuelle Liste der Postfachaktionen wird durch die Standardpostfachaktionen für den Anmeldetyp ersetzt.
  • Alle neuen Postfachaktionen, die von Microsoft veröffentlicht werden, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.
  • Der Wert der DefaultAuditSet-Eigenschaft für das Postfach wird aktualisiert, um den wiederhergestellten Anmeldetyp einzuschließen.

Standardmäßiges Aktivieren der Postfachüberwachung für Ihre Organisation

Sie können die Postfachüberwachung für Ihre gesamte Organisation standardmäßig deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Set-OrganizationConfig -AuditDisabled $true

Das standardmäßige Deaktivieren der Postfachüberwachung hat die folgenden Ergebnisse:

  • Die Postfachüberwachung ist für Ihre Organisation deaktiviert.
  • Ab dem Zeitpunkt, zu dem Sie die Postfachüberwachung standardmäßig deaktiviert haben, werden keine Postfachaktionen überwacht, auch wenn die Überwachung für ein Postfach aktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist True).
  • Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled-Eigenschaft für ein neues oder vorhandenes Postfach auf "True " wird ignoriert.
  • Alle Zuordnungseinstellungen für die Postfachüberwachungsumgehung (konfiguriert mit dem Cmdlet Set-MailboxAuditBypassAssociation ) werden ignoriert.
  • Vorhandene Postfachüberwachungsdatensätze werden bis zum Ablauf der Altersgrenze für das Überwachungsprotokoll für den Datensatz aufbewahrt.

Standardmäßiges Aktivieren der Postfachüberwachung

Um die Postfachüberwachung für Ihre Organisation wieder zu aktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Set-OrganizationConfig -AuditDisabled $false

Umgehen der Postfachüberwachungsprotokollierung

Derzeit können Sie die Postfachüberwachung nicht für bestimmte Postfächer deaktivieren, wenn die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert ist. Beispielsweise wird das Festlegen der AuditEnabled-Postfacheigenschaft auf "False" ignoriert.

Sie können jedoch weiterhin das Cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern, dass alle Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen ausgeführt werden. Beispiel:

  • Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
  • Stellvertretungsaktionen, die von den umgangenen Benutzern in den Postfächern anderer Benutzer (einschließlich freigegebener Postfächer) ausgeführt werden, werden nicht protokolliert.
  • Administratoraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.

Wenn Sie die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer umgehen möchten, ersetzen Sie <MailboxIdentity> durch den Namen, die E-Mail-Adresse, das Alias oder den Benutzerprinzipalnamen (Benutzernamen) des Benutzers, und führen Sie den folgenden Befehl aus:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird, führen Sie den folgenden Befehl aus:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Der Wert True gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.

Weitere Informationen

  • Obwohl die Postfachüberwachungsprotokollierung standardmäßig für alle Organisationen aktiviert ist, geben nur Benutzer mit E5-Lizenzen Postfachüberwachungsprotokollereignisse in Überwachungsprotokollsuchen im Microsoft Purview-Complianceportal oder standardmäßig über die Office 365 Verwaltungsaktivitäts-API zurück.

    Zum Abrufen von Postfachüberwachungsprotokolleinträgen für Benutzer ohne E5/A5/G5-Lizenzen können Sie eine der folgenden Problemumgehungen verwenden:

    • Manuelles Aktivieren der Postfachüberwachung für einzelne Postfächer (Befehl ausführen, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). Anschließend können Sie Überwachungsprotokollsuchen im Microsoft Purview-Complianceportal oder über die Office 365-Verwaltungsaktivitäts-API verwenden.

      Hinweis

      Wenn die Postfachüberwachung für das Postfach bereits aktiviert zu sein scheint, Ihre Suchvorgänge jedoch keine Ergebnisse zurückgeben, ändern Sie den Wert des Parameters AuditEnabled in $false und dann wieder in $true.

