Aktivieren der Postfachüberwachung in Office 365Enable mailbox auditing in Office 365

In Office 365 können Sie Protokollierung zum Protokollieren von Postfachzugriff durch Postfachbesitzer, Stellvertretungen und Administratoren Postfach aktivieren. Standardmäßig ist nicht Überwachung von Postfächern in Office 365 aktiviert. Dies bedeutet, dass die Überwachungsereignisse Postfach nicht in den Ergebnissen angezeigt, wenn Sie das Office 365-Überwachungsprotokoll für Mailbox-Aktivität durchsuchen. Aber wenn postfachüberwachungsprotokollierung für ein Benutzerpostfach aktiviert ist, können Sie das Überwachungsprotokoll Postfach Aktivität suchen. Darüber hinaus bei der Überwachung Postfach Protokollierung aktiviert ist, einige Aktionen, die von Administratoren, Stellvertretungen, und Besitzer werden standardmäßig protokolliert. Melden Sie sich (und suchen Sie nach) Weitere Aktionen finden Sie unter Schritt 3.In Office 365, you can turn on mailbox audit logging to log mailbox access by mailbox owners, delegates, and administrators. By default, mailbox auditing in Office 365 isn't turned on. That means mailbox auditing events won't appear in the results when you search the Office 365 audit log for mailbox activity. But after you turn on mailbox audit logging for a user mailbox, you can search the audit log for mailbox activity. Additionally, when mailbox audit logging is turned on, some actions performed by administrators, delegates, and owners are logged by default. To log (and then search for) additional actions, see Step 3.

VorbemerkungBefore you begin

  • Sie müssen Exchange Online PowerShell verwenden, um Postfach zu aktivieren postfachüberwachungsprotokollierung. Sie können die Office 365-Sicherheit nicht verwenden & Compliance Center oder die Exchange-Verwaltungskonsole.You have to use Exchange Online PowerShell to enable mailbox audit logging. You can't use the Office 365 Security & Compliance Center or the Exchange admin center.

  • Sie können nicht aktiviert werden postfachüberwachungsprotokollierung für das Postfach, das ein Office 365-Gruppe oder ein Team in Microsoft-Teams zugeordnet ist.You can't enable mailbox audit logging for the mailbox that's associated with an Office 365 Group or a team in Microsoft Teams.

  • Ein Administrator, dem Vollzugriff für ein Benutzerpostfach gewährt wurde, gilt als Stellvertreter.An administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

Schritt 1: Herstellen einer Verbindung mit Exchange Online PowerShellStep 1: Connect to Exchange Online PowerShell

  1. Öffnen Sie auf Ihrem lokalen Computer Windows PowerShell, und führen Sie dann den folgenden Befehl aus.On your local computer, open Windows PowerShell and run the following command.

    $UserCredential = Get-Credential
    
  2. Geben Sie im Dialogfeld Bei Windows PowerShell anmelden den Benutzernamen und das Kennwort des globalen Office 365-Administratorkontos ein, und klicken Sie dann auf OK.In the Windows PowerShell Credential Request dialog box, type user name and password for an Office 365 global admin account, and then click OK.

  3. Führen Sie den folgenden Befehl aus:Run the following command:

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
    
  4. Führen Sie den folgenden Befehl aus.Run the following command.

    Import-PSSession $Session
    
  5. Um zu prüfen, ob Sie mit Ihrer Exchange Online-Organisation verbunden sind, führen Sie den folgenden Befehl aus, um eine Liste aller Postfächer in Ihrer Organisation abzurufen.To verify that you're connected to your Exchange Online organization, run the following command to get a list of all the mailboxes in your organization.

    Get-Mailbox
    

Weitere Informationen oder Hinweise bei Problemen mit der Verbindung zu Ihrer Exchange Online-Organisation finden Sie unter Herstellen einer Verbindung mit Exchange Online mithilfe der Remote-PowerShell.For more information or if you have problems connecting to your Exchange Online organization, see Connect to Exchange Online using remote PowerShell.

