Verwalten der postfachüberwachungManage mailbox auditing

Ab Januar 2019 aktiviert Microsoft die postfachüberwachungsprotokollierung standardmäßig für alle Microsoft 365-Organisationen.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all Microsoft 365 organizations. Dies führt dazu, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretern und Administratoren ausgeführt werden, automatisch protokolliert werden, und die entsprechenden Post Fach Überwachungseinträge stehen zur Verfügung, wenn Sie im postfachüberwachungsprotokoll nach diesen suchen.This means that certain actions performed by mailbox owners, delegates, and administrators are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Bevor die postfachüberwachung standardmäßig aktiviert wurde, muss Sie für jedes Benutzerpostfach in Ihrer Organisation manuell aktiviert werden.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Hier sind einige Vorteile der postfachüberwachung standardmäßig aktiviert:Here are some benefits of mailbox auditing on by default:

  • Die Überwachung wird standardmäßig aktiviert, wenn Sie ein neues Postfach erstellen.Auditing will be enabled by default when you create a new mailbox. Sie müssen Sie nicht manuell für neue Benutzer aktivieren.You won't have to manually enable it for new users.

  • Sie können die überwachten Postfachaktionen nicht verwalten.You won't have manage the mailbox actions that are audited. Ein definierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp überwacht.A defined set of mailbox actions are audited by default for each type of logon. Diese Anmeldetypen sind Besitzer, Stellvertreter und Administrator.These logon types are Owner, Delegate, and Admin.

  • Neue von Microsoft freigegebene Postfachaktionen werden standardmäßig überwacht.New mailbox actions released by Microsoft will be audited by default. Wenn Microsoft eine neue Post Fach Aktion veröffentlicht (insbesondere solche, die zum Schutz Ihrer Organisation und zur Hilfe bei forensischen Untersuchungen beitragen), wird Sie automatisch der Liste der standardmäßig überwachten Postfachaktionen hinzugefügt.When Microsoft releases a new mailbox action (particularly ones that help protect your organization and help with forensic investigations), it will automatically be added to the list of mailbox actions audited by default. Dies führt dazu, dass Sie der Liste der Postfachaktionen, die von Besitzern, Stellvertretern oder Administratoren ausgeführt werden, keine neuen Aktionen hinzufügen müssen.This means you don't have to add new actions to the list of mailbox actions performed by owners, delegates, or admins.

  • Stellen Sie sicher, dass Sie die gleichen Aktionen für alle Postfächerüber wachen, damit Sie über eine konsistente Post Fach Überwachungsrichtlinie für Ihre Organisation verfügen.Ensure that you're auditing the same actions for all mailboxes so you have a consistent mailbox auditing policy across your organization.

Tipp

Beachten Sie, dass Sie bei der Freigabe der postfachüberwachung standardmäßig keine weiteren Schritte zur Verwaltung der postfachüberwachung ausführen müssen.The important thing to remember is that with the release of mailbox auditing on by default, you don't have to do anything to manage mailbox auditing. Wenn Sie jedoch weitere Informationen wünschen, ändern Sie das Verhalten von den Standardeinstellungen, oder deaktivieren Sie es insgesamt, dieser Artikel kann Ihnen dabei helfen.However, if you want to learn more, change the behavior from the default settings, or turn it off altogether, this article can help you with that.

ÜberPrüfen, ob die postfachüberwachung standardmäßig aktiviert istVerify mailbox auditing on by default is turned on

Führen Sie in Exchange Online PowerShellden folgenden Befehl aus, um zu überprüfen, ob die postfachüberwachung standardmäßig für Ihre Organisation aktiviert ist:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | FL AuditDisabled

Der Wert false gibt an, dass die postfachüberwachung standardmäßig für Ihre Organisation aktiviert ist.A value of False indicates that mailbox auditing on by default is enabled for your organization.