    • Verwenden Sie die folgenden Cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog zum Durchsuchen des Postfachüberwachungsprotokolls für bestimmte Benutzer.
      • New-MailboxAuditLogSearch zum Durchsuchen des Postfachüberwachungsprotokolls für bestimmte Benutzer und zum Senden der Ergebnisse per E-Mail an angegebene Empfänger.
    • Verwenden Sie das Exchange Admin Center (EAC) in Exchange Online, um die folgenden Aktionen auszuführen:

  • Standardmäßig werden Postfachüberwachungsprotokolldatensätze 90 Tage lang aufbewahrt, bevor sie gelöscht werden. Sie können die Altersgrenze für Überwachungsprotokolldatensätze ändern, indem Sie den Parameter AuditLogAgeLimit im Cmdlet "Set-Mailbox" in Exchange Online PowerShell verwenden. Wenn Sie diesen Wert erhöhen, können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll sind.

    Wenn Sie die Altersgrenze erhöhen, müssen Sie das Cmdlet Search-MailboxAuditLog in Exchange Online PowerShell verwenden, um das Postfachüberwachungsprotokoll des Benutzers nach Datensätzen zu durchsuchen, die älter als 90 Tage sind.

  • Wenn Sie die AuditLogAgeLimit-Eigenschaft für ein Postfach geändert haben, bevor die Postfachüberwachung standardmäßig für die Organisation aktiviert ist, wird die vorhandene Altersgrenze für das Überwachungsprotokoll des Postfachs nicht geändert. Mit anderen Worten: Die Standardmäßig aktivierte Postfachüberwachung wirkt sich nicht auf die aktuelle Altersgrenze für Postfachüberwachungsdatensätze aus.

  • Um den AuditLogAgeLimit-Wert für ein Microsoft 365-Gruppenpostfach zu ändern, müssen Sie den -GroupMailbox Schalter in den Befehl "Set-Mailbox" einschließen.

  • Postfachüberwachungsprotokolldatensätze werden in einem Unterordner (mit dem Namen "Audits") im Ordner "Wiederherstellbare Elemente" im Postfach jedes Benutzers gespeichert. Beachten Sie bei Postfachüberwachungsdatensätzen und dem Ordner "Wiederherstellbare Elemente" folgende Punkte:

    • Postfachüberwachungsdatensätze zählen für das Speicherkontingent des Ordners "Wiederherstellbare Elemente", der standardmäßig 30 GB beträgt (das Warnkontingent beträgt 20 GB). Das Speicherkontingent wird automatisch auf 100 GB (mit einem Warnkontingent von 90 GB) erhöht, wenn:

      • Ein Haltebereich wird für ein Postfach platziert.
      • Das Postfach wird einer Aufbewahrungsrichtlinie im Compliance Center zugewiesen.
    • Postfachüberwachungsdatensätze zählen auch für den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente". Maximal 3 Millionen Elemente (Überwachungsdatensätze) können im Unterordner "Audits" gespeichert werden.

      Hinweis

      Es ist unwahrscheinlich, dass sich die Standardmäßige Postfachüberwachung auf das Speicherkontingent oder den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.

      • Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner "Audits" im Ordner "Wiederherstellbare Elemente" anzuzeigen:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Sie können nicht direkt auf einen Überwachungsprotokolldatensatz im Ordner "Wiederherstellbare Elemente" zugreifen. Verwenden Sie stattdessen das Cmdlet Search-MailboxAuditLog , oder durchsuchen Sie das Überwachungsprotokoll, um Postfachüberwachungsdatensätze zu suchen und anzuzeigen.

  • Wenn ein Postfach im Compliance Center in den Haltebereich gesetzt oder einer Aufbewahrungsrichtlinie zugewiesen ist, werden Überwachungsprotokolldatensätze weiterhin für die Dauer aufbewahrt, die durch die AuditLogAgeLimit-Eigenschaft des Postfachs definiert ist (standardmäßig 90 Tage). Um Überwachungsprotokolldatensätze für Postfächer im Haltebereich länger aufzubewahren, müssen Sie den AuditLogAgeLimit-Wert des Postfachs erhöhen.

  • In einer Multi-Geo-Umgebung wird die Geo-übergreifende Postfachüberwachung nicht unterstützt. Wenn beispielsweise einem Benutzer Berechtigungen für den Zugriff auf ein freigegebenes Postfach an einem anderen Geo-Speicherort zugewiesen wurden, werden die von diesem Benutzer ausgeführten Postfachaktionen im Postfachüberwachungsprotokoll des freigegebenen Postfachs nicht protokolliert. Exchange Administratorüberwachungsereignisse sind derzeit nur für den Standardspeicherort verfügbar.