Schritt 2: Aktivieren der PostfachüberwachungsprotokollierungStep 2: Enable mailbox audit logging

Nachdem Sie sich mit Ihrer Exchange Online-Organisation verbunden, mithilfe von PowerShell um postfachüberwachungsprotokollierung für ein Postfach zu aktivieren. Alternativ können Sie die Überwachung von Postfächern für alle Postfächer in Ihrer Organisation.After you connect to your Exchange Online organization, use PowerShell to enable mailbox audit logging for a mailbox. Alternatively, you can enable mailbox auditing for all mailboxes in your organization.

Dieses Beispiel aktiviert die postfachüberwachungsprotokollierung für Pilar Pinilla Postfach.This example enables mailbox audit logging for Pilar Pinilla's mailbox.

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

Dieses Beispiel aktiviert die Überwachungsprotokollierung für alle Postfächer in Ihrer Organisation.This example enables mailbox audit logging for all user mailboxes in your organization.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Schritt 3: Festlegen der zu überwachenden Aktionen des PostfachbesitzersStep 3: Specify owner actions to audit

Wenn Sie die Überwachung für ein Postfach aktivieren, werden einige der Postfachbesitzer durchgeführten Aktionen standardmäßig überwacht. Sie müssen andere Aktionen von zu überwachenden angeben. Finden Sie in der Tabelle im Abschnitt Überwachung Postfach-Aktionen für eine Liste und eine Beschreibung der Aktionen, die standardmäßig angemeldet sind und den anderen Aktionen, die überwacht werden können.When you enable auditing for a mailbox, some actions performed by the mailbox owner are audited by default. You have to specify other owner actions to audit. See the table in the Mailbox auditing actions section for a list and description of owner actions that are logged by default and the other actions that can be audited.

In diesem Beispiel wird die postfachüberwachung für das Postfach von Pilar Pinilla die Aktionen von MailboxLogin und HardDelete hinzugefügt. In diesem Beispiel wird davon ausgegangen, dass die Überwachung von Postfächern bereits für dieses Postfach aktiviert wurde.This example adds the MailboxLogin and HardDelete owner actions to mailbox auditing for Pilar Pinilla's mailbox. This example assumes that mailbox auditing has already been enabled for this mailbox.

Set-Mailbox "Pilar Pinilla" -AuditOwner @{Add="MailboxLogin","HardDelete"}

Dieses Beispiel aktiviert die postfachüberwachungsprotokollierung für das Postfach von Don Hall sowie gibt an, dass nur die von der Postfachbesitzer ausgeführte MailboxLogin Aktion protokolliert werden. Beachten Sie, dass in diesem Beispiel wird die Standardaktion UpdateFolderPermissions überschreibt.This example enables mailbox audit logging for Don Hall's mailbox and specifies that only the MailboxLogin action performed by the mailbox owner will be logged. Note that this example overwrites the default UpdateFolderPermissions action.

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner MailboxLogin

In diesem Beispiel werden alle Postfächer in der Organisation die Aktionen von MailboxLogin, HardDeleteund SoftDelete hinzugefügt. In diesem Beispiel wird davon ausgegangen, dass die Überwachung von Postfächern für alle Postfächer bereits aktiviert wurde.This example adds the MailboxLogin, HardDelete, and SoftDelete owner actions to all mailboxes in the organization. This example assumes that mailbox auditing has already been enabled for all mailboxes.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

Woher wissen Sie, dass dieses Verfahren erfolgreich war?How do you know this worked?

Um zu überprüfen, ob Sie die Überwachungsprotokollierung für ein Postfach erfolgreich aktiviert haben, verwenden Sie das Get-Mailbox-Cmdlet zum Abrufen der Überwachungseinstellungen für dieses Postfach.To verify that you have successfully enabled mailbox audit logging for a mailbox, use the Get-Mailbox cmdlet to retrieve the auditing settings for that mailbox.

In diesem Beispiel werden die Überwachungseinstellungen für Pilar Pinilla abgerufen.This example retrieves the auditing settings for Pilar Pinilla.

Get-Mailbox "Pilar Pinilla"| FL Audit*

Dieses Beispiel ruft die Überwachungseinstellungen für alle Benutzerpostfächer in Ihrer Organisation ab.This example retrieves the auditing settings for all user mailboxes in your organization.