Wenn die postfachüberwachung standardmäßig aktiviert ist (wenn die AuditDisabled -Eigenschaft auf falsefestgelegt ist), überschreibt die Einstellung für die Organisation die Einstellung für die postfachüberwachung für ein bestimmtes Postfach.When mailbox auditing on by default is turned on (when the AuditDisabled property is set to False), the organizational setting will override the mailbox auditing setting for a specific mailbox. Wenn beispielsweise die AuditEnabled -Eigenschaft für ein Postfach auf falsefestgelegt ist, die postfachüberwachung aber standardmäßig für Ihre Organisation aktiviert ist, werden die standardmäßigen Postfachaktionen für dieses Postfach überwacht.For example, if the AuditEnabled property for a mailbox is set to False, but mailbox auditing on by default is enabled for your organization, the default mailbox actions will be audited for that mailbox. Wenn die postfachüberwachung für ein bestimmtes Postfach explizit deaktiviert wurde und Sie dennoch deaktiviert werden soll, können Sie die postfachüberwachung für den Postfachbesitzer und andere Benutzer, denen der Zugriff auf das Postfach delegiert wurde, einrichten.If mailbox auditing was explicitly disabled for a specific mailbox and you still want it disabled, you can set up mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Weitere Informationen finden Sie im Abschnitt umgehen der postfachüberwachungsprotokollierung in diesem Artikel.For more information, see the Bypass mailbox audit logging section in this article.

Hinweis

Wenn die postfachüberwachung standardmäßig aktiviert ist, wird die AuditEnabled -Eigenschaft für ein Postfach nicht in true geändert, wenn Sie aktuell auf falsefestgelegt wurde.When mailbox auditing on by default is turned on, the AuditEnabled property for a mailbox won't be changed to True if it was currently set to False. Anders ausgedrückt, wird die AuditEnabled -Eigenschaft für ein Postfach von der postfachüberwachung standardmäßig ignoriert.In other words, mailbox auditing on by default ignores the AuditEnabled property for a mailbox.

Unterstützte PostfachtypenSupported mailbox types

In der folgenden Tabelle sind die Postfachtypen aufgeführt, die von der postfachüberwachung derzeit standardmäßig unterstützt werden:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

PostfachtypMailbox type UnterstütztSupported Nicht unterstütztNot supported
BenutzerpostfächerUser mailboxes Häkchen
Freigegebene PostfächerShared mailboxes Häkchen
Office 365-Gruppen PostfächerOffice 365 Group mailboxes Häkchen
RessourcenpostfächerResource mailboxes Häkchen
Postfächer für öffentliche OrdnerPublic folder mailboxes Häkchen

Standardmäßig protokollierte PostfachaktionenMailbox actions logged by default

Für jeden der folgenden Anmeldetypen werden standardmäßig eine Reihe von Postfachaktionen protokolliert:A set of mailbox actions are logged by default for each of the following logon types:

  • Owner – der Postfachbesitzer.Owner - The mailbox owner.

  • Delegate – ein anderer Benutzer, dem die Berechtigung "Sends", "SendOnBehalf" oder "FullAccess" für das Postfach einer Person zugewiesen wurde.Delegate - Another user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to a person's mailbox. Beachten Sie, dass ein Administrator, dem die FullAccess-Berechtigung für das Postfach eines Benutzers zugewiesen wurde, auch als Stellvertreter-Benutzer betrachtet wird.Note that an administrator who's been assigned the FullAccess permission to a user's mailbox is also considered a delegate user.

  • Auf Administrator Postfächer wird nur in den folgenden Szenarien von einem Administrator Anmeldetyp zugegriffen:Admin - Mailboxes are considered to be accessed by an admin logon type only in the following scenarios:

    • Wenn ein Postfach mit einem der folgenden Microsoft eDiscovery-Tools durchsucht wird:When a mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Inhaltssuche im Compliance Center.Content Search in the Compliance center.

      • eDiscovery oder Advanced eDiscovery im Compliance Center.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place eDiscovery in Exchange Online.In-Place eDiscovery in Exchange Online.

    • Wenn der Microsoft Exchange Server-MAPI-Editor für den Zugriff auf das Postfach verwendet wird.When Microsoft Exchange Server MAPI Editor is used to access the mailbox.

In der folgenden Tabelle sind die Postfachaktionen aufgeführt, die derzeit standardmäßig für jeden Anmeldetyp protokolliert werden.The following table lists the mailbox actions that are currently logged by default for each logon type.

