Verwalten der PostfächernManage mailbox auditing

Ab Januar 2019 aktiviert Microsoft standardmäßig die Postfachüberwachungsprotokollierung für alle Organisationen.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretungen und Administratoren ausgeführt werden, automatisch protokolliert werden und die entsprechenden Postfachüberwachungseinträge verfügbar sind, wenn Sie im Postfachüberwachungsprotokoll danach suchen.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Bevor die Postfachüberwachung standardmäßig aktiviert wurde, mussten Sie sie manuell für jedes Benutzerpostfach in Ihrer Organisation aktivieren.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Nachfolgend sind einige Vorteile der Postfachüberwachung standardmäßig aufgeführt:Here are some benefits of mailbox auditing on by default:

  • Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen.Auditing is automatically enabled when you create a new mailbox. Sie müssen es nicht manuell für neue Benutzer aktivieren.You don't need to manually enable it for new users.
  • Sie müssen die Postfachaktionen, die überwacht werden, nicht verwalten.You don't need to manage the mailbox actions that are audited. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Administrator, Stellvertreter und Besitzer) überwacht.A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).
  • Wenn Microsoft eine neue Postfachaktion freigibt, wird die Aktion möglicherweise automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (sofern der Benutzer über die entsprechende Lizenz verfügt).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Dies bedeutet, dass Sie das Hinzufügen neuer Aktionen für Postfächer nicht überwachen müssen.This means you don't need to monitor add new actions on mailboxes.
  • Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihrer organisationweiten Organisation (da Sie die gleichen Aktionen für alle Postfächer überwachen).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Hinweis

  • Das Wichtige, was Sie sich über die standardmäßige Veröffentlichung der Postfachüberwachung merken sollten, ist: Sie müssen nichts tun, um die Postfachüberwachung zu verwalten.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Um jedoch mehr zu erfahren, die Postfachüberwachung aus den Standardeinstellungen anzupassen oder vollständig zu deaktivieren, kann dieser Artikel Ihnen helfen.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this article can help you.
  • Standardmäßig sind nur Postfachüberwachungsereignisse für E5-Benutzer in Überwachungsprotokollsuchen im Security & Compliance Center oder über die Office 365-Verwaltungsaktivitäts-API verfügbar.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Weitere Informationen finden Sie im Abschnitt "Weitere Informationen" in diesem Artikel.For more information, see the More information section in this article.

Überprüfen, ob die Postfachüberwachung standardmäßig aktiviert istVerify mailbox auditing on by default is turned on

Führen Sie den folgenden Befehl in Exchange Online PowerShellaus, um zu überprüfen, ob die Postfachüberwachung standardmäßig für Ihre Organisation aktiviert ist:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Der Wert False gibt an, dass die Postfachüberwachung standardmäßig für die Organisation aktiviert ist.The value False indicates that mailbox auditing on by default is enabled for the organization. Dieser standardmäßige Organisationswert setzt die Postfachüberwachungseinstellung für bestimmte Postfächer außer Kraft.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Wenn beispielsweise die Postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled-Eigenschaft ist für das Postfach falsch), werden die Standardpostfachaktionen weiterhin für das Postfach überwacht, da die Postfachüberwachung standardmäßig für die Organisation aktiviert ist.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Um die Postfachüberwachung für bestimmte Postfächer deaktiviert zu lassen, konfigurieren Sie die Postfachüberwachungsumgehung für den Postfachbesitzer und andere Benutzer, denen der Zugriff auf das Postfach delegiert wurde.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Weitere Informationen finden Sie im Abschnitt "Postfachüberwachungsprotokollierung umgehen" in diesem Artikel.For more information, see the Bypass mailbox audit logging section in this article.