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

Der Wert True für die Eigenschaft AuditEnabled überprüft, ob dieses Postfach Audit-Protokollierung ist aktiviert.A value of True for the AuditEnabled property verifies that mailbox audit logging is enabled.

Postfach auditing AktionenMailbox auditing actions

In der folgenden Tabelle sind die Aktionen aufgelistet, die vom Postfach protokolliert werden können postfachüberwachungsprotokollierung. Die Tabelle enthält, welche Aktion für die anderen Benutzer Anmeldetypen protokolliert werden kann. In der Tabelle gibt No , dass eine Aktion kann nicht für diese Anmeldetyp protokolliert werden. Ein Sternchen ( * ) gibt an, dass die Aktion standardmäßig protokolliert wird, wenn die postfachüberwachungsprotokollierung für das Postfach aktiviert ist.The following table lists the actions that can be logged by mailbox audit logging. The table includes which action can be logged for the different user logon types. In the table, a No indicates that an action can't be logged for that logon type. An asterisk ( * ) indicates that the action is logged by default when mailbox audit logging is enabled for the mailbox.

AktionAction BeschreibungDescription AdministratorAdmin Stellvertretung***Delegate*** BesitzerOwner
KopierenCopy
Eine Nachricht wurde in einen anderen Ordner kopiert.A message was copied to another folder.
JaYes
NeinNo
NeinNo
ErstellenCreate
Ein Element wird in den Ordner Kalender, Kontakte, Notizen oder Aufgaben im Postfach erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Beachten Sie, dass das Erstellen, senden oder Empfangen einer Nachricht wird nicht überwacht. Erstellen einen Postfachordner wird auch nicht überwacht.An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Note that creating, sending, or receiving a message isn't audited. Also, creating a mailbox folder is not audited.
Ja*Yes*
Ja*Yes*
JaYes
"Folderbind"FolderBind
Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.
JaYes
Ja**Yes**
Nr.No
HardDeleteHardDelete
Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder.
Ja*Yes*
Ja*Yes*
JaYes
MailboxLoginMailboxLogin
Der Benutzer hat sich bei seinem Postfach angemeldet.The user signed in to their mailbox.
NeinNo
NeinNo
JaYes
"Messagebind"MessageBind
Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.A message was viewed in the preview pane or opened.
JaYes
NeinNo
NeinNo
VerschiebenMove
Eine Nachricht wurde in einen anderen Ordner verschoben.A message was moved to another folder.
JaYes
JaYes
JaYes
MoveToDeletedItemsMoveToDeletedItems
Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder.
Ja*Yes*
Ja*Yes*
JaYes
"SendAs"SendAs
Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner.
Ja*Yes*
Ja*Yes*
NeinNo
Sendonbehalf werden standardmäßigSendOnBehalf
Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message.
Ja*Yes*
Ja*Yes*
NeinNo
SoftDeleteSoftDelete
Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder.
Ja*Yes*
Ja*Yes*
JaYes
AktualisierenUpdate
Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed.
Ja*Yes*
Ja*Yes*
JaYes
UpdateCalendarDelegationUpdateCalendarDelegation
Eine kalenderdelegierung wurde eines Postfachs zugewiesen. Kalenderdelegierung ermöglicht eine andere Person in der gleichen Organisationsberechtigungen zum Verwalten des Postfachbesitzers Kalenders.A calendar delegation was assigned to a mailbox. Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar.
Ja*Yes*
NeinNo
Ja*Yes*
UpdateFolderPermissionsUpdateFolderPermissions
Eine Ordnerberechtigung wurde geändert. Ordner Berechtigungen-steuern, welche Benutzer in Ihrer Organisation Ordner in einem Postfach und die Nachrichten befindet sich in den Ordnern zugreifen können.A folder permission was changed. Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Ja*Yes*
Ja*Yes*
Ja*Yes*
UpdateInboxRulesUpdateInboxRules
Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert. Posteingangsregeln dienen zum Verarbeiten von Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen und Aktionen, wenn die Bedingung einer Regel erfüllt sind, wie eine Nachricht in einen bestimmten Ordner verschieben oder Löschen einer Nachricht.An inbox rule has been added, removed, or changed. Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message.
Ja*Yes*
Ja*Yes*
Ja*Yes*

Hinweis

*Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert ist.* Audited by default if auditing is enabled for a mailbox.