AdministratoraktionenAdmin actions Stellvertretungs AktionenDelegate actions Besitzer AktionenOwner actions
ErstellenCreate ErstellenCreate HardDeleteHardDelete
HardDeleteHardDelete HardDeleteHardDelete MoveToDeletedItemsMoveToDeletedItems
MoveToDeletedItemsMoveToDeletedItems MoveToDeletedItemsMoveToDeletedItems SoftDeleteSoftDelete
SendAsSendAs SendAsSendAs AktualisierenUpdate
SendOnBehalfSendOnBehalf SendOnBehalfSendOnBehalf UpdateCalendarDelegationUpdateCalendarDelegation
SoftDeleteSoftDelete SoftDeleteSoftDelete UpdateFolderPermissionsUpdateFolderPermissions
AktualisierenUpdate AktualisierenUpdate UpdateInboxRulesUpdateInboxRules
UpdateCalendarDelegationUpdateCalendarDelegation UpdateFolderPermissionsUpdateFolderPermissions
UpdateFolderPermissionsUpdateFolderPermissions UpdateInboxRulesUpdateInboxRules
UpdateInboxRulesUpdateInboxRules

Hier finden Sie Beschreibungen dieser Postfachaktionen.Here are descriptions for these mailbox actions.

Postfach-AktionMailbox action BeschreibungDescription
CreateCreate
Ein Element wurde im Ordner Kalender, Kontakte, Notizen oder Aufgaben im Postfach erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt.An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Beachten Sie, dass das Erstellen, senden oder Empfangen einer Nachricht nicht überwacht wird.Note that creating, sending, or receiving a message isn't audited. Außerdem wird das Erstellen eines Postfachordners nicht überwacht.Also, creating a mailbox folder is not audited.
HardDeleteHardDelete
Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder.
MoveToDeletedItemsMoveToDeletedItems
Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder.
SendAsSendAs
Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner.
SendOnBehalfSendOnBehalf
Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message.
SoftDeleteSoftDelete
Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder.
UpdateUpdate
Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed.
UpdateCalendarDelegationUpdateCalendarDelegation
Einem Postfach wurde eine Kalender Delegierung zugewiesen.A calendar delegation was assigned to a mailbox. Die Kalender Delegierung erteilt anderen Benutzern in derselben Organisation Berechtigungen zum Verwalten des Kalenders des Postfachbesitzers.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar.
UpdateFolderPermissionsUpdateFolderPermissions
Eine Ordnerberechtigung wurde geändert.A folder permission was changed. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach und die Nachrichten zugreifen können, die sich in diesen Ordnern befinden.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
UpdateInboxRulesUpdateInboxRules
Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert.An inbox rule was added, removed, or changed. PostEingangsregeln werden verwendet, um Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen zu verarbeiten und Aktionen auszuführen, wenn die Bedingungen einer Regel erfüllt sind, beispielsweise das Verschieben einer Nachricht in einen bestimmten Ordner oder das Löschen einer Nachricht.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message.

Eine vollständige Liste der Postfachaktionen, einschließlich der verfügbaren Aktionen, die jedoch nicht in den Standardaktionen enthalten sind, finden Sie im Abschnitt Mailbox Auditing Actions in diesem Artikel.For a complete list of mailbox actions, including actions that are available but aren't included in the set of default actions, see the Mailbox auditing actions section in this article.

Wichtig

Wenn Sie die Postfachaktionen für einen beliebigen Anmeldetyp vor der postfachüberwachung standardmäßig für die Organisation aktiviert haben, wird die vorhandene Konfiguration für das Postfach Vorrang haben und vom Standardpostfach nicht überschrieben. in diesem Abschnitt beschriebenen Aktionen.If you have explicitly configured the mailbox actions to audit for any logon type prior to mailbox auditing on by default being turned on for organization, the existing configuration for the mailbox will take precedence and won't be overwritten by the default mailbox actions described in this section. Wenn Sie jederzeit zu den standardmäßigen Postfachaktionen zurückkehren möchten, können Sie den Befehl Set-Mailbox-DefaultAuditSet ausführen.If at any time you want to revert to the default mailbox actions, you can do that by running the Set-Mailbox -DefaultAuditSet command. Weitere Informationen hierzu finden Sie im Abschnitt Wiederherstellen der standardmäßigen Postfachaktionen in diesem Artikel.For more information about doing this, see the Restore the default mailbox actions section in this article.