Hinweis

Wenn die Postfachüberwachung für die Organisation standardmäßig aktiviert ist, wird die AuditEnabled-Eigenschaft für betroffene Postfächer nicht von "False" in "True" geändert.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. Anders ausgedrückt ignoriert die Postfachüberwachung standardmäßig die AuditEnabled-Eigenschaft für Postfächer.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Unterstützte PostfachtypenSupported mailbox types

In der folgenden Tabelle sind die Postfachtypen aufgeführt, die derzeit standardmäßig von der Postfachüberwachung unterstützt werden:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:



PostfachtypMailbox type UnterstütztSupported
BenutzerpostfächerUser mailboxes Häkchen
Freigegebene PostfächerShared mailboxes Häkchen
Microsoft 365 GruppenpostfächerMicrosoft 365 Group mailboxes Häkchen
RessourcenpostfächerResource mailboxes
Postfächer für öffentliche OrdnerPublic folder mailboxes

Anmeldetypen und PostfachaktionenLogon types and mailbox actions

Anmeldetypen klassifizieren den Benutzer, der die überwachten Aktionen für das Postfach ausgeführt hat.Logon types classify the user that did the audited actions on the mailbox. In der folgenden Liste werden die Anmeldetypen beschrieben, die in der Postfachüberwachungsprotokollierung verwendet werden:The following list describes the logon types that are used in mailbox audit logging:

  • Besitzer: Der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).Owner: The mailbox owner (the account that's associated with the mailbox).
  • Stellvertretung:Delegate:
    • Ein Benutzer, dem die Berechtigung "SendAs", "SendOnBehalf" oder "FullAccess" für ein anderes Postfach zugewiesen wurde.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.
    • Ein Administrator, dem die Berechtigung "FullAccess" für das Postfach eines Benutzers zugewiesen wurde.An admin who's been assigned the FullAccess permission to a user's mailbox.
  • Administrator:Admin:
    • Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:The mailbox is searched with one of the following Microsoft eDiscovery tools:
      • Inhaltssuche im Compliance Center.Content Search in the Compliance center.
      • eDiscovery oder Advanced eDiscovery im Compliance Center.eDiscovery or Advanced eDiscovery in the Compliance center.
      • In-Place eDiscovery in Exchange Online.In-Place eDiscovery in Exchange Online.
    • Der Zugriff auf das Postfach erfolgt über den Microsoft Exchange Server MAPI-Editor.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Postfachaktionen für Benutzerpostfächer und freigegebene PostfächerMailbox actions for user mailboxes and shared mailboxes

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die in der Postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer verfügbar sind.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Ein Häkchen (A check mark ( Häkchen) gibt an, dass die Postfachaktion für den Anmeldetyp protokolliert werden kann (nicht alle Aktionen sind für alle Anmeldetypen verfügbar).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).
  • Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Postfachaktion standardmäßig für den Anmeldetyp protokolliert wird.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.
  • Denken Sie daran, dass ein Administrator mit vollzugriffsberechtigung für ein Postfach als Stellvertretung betrachtet wird.Remember, an admin with Full Access permission to a mailbox is considered a delegate.


PostfachaktionMailbox action BeschreibungDescription AdministratorAdmin StellvertretungDelegate BesitzerOwner
AddFolderPermissionsAddFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht.Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Verwenden Sie diesen Wert also nicht.In other words, don't use this value.
ApplyRecordApplyRecord Ein Element wird als Datensatz bezeichnet.An item is labeled as a record. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
KopierenCopy Eine Nachricht wurde in einen anderen Ordner kopiert.A message was copied to another folder. Häkchen
CreateCreate Ein Element wurde im Ordner "Kalender", "Kontakte", "Notizen" oder "Aufgaben" im Postfach erstellt (z. B. wird eine neue Besprechungsanfrage erstellt).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird.Creating, sending, or receiving a message isn't audited. Auch das Erstellen eines Postfachordners wird nicht überwacht.Also, creating a mailbox folder is not audited. Häkchen*Check mark* Häkchen*Check mark* Häkchen
FolderBindFolderBind Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