**Einträge für Ordner binden Aktionen, die von Stellvertretern werden konsolidiert. Für den Zugriff auf einzelne Ordner innerhalb des Zeitraums von 24 Stunden wird ein Protokolleintrag generiert.** Entries for folder bind actions performed by delegates are consolidated. One log entry is generated for individual folder access within a time span of 24 hours.

***Ein Administrator die Berechtigung "Vollzugriff" des Postfachs eines Benutzers zugewiesen wurde, wird ein Stellvertreter betrachtet.*** An administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

Wenn Sie bestimmte Arten von zu überwachenden Postfach Aktionen nicht mehr benötigen, sollten Sie das Postfach Protokollierung Überwachungskonfiguration, um diese Aktionen deaktivieren ändern. Vorhandene Protokolleinträge werden nicht gelöscht, bis das Aufbewahrungslimit nach Überwachungsprotokolleinträgen erreicht wird. Weitere Informationen zu den Aufbewahrungszeitraum für Überwachungsprotokolleinträge finden Sie im Abschnitt "bevor Sie beginnen", bei der Suche der Überwachungsprotokolle melden Sie sich bei der Office 365-Sicherheit und Compliance Center.If you no longer require certain types of mailbox actions to be audited, you should modify the mailbox's audit logging configuration to disable those actions. Existing log entries aren't purged until the retention age limit for audit log entries is reached. For more information about the retention age for audit log entries, see the "Before you begin" section in Search the audit log in the Office 365 Security & Compliance Center.

Weitere InformationenMore info

  • Verwenden Sie das Überwachungsprotokoll für Office 365 für die Suche nach Postfach-Aktivität, die protokolliert wurden. Sie können für die Aktivität für das Postfach von einem bestimmten Benutzer suchen. Der folgende Screenshot zeigt eine Liste der Postfach-Aktivitäten, die Sie in das Überwachungsprotokoll Office 365 suchen können. Beachten Sie, dass diese Aktivitäten dieselben Aktionen, die im Abschnitt "Überwachung von Postfächern Aktionen" in diesem Thema beschrieben werden.Use the Office 365 audit log to search for mailbox activity that have been logged. You can search for activity for a specific user mailbox. The following screenshot shows a list of mailbox activities that you can search for in the Office 365 audit log. Note that these activities are the same actions that are described in the "Mailbox auditing actions" section in this topic.

    Sie können das Office 365-Überwachungsprotokoll für Mailbox Audit Aktionen suchen, indem Sie in der Dropdownliste der Aktivitäten auswählen "Exchange-Postfach Aktivitäten"

    In der folgenden Tabelle wird jede Aktivität Postfach, dass nach suchen und zeigt die entsprechende Aktion postfachüberwachung beschrieben.The following table describes each mailbox activity that you can search for and shows the corresponding mailbox auditing action.

    Aktivitäten im ÜberwachungsprotokollActivity in the audit log Postfach-Überwachung-AktionMailbox auditing action
    Erstellte Postfach-ElementCreated mailbox item
    ErstellenCreate
    Die kopierten Nachrichten in einen anderen OrdnerCopied messages to another folder
    KopierenCopy
    Benutzer, die im Postfach angemeldetUser signed in to mailbox
    MailboxLoginMailboxLogin
    Nachricht gesendet Senden im Auftrag von BerechtigungenSent message using Send On Behalf permissions
    Sendonbehalf werden standardmäßigSendOnBehalf
    Gelöschten Nachrichten aus dem PostfachPurged messages from the mailbox
    HardDeleteHardDelete
    Nachrichten in Ordner Gelöschte Elemente verschobenMoved messages to Deleted Items folder
    MoveToDeletedItemsMoveToDeletedItems
    Nachrichten in einen anderen Ordner verschobenMoved messages to another folder
    VerschiebenMove
    Gesendete Nachricht mit der Berechtigung Senden alsSent message using Send As permissions
    "SendAs"SendAs
    Aktualisierte NachrichtUpdated message
    AktualisierenUpdate
    Gelöschte Nachrichten aus dem Ordner Gelöschte ElementeDeleted messages from Deleted Items folder
    SoftDeleteSoftDelete
    Zusätzliche Berechtigungen für OrdnerAdded permissions to folder
    UpdateFolderPermissionsUpdateFolderPermissions
    Geänderte Berechtigungen des OrdnersModified permissions of folder
    UpdateFolderPermissionsUpdateFolderPermissions
    Entfernte Berechtigungen aus OrdnerRemoved permissions from folder
    UpdateFolderPermissionsUpdateFolderPermissions
    Hinzugefügt oder entfernt wurden Benutzer mit Delegieren des Zugriffs auf KalenderordnerAdded or removed user with delegate access to calendar folder
    UpdateCalendarDelegationUpdateCalendarDelegation