Überprüfen, ob für jeden Anmeldetyp standardmäßige Postfachaktionen protokolliert werdenVerify that default mailbox actions are being logged for each logon type

Bei der standardmäßigen Freigabe der postfachüberwachung wird eine neue Postfacheigenschaft mit dem Namen DefaultAuditSet hinzugefügt.With the release of mailbox auditing on by default, a new mailbox property named DefaultAuditSet has been added. Diese Eigenschaft gibt an, ob die standardmäßigen Postfachaktionen (von Microsoft verwaltet) für jeden Anmeldetyp für ein angegebenes Postfach überwacht werden.This property indicates whether or not the default mailbox actions (managed by Microsoft) are being audited for each logon type for a specified mailbox. Sie können den folgenden Befehl ausführen, um die Werte dieser Eigenschaft anzuzeigen:You can run the following command to display the values of this property:

Get-Mailbox <username> | FL DefaultAuditSet

Ein Wert von Admin, Delegate, Owner gibt an, dass die standardmäßigen Postfachaktionen für alle drei Anmeldetypen überwacht werden und dass ein Administrator in Ihrer Organisation die Aktionen für einen beliebigen Anmeldetyp nicht geändert hat .A value of Admin, Delegate, Owner indicates that the default mailbox actions for all three logon types are being audited and that an administrator in your organization has not changed the actions for any logon type. Hinweis Dies ist der Standardzustand, nachdem die postfachüberwachung standardmäßig zunächst in Ihrer Organisation aktiviert wurde.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Wenn ein Administrator in Ihrer Organisation die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht wurden (indem Sie das Cmdlet Set-Mailbox mit den Parametern AuditAdmin, AuditDelegateoder AuditOwner verwenden), wird der Wert für die DefaultAuditSet -Eigenschaft unterscheidet sich von dem Standardwert.If an administrator in your organization has changed the mailbox actions that are audited for a logon type (by using the Set-Mailbox cmdlet with the AuditAdmin, AuditDelegate, or AuditOwner parameters), then the value for the DefaultAuditSet property will be different that the default value. Ein Wert von Owner gibt beispielsweise an, dass nur die standardmäßigen Postfachaktionen für den Postfachbesitzer überwacht werden und dass die Aktionen Delegate für Admin und geändert wurden.For example, a value of Owner indicates that the only the default mailbox actions for the mailbox owner are being audited, and that the actions for Delegate and Admin have been changed. Wenn für die DefaultAuditSet -Eigenschaft keine Werte angezeigt werden (auch als null -Wert bezeichnet), wurden die Postfachaktionen für alle drei Anmeldetypen geändert.If there are no values displayed for the DefaultAuditSet property (also called a null value) then the mailbox actions for all three logon types have been changed.

Weitere Informationen zum Ändern der überwachten Postfachaktionen finden Sie unter ändern oder Wiederherstellen von Postfachaktionen, die standardmäßig protokolliert wurden.See the Change or restore mailbox actions logged by default section in this article for more information about changing the mailbox actions that are audited.

Anzeigen einer Liste von Postfachaktionen, die standardmäßig protokolliert werdenDisplay a list of mailbox actions logged by default

Sie können die folgenden Befehle in Exchange Online PowerShell ausführen, um die Liste der Postfachaktionen anzuzeigen, die derzeit für ein Postfach für jeden Anmeldetyp gelten:You can run the following commands in Exchange Online PowerShell to display the list of mailbox actions that are currently being for a mailbox for each logon type:

Besitzer AktionenOwner actions

Get-Mailbox <username> | Select-Object -ExpandProperty AuditOwner

Stellvertretungs AktionenDelegate actions

Get-Mailbox <username> | Select-Object -ExpandProperty AuditDelegate

AdministratoraktionenAdmin actions

Get-Mailbox <username> | Select-Object -ExpandProperty AuditAdmin

Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellenChange or restore mailbox actions logged by default

Wie bereits erläutert, ist einer der Hauptvorteile der postfachüberwachung standardmäßig, dass Sie die überwachten Postfächer nicht verwalten müssen.As previously explained, one of the key benefits of mailbox auditing on by default is that you don't have to manage the mailboxes actions that are audited. Microsoft verwendet dies für Sie und fügt automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, wenn Sie freigegeben werden.Microsoft does this for you and will automatically add new mailbox actions to be audited by default when they are released. Ihre Organisation kann jedoch Gründe haben, eine Reihe von Postfachaktionen zu überwachen, die sich von den Standardeinstellungen unterscheiden.However, your organization may have reasons to audit a set of mailbox actions that are different than the default ones. In diesem Abschnitt wird gezeigt, wie Sie die für jeden Anmeldetyp überwachten Postfachaktionen ändern und wie Sie die Standardaktionen von Microsoft zurücksetzen.This section shows you how to change the mailbox actions that are audited for each of the logon type, and how to revert back to the Microsoft-managed default actions.