Hinweis: Überwachungsdatensätze für Ordnerbindungsaktionen, die von Delegaten ausgeführt werden, werden konsolidiert.Note: Audit records for folder bind actions performed by delegates are consolidated. Ein Überwachungsdatensatz wird innerhalb eines 24-Stunden-Zeitraums für den Zugriff auf einzelne Ordner generiert.One audit record is generated for individual folder access within a 24-hour period.
Häkchen Häkchen
HardDeleteHardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
MailboxLoginMailboxLogin Der Benutzer hat sich bei dessen Postfach angemeldet.The user signed into their mailbox. Häkchen
MailItemsAccessedMailItemsAccessed Hinweis: Dieser Wert ist nur für Benutzer von E5- oder E5 Compliance-Add-On-Abonnements verfügbar.Note: This value is available only for E5 or E5 Compliance add-on subscription users. Weitere Informationen finden Sie unter Einrichten der erweiterten Überwachung in Microsoft 365.For more information, see Set up Advanced Audit in Microsoft 365.

E-Mail-Daten werden von E-Mail-Protokollen und -Clients aufgerufen.Mail data is accessed by mail protocols and clients.

Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
MessageBindMessageBind Hinweis: Dieser Wert ist nur für E3-Benutzer (Benutzer ohne E5- oder E5 Compliance-Add-On-Abonnements) verfügbar.Note: This value is available only for E3 users (users without E5 or E5 Compliance add-on subscriptions).

Eine Nachricht wurde im Vorschaubereich angezeigt oder von einem Administrator geöffnet.A message was viewed in the preview pane or opened by an admin.

Häkchen
ModifyFolderPermissionsModifyFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht.Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Verwenden Sie diesen Wert also nicht.In other words, don't use this value.
VerschiebenMove Eine Nachricht wurde in einen anderen Ordner verschoben.A message was moved to another folder. Häkchen Häkchen Häkchen
MoveToDeletedItemsMoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
RecordDeleteRecordDelete Ein Als Datensatz bezeichnetes Element wurde vorläufig gelöscht (in den Ordner "Wiederherstellbare Elemente" verschoben).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Elemente, die als Datensätze bezeichnet werden, können nicht dauerhaft gelöscht werden (aus dem Ordner "Wiederherstellbare Elemente" gelöscht).Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Häkchen Häkchen Häkchen
RemoveFolderPermissionsRemoveFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht.Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Verwenden Sie diesen Wert also nicht.In other words, don't use this value.
SearchQueryInitiatedSearchQueryInitiated Hinweis: Dieser Wert ist nur für Benutzer von E5- oder E5 Compliance-Add-On-Abonnements verfügbar.Note: This value is available only for E5 or E5 Compliance add-on subscription users. Weitere Informationen finden Sie unter Einrichten der erweiterten Überwachung in Microsoft 365.For more information, see Set up Advanced Audit in Microsoft 365.

Eine Person verwendet Outlook (Windows, Mac, iOS, Android oder Outlook im Web) oder die Mail-App für Windows 10, um nach Elementen in einem Postfach zu suchen.A person uses Outlook (Windows, Mac, iOS, Android, or Outlook on the web) or the Mail app for Windows 10 to search for items in a mailbox.

Häkchen
SendSend Hinweis: Dieser Wert ist nur für Benutzer von E5- oder E5 Compliance-Add-On-Abonnements verfügbar.Note: This value is available only for E5 or E5 Compliance add-on subscription users. Weitere Informationen finden Sie unter Einrichten der erweiterten Überwachung in Microsoft 365.For more information, see Set up Advanced Audit in Microsoft 365.

Der Benutzer sendet eine E-Mail-Nachricht, antwortet auf eine E-Mail-Nachricht oder leitet eine E-Mail-Nachricht weiter.The user sends an email message, replies to an email message, or forwards an email message.