    Beachten Sie, dass die Hinzufügung Stellvertretungsberechtigungen Postfach und entfernt Stellvertretungsberechtigungen Postfach Aktivitäten, die dem vorherigen Screenshot mit postfachüberwachung Aktionen verknüpft sind. Sie geben an, ob ein Administrator zugewiesen oder die Berechtigung FullAccess Postfach entfernt.Note that the Added delegate mailbox permissions and Removed delegate mailbox permissions activities shown in the previous screenshot aren't related to mailbox auditing actions. They indicate whether an administrator assigned or removed the FullAccess mailbox permission.

    Informationen über das Office 365-Überwachungsprotokoll finden Sie unter Suchen Sie das Überwachungsprotokoll in die Office 365-Sicherheit & Compliance Center.For information about the Office 365 audit log, see Search the audit log in the Office 365 Security & Compliance Center.

  • Nur in den folgenden Szenarien wird ein Postfachzugriff als Administratorzugriff erachtet:Mailboxes are considered to be accessed by an administrator only in the following scenarios:

    • Compliance-eDiscovery in Exchange Online oder Inhaltssuche in Office 365 wird zum Durchsuchen eines Postfachs verwendet.In-Place eDiscovery in Exchange Online or Content Search in Office 365 is used to search a mailbox.

    • Microsoft Exchange Server MAPI Editor wird für den Zugriff auf das Postfach verwendet.Microsoft Exchange Server MAPI Editor is used to access the mailbox.

  • Wenn Sie die Überwachungsprotokollierung für ein Postfach aktivieren, können Sie auch angeben, welche Benutzeraktionen (beispielsweise Zugriff auf eine Nachricht, Verschieben oder Löschen einer Nachricht) für einen Anmeldetyp (Administrator, Stellvertreter oder Besitzer) protokolliert werden. When you enable audit logging for a mailbox, you can also specify which user actions (for example, accessing, moving, or deleting a message) will be logged for each logon type (admin, delegate, or owner).

  • Verwenden Sie den folgenden Befehl, um die Postfachüberwachungsprotokollierung zu deaktivieren:To disable mailbox audit logging, run the following command:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
    
  • Die Aktionen, die für jeden Typ von Benutzer überwacht werden werden nicht angezeigt, wenn Sie das Get-Mailbox -Cmdlet ausführen. Jedoch können Sie die folgenden Befehle zum Anzeigen der überwachten Aktionen für einen bestimmten Benutzer anmelden aus.The actions that are audited for each type of user aren't displayed when you run the Get-Mailbox cmdlet. But you can run the following commands to display all the audited actions for a specific user logon type.

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
  • Außerdem können Sie exportieren ein postfachüberwachungsprotokolls und geben Sie die Einträge für einen oder mehrere Benutzer einschließen. Jeder Eintrag in den Bericht und das Überwachungsprotokoll enthält Informationen, die die Aktion ausgeführt, und wenn die Aktion ausgeführt und, ob die Aktion erfolgreich war. Weitere Informationen finden Sie unter postfachüberwachungsprotokolle exportieren.You can also export a mailbox audit log and specify the entries to include for one or more users. Each entry in the report and the audit log includes information about who performed the action and when, the action performed , and whether the action was successful. For more information, see Export mailbox audit logs.