Häkchen*Check mark* Häkchen*Check mark*
SendAsSendAs Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Häkchen*Check mark* Häkchen*Check mark*
SendOnBehalfSendOnBehalf Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Häkchen*Check mark* Häkchen*Check mark*
SoftDeleteSoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateUpdate Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation Einem Postfach wurde eine Kalenderdelegierung zugewiesen.A calendar delegation was assigned to a mailbox. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Häkchen*Check mark* Häkchen*Check mark*
UpdateComplianceTagUpdateComplianceTag Eine andere Aufbewahrungsbezeichnung wird auf ein E-Mail-Element angewendet (einem Element kann nur eine Aufbewahrungsbezeichnung zugewiesen sein).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Häkchen Häkchen Häkchen
UpdateFolderPermissionsUpdateFolderPermissions Eine Ordnerberechtigung wurde geändert.A folder permission was changed. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateInboxRulesUpdateInboxRules Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert.An inbox rule was added, removed, or changed. Posteingangsregeln werden verwendet, um Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen zu verarbeiten und Aktionen auszuführen, wenn die Bedingungen einer Regel erfüllt sind, z. B. verschieben einer Nachricht in einen angegebenen Ordner oder Löschen einer Nachricht.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*

Wichtig

Wenn Sie die Postfachaktionen so angepasst haben, dass sie auf einen beliebigen Anmeldetyp überwacht werden, bevor die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert wurde, bleiben die angepassten Einstellungen für das Postfach erhalten und werden nicht von den Standardpostfachaktionen überschrieben, wie in diesem Abschnitt beschrieben.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Informationen zum Wiederherstellen der Postfachüberwachungsaktionen auf ihre Standardwerte (die Sie jederzeit ausführen können) finden Sie im Abschnitt "Wiederherstellen der Standardpostfachaktionen" weiter unten in diesem Artikel.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this article.

Postfachaktionen für Microsoft 365 GruppenpostfächerMailbox actions for Microsoft 365 Group mailboxes

Die Postfachüberwachung ist standardmäßig aktiviert, führt die Postfachüberwachungsprotokollierung zu Microsoft 365 Gruppenpostfächern, Aber Sie können nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für einen beliebigen Anmeldetyp protokolliert werden).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die standardmäßig für Microsoft 365 Gruppenpostfächer für jeden Anmeldetyp protokolliert werden.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Denken Sie daran, dass ein Administrator mit vollzugriffsberechtigung für ein Microsoft 365 Gruppenpostfach als Stellvertretung betrachtet wird.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.



PostfachaktionMailbox action BeschreibungDescription AdministratorAdmin StellvertretungDelegate BesitzerOwner
CreateCreate Erstellen eines Kalenderelements.Creation of a calendar Item. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird.Creating, sending, or receiving a message isn't audited. Häkchen*Check mark* Häkchen*Check mark*
HardDeleteHardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
MoveToDeletedItemsMoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
SendAsSendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet.A message was sent using the SendAs permission. Häkchen*Check mark* Häkchen*Check mark*
SendOnBehalfSendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet.A message was sent using the SendOnBehalf permission. Häkchen*Check mark* Häkchen*Check mark*
SoftDeleteSoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateUpdate Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*

Stellen Sie sicher, dass für jeden Anmeldetyp Standardpostfachaktionen protokolliert werden.Verify that default mailbox actions are being logged for each logon type

Die Standardmäßige Postfachüberwachung fügt allen Postfächern eine neue DefaultAuditSet-Eigenschaft hinzu.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. Der Wert dieser Eigenschaft gibt an, ob die Standardpostfachaktionen (von Microsoft verwaltet) für das Postfach überwacht werden.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Um den Wert in Benutzerpostfächern oder freigegebenen Postfächern anzuzeigen, ersetzen Sie <MailboxIdentity> ihn durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzernamen) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Um den Wert für Microsoft 365 Gruppenpostfächer anzuzeigen, ersetzen Sie <MailboxIdentity> den Namen, alias oder die E-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Der Wert Admin, Delegate, Owner gibt Folgendes an:The value Admin, Delegate, Owner indicates:

  • Die Standardpostfachaktionen für alle drei Anmeldetypen werden überwacht.The default mailbox actions for all three logon types are being audited. Dies ist der einzige Wert, der in Microsoft 365 Gruppenpostfächern angezeigt wird.This is the only value you'll see on Microsoft 365 Group mailboxes.
  • Ein Administrator hat die überwachten Postfachaktionen für jeden Anmeldetyp für ein Benutzerpostfach oder ein freigegebenes Postfach nicht geändert.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Beachten Sie, dass dies der Standardstatus ist, nachdem die Postfachüberwachung standardmäßig in Ihrer Organisation aktiviert wurde.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Wenn ein Administrator die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter "AuditAdmin", "AuditDelegate" oder "AuditOwner" im Cmdlet "Set-Mailbox"), ist der Eigenschaftswert unterschiedlich.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Der Wert Owner für die DefaultAuditSet-Eigenschaft eines Benutzerpostfachs oder freigegebenen Postfachs gibt beispielsweise Folgendes an:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • Die Standardpostfachaktionen für den Postfachbesitzer werden überwacht.The default mailbox actions for the mailbox owner are being audited.
  • Die überwachten Postfachaktionen für die Delegate Typen und Admin Anmeldetypen wurden von den Standardaktionen geändert.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Ein leerer Wert für die DefaultAuditSet-Eigenschaft gibt an, dass die Postfachaktionen für alle drei Anmeldetypen für das Benutzerpostfach oder ein freigegebenes Postfach geändert wurden.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Weitere Informationen finden Sie im Abschnitt zum Ändern oder Wiederherstellen von Postfachaktionen, die standardmäßig in diesem Artikel protokolliert werden.For more information, see the Change or restore mailbox actions logged by default section in this article

Anzeigen der Postfachaktionen, die bei Postfächern angemeldet sindDisplay the mailbox actions that are being logged on mailboxes

Um die Postfachaktionen anzuzeigen, die derzeit bei Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, ersetzen Sie <MailboxIdentity> den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzernamen) des Postfachs, und führen Sie einen oder mehrere der folgenden Befehle in Exchange Online PowerShell aus.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Hinweis

Obwohl Sie die -GroupMailbox Option zu den folgenden Get-Mailbox-Befehlen für Microsoft 365 Gruppenpostfächer hinzufügen können, glauben Sie nicht an die zurückgegebenen Werte.Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. Die standard- und statischen Postfachaktionen, die für Microsoft 365 Gruppenpostfächer überwacht werden, werden im Abschnitt "Postfachaktionen für Microsoft 365 Gruppenpostfächer" weiter oben in diesem Artikel beschrieben.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this article.

BesitzeraktionenOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Delegieren von AktionenDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

AdministratoraktionenAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Ändern oder Wiederherstellen von Postfachaktionen, die standardmäßig protokolliert werdenChange or restore mailbox actions logged by default

Wie zuvor erläutert, ist einer der wichtigsten Vorteile der standardmäßigen Postfachüberwachung: Sie müssen die Postfachaktionen, die überwacht werden, nicht verwalten.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft erledigt dies für Sie, und wir fügen automatisch neue Postfachaktionen hinzu, die bei ihrer Veröffentlichung standardmäßig überwacht werden.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Möglicherweise muss Ihre Organisation jedoch einen anderen Satz von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer überwachen.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. Die Verfahren in diesem Abschnitt zeigen Ihnen, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie zu den von Microsoft verwalteten Standardaktionen zurückkehren.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Wichtig

Wenn Sie die folgenden Verfahren verwenden, um die Postfachaktionen anzupassen, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle neuen, von Microsoft veröffentlichten Standardpostfachaktionen nicht automatisch für diese Postfächer überwacht.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Sie müssen ihrer benutzerdefinierten Liste von Aktionen manuell alle neuen Postfachaktionen hinzufügen.You'll need to manually add any new mailbox actions to your customized list of actions.

Ändern der Postfachaktionen, die überwacht werden sollenChange the mailbox actions to audit

Sie können die Parameter "AuditAdmin", "AuditDelegate" oder "AuditOwner" im Cmdlet "Set-Mailbox" verwenden, um die Postfachaktionen zu ändern, die für Benutzerpostfächer und freigegebene Postfächer überwacht werden (überwachte Aktionen für Microsoft 365 Gruppenpostfächer können nicht angepasst werden).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

Sie können zwei verschiedene Methoden verwenden, um die Postfachaktionen anzugeben:You can use two different methods to specify the mailbox actions:

  • Ersetzen (überschreiben) Sie die vorhandenen Postfachaktionen mithilfe der folgenden Syntax: action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.
  • Hinzufügen oder Entfernen von Postfachaktionen ohne Auswirkung auf andere vorhandene Werte mithilfe der folgenden Syntax: @{Add="action1","action2",..."actionN"} oder @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

In diesem Beispiel werden die Administratorpostfachaktionen für das Postfach Gabriela Laureano geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In diesem Beispiel wird dem Postfach laura@contoso.onmicrosoft.com die Aktion "MailboxLogin-Besitzer" hinzugefügt.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In diesem Beispiel wird die Stellvertretungsaktion "MoveToDeletedItems" für das Postfach "Teamdiskussion" entfernt.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Unabhängig von der verwendeten Methode hat das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer die folgenden Ergebnisse:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Für den von Ihnen angepassten Anmeldetyp werden die überwachten Postfachaktionen nicht mehr von Microsoft verwaltet.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.
  • Der von Ihnen angepasste Anmeldetyp wird nicht mehr im DefaultAuditSet-Eigenschaftswert für das Postfach angezeigt, wie zuvor beschrieben.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Wiederherstellen der StandardpostfachaktionenRestore the default mailbox actions

Hinweis

Die folgenden Verfahren gelten nicht für Microsoft 365 Gruppenpostfächer (sie sind auf die Standardaktionen beschränkt, wie hierbeschrieben).The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

Wenn Sie die Postfachaktionen angepasst haben, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standardpostfachaktionen für einen oder alle Anmeldetypen mithilfe dieser Syntax wiederherstellen:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Sie können mehrere DefaultAuditSet-Werte durch Kommas getrennt angeben.You can specify multiple DefaultAuditSet values separated by commas

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für alle Anmeldetypen im Postfach mark@contoso.onmicrosoft.com wiederhergestellt.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Administratoranmeldetyp für das Postfach chris@contoso.onmicrosoft.com wiederhergestellt, die benutzerdefinierten überwachten Postfachaktionen bleiben jedoch für die Anmeldetypen "Stellvertretung" und "Besitzer" übrig.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Das Wiederherstellen der standardmäßigen überwachten Postfachaktionen für einen Anmeldetyp hat die folgenden Ergebnisse:Restoring he default audited mailbox actions for a logon type has the following results:

  • Die aktuelle Liste der Postfachaktionen wird durch die Standardpostfachaktionen für den Anmeldetyp ersetzt.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.
  • Alle neuen Postfachaktionen, die von Microsoft freigegeben werden, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.
  • Der DefaultAuditSet-Eigenschaftswert für das Postfach wird aktualisiert, um den wiederhergestellten Anmeldetyp einzuschließen.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Deaktivieren der Postfachüberwachung standardmäßig für Ihre OrganisationTurn off mailbox auditing on by default for your organization

Sie können die Postfachüberwachung für Ihre gesamte Organisation standardmäßig deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Wenn Sie die Postfachüberwachung standardmäßig deaktivieren, hat dies die folgenden Ergebnisse:Turning off mailbox auditing on by default has the following results:

  • Die Postfachüberwachung ist für Ihre Organisation deaktiviert.Mailbox auditing is disabled for your organization.
  • Ab dem Zeitpunkt, an dem Sie die Postfachüberwachung standardmäßig deaktiviert haben, werden keine Postfachaktionen überwacht, auch wenn die Überwachung für ein Postfach aktiviert ist (die AuditEnabled-Eigenschaft für das Postfach lautet "True").From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).
  • Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled-Eigenschaft für ein neues oder vorhandenes Postfach auf "True" wird ignoriert.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.
  • Alle Einstellungen für die Postfachüberwachungsumgehung (konfiguriert mithilfe des Cmdlets "Set-MailboxAuditBypassAssociation") werden ignoriert.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.
  • Vorhandene Postfachüberwachungseinträge werden bis zum Ablauf des Überwachungsprotokoll-Alterslimits für den Datensatz aufbewahrt.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Aktivieren der Postfachüberwachung standardmäßigTurn on mailbox auditing on by default

Um die Postfachüberwachung für Ihre Organisation wieder zu aktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Umgehen der PostfachüberwachungsprotokollierungBypass mailbox audit logging

Derzeit können Sie die Postfachüberwachung nicht für bestimmte Postfächer deaktivieren, wenn die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert ist.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Beispielsweise wird das Festlegen der AuditEnabled-Postfacheigenschaft auf "False" ignoriert.For example, setting the AuditEnabled mailbox property to False is ignored.

Sie können jedoch weiterhin das Cmdlet "Set-MailboxAuditBypassAssociation" in Exchange Online PowerShell verwenden, um zu verhindern, dass alle Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen ausgeführt werden.However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Beispiel:For example:

  • Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.Mailbox owner actions performed by the bypassed users aren't logged.
  • Stellvertretungsaktionen, die von den umgangenen Benutzern in den Postfächern anderer Benutzer (einschließlich freigegebener Postfächer) ausgeführt werden, werden nicht protokolliert.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.
  • Von den umgangenen Benutzern ausgeführte Administratoraktionen werden nicht protokolliert.Admin actions performed by the bypassed users aren't logged.

Um die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer zu umgehen, ersetzen Sie <MailboxIdentity> den Namen, die E-Mail-Adresse, den Alias oder den Benutzerprinzipalnamen (Benutzernamen) des Benutzers, und führen Sie den folgenden Befehl aus:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird, führen Sie den folgenden Befehl aus:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Der Wert "True" gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.The value True indicates that mailbox audit logging is bypassed for the user.

Weitere InformationenMore information

  • Obwohl die Postfachüberwachungsprotokollierung standardmäßig für alle Organisationen aktiviert ist, geben nur Benutzer mit E5-Lizenzen Postfachüberwachungsprotokollereignisse in Überwachungsprotokollsuchen im Security & Compliance Center oder standardmäßig über die Office 365-Verwaltungsaktivitäts-API zurück.Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Um Postfachüberwachungsprotokolleinträge für Benutzer ohne E5-Lizenzen abzurufen, können Sie Folgendes ausführen:To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Aktivieren Sie die Postfachüberwachung manuell für einzelne Postfächer (führen Sie den Befehl Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true aus.Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). Danach können Sie Überwachungsprotokollsuchen im Security & Compliance Center oder über die Office 365-Verwaltungsaktivitäts-API verwenden.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Hinweis

      Wenn die Postfachüberwachung für das Postfach bereits aktiviert zu sein scheint, ihre Suchvorgänge jedoch keine Ergebnisse zurückgeben, ändern Sie den Wert des Parameters AuditEnabled in $false und dann zurück zu $true .If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Verwenden Sie die folgenden Cmdlets in Exchange Online PowerShell:Use the following cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog zum Durchsuchen des Postfachüberwachungsprotokolls nach bestimmten Benutzern.Search-MailboxAuditLog to search the mailbox audit log for specific users.
      • New-MailboxAuditLogSearch zum Durchsuchen des Postfachüberwachungsprotokolls nach bestimmten Benutzern und zum Senden der Ergebnisse per E-Mail an angegebene Empfänger.New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.
    • Verwenden Sie das Exchange Admin Center (EAC) in Exchange Online, um die folgenden Aktionen auszuführen:Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • Standardmäßig werden Postfachüberwachungsprotokolleinträge 90 Tage lang aufbewahrt, bevor sie gelöscht werden.By default, mailbox audit log records are retained for 90 days before they're deleted. Sie können die Altersgrenze für Überwachungsprotokolldatensätze ändern, indem Sie den Parameter "AuditLogAgeLimit" im Cmdlet "Set-Mailbox" in Exchange Online PowerShell verwenden.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Wenn Sie diesen Wert erhöhen, können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll sind.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Wenn Sie die Altersgrenze erhöhen, müssen Sie das Cmdlet Search-MailboxAuditLog in Exchange Online PowerShell verwenden, um das Postfachüberwachungsprotokoll des Benutzers nach Datensätzen zu durchsuchen, die älter als 90 Tage sind.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Wenn Sie die AuditLogAgeLimit-Eigenschaft für ein Postfach geändert haben, bevor die Postfachüberwachung standardmäßig für die Organisation aktiviert ist, wird das vorhandene Überwachungsprotokollalterslimit des Postfachs nicht geändert.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. Anders ausgedrückt wirkt sich die Standardmäßige Postfachüberwachung nicht auf das aktuelle Alter für Postfachüberwachungsdatensätze aus.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Um den Wert AuditLogAgeLimit für ein Microsoft 365 Gruppenpostfach zu ändern, müssen Sie die -GroupMailbox Option in den Befehl "Set-Mailbox" einschließen.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Postfachüberwachungsprotokolleinträge werden in einem Unterordner (namens "Audits") im Ordner "Wiederherstellbare Elemente" im Postfach jedes Benutzers gespeichert.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Beachten Sie die folgenden Punkte in Bezug auf Postfachüberwachungsdatensätze und den Ordner "Wiederherstellbare Elemente":Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Postfachüberwachungsdatensätze zählen für das Speicherkontingent des Ordners "Wiederherstellbare Elemente", der standardmäßig 30 GB beträgt (das Warnungskontingent beträgt 20 GB).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). Das Speicherkontingent wird automatisch auf 100 GB (mit einem Warnkontingent von 90 GB) erhöht, wenn:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Ein Haltebereich wird für ein Postfach platziert.A hold is placed on a mailbox.
      • Das Postfach wird einer Aufbewahrungsrichtlinie im Compliance Center zugewiesen.The mailbox is assigned to a retention policy in the Compliance Center.
    • Postfachüberwachungseinträge zählen auch mit dem Ordnerlimit für den Ordner "Wiederherstellbare Elemente".Mailbox audit records also count against the folder limit for the Recoverable Items folder. Im Unterordner "Überwachungen" können maximal 3 Millionen Elemente (Überwachungsdatensätze) gespeichert werden.A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Hinweis

      Es ist unwahrscheinlich, dass sich die Postfachüberwachung standardmäßig auf das Speicherkontingent oder das Ordnerlimit für den Ordner "Wiederherstellbare Elemente" auswirkt.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner "Überwachungen" im Ordner "Wiederherstellbare Elemente" anzuzeigen:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Sie können nicht direkt auf einen Überwachungsprotokolleintrag im Ordner "Wiederherstellbare Elemente" zugreifen. Verwenden Sie stattdessen das Cmdlet "Search-MailboxAuditLog", oder durchsuchen Sie das Überwachungsprotokoll, um Postfachüberwachungseinträge zu suchen und anzuzeigen.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Wenn ein Postfach im Compliance Center aufbewahrt oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden Überwachungsprotokolleinträge weiterhin für die Dauer aufbewahrt, die durch die AuditLogAgeLimit-Eigenschaft des Postfachs definiert ist (standardmäßig 90 Tage).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Um Überwachungsprotokolldatensätze länger für Postfächer aufzubewahren, müssen Sie den AuditLogAgeLimit-Wert des Postfachs erhöhen.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • In einer Multi-Geo-Umgebung wird die Geo-übergreifende Postfachüberwachung nicht unterstützt.In a multi-geo environment, cross-geo mailbox auditing is not supported. Wenn beispielsweise einem Benutzer Berechtigungen für den Zugriff auf ein freigegebenes Postfach an einem anderen Geo-Speicherort zugewiesen wurden, werden die von diesem Benutzer ausgeführten Postfachaktionen im Postfachüberwachungsprotokoll des freigegebenen Postfachs nicht protokolliert.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.