Wichtig

Wenn Sie Änderungen an den Postfachaktionen für einen Benutzer vornehmen, die standardmäßig protokolliert werden (wie im nächsten Abschnitt beschrieben), werden alle von Microsoft veröffentlichten neuen Postfachaktionen für diese Postfächer nicht überwacht.If you make any change to the mailbox actions for a user that are logged by default (as described in the next section), then any new mailbox actions released by Microsoft will not be audited for those mailboxes. Sie müssen der Liste der Aktionen, die für einen Anmeldetyp überwacht werden, explizit eine neue Post Fach Aktion hinzufügen.You'll have to explicitly add a new mailbox action to the list of actions that are audited for a logon type.

Ändern der Postfachaktionen in "Überwachung"Change the mailbox actions to audit

Sie können das Cmdlet Set-Mailbox mit den Parametern AuditAdmin, AuditDelegateoder AuditOwner verwenden, um die überwachten Postfachaktionen je nach Anmeldetyp zu ändern.You can use the Set-Mailbox cmdlet with the AuditAdmin, AuditDelegate, or AuditOwner parameters to change the mailbox actions that are audited, depending on the logon type. Da diese überwachungsbezogenen Parameter mehrwertige Parameter sind (d. h., Sie können mehr als einen Wert haben), gibt es zwei verschiedene Möglichkeiten, diese zu ändern.Because these auditing-related parameters are multi-value parameters (meaning they can have more than one value), there are two different ways to change them.

  • Mithilfe der folgenden Syntax können Sie mehrere Postfachaktionen angeben, die die vorhandenen Aktionen über action1,action2,...actionNschreiben:.You can specify multiple mailbox actions that overwrite the existing actions by using the following syntax: action1,action2,...actionN.

  • Sie können eine oder mehrere Postfachaktionen hinzufügen oder entfernen, ohne vorhandene Datensätze zu beeinträchtigen, indem Sie @{Add="action1","value2"} die @{Remove="action1","action2"}folgende Syntax verwenden: oder.You can add or remove one or more mailbox action without affecting any existing records by using the following syntax: @{Add="action1","value2"} or @{Remove="action1","action2"}.

Unabhängig davon, welche Methode Sie verwenden, um die überwachten Postfachaktionen zu ändern, werden die standardmäßig überwachten Postfachaktionen (für den geänderten Anmeldetyp) nicht mehr von Microsoft verwaltet.Regardless of which method you use to change the mailbox actions that are audited, the mailbox actions audited by default (for the logon type that you changed) will no longer be managed by Microsoft. Darüber hinaus wird der Wert des Anmeldetyps, den Sie geändert haben, nicht im DefaultAuditSet -Post Fach Parameter angezeigt, der zuvor beschriebenwurde.Additionally, the value of the logon type that you changed won't be displayed in the DefaultAuditSet mailbox parameter that was previously described.

Im folgenden finden Sie einige Beispiele für die Verwendung einer der folgenden Methoden zum Ändern der Postfachaktionen, die für jeden der verschiedenen Anmeldetypen überwacht werden sollen.Here are some examples of using one of these methods to change the mailbox actions to audit for each of the different logon types.

In diesem Beispiel werden die Aktionen des Admin-Postfachs durch Überschreiben der Standardaktionen mit SoftDelete und HardDelete geändert.This example changes the admin mailbox actions by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox <username> -AuditAdmin HardDelete,SoftDelete

In diesem Beispiel wird die Mailbox Login:-Besitzer Aktion hinzugefügt.This example adds the MailboxLogin owner action.

Set-Mailbox <username> -AuditOwner @{Add="MailboxLogin"}

In diesem Beispiel wird die MoveToDeletedItems-Stellvertretungs Aktion entfernt.This example removes the MoveToDeletedItems delegate action.

Set-Mailbox <username> -AuditDelegate @{Remove="MoveToDeletedItems"}

Überprüfen der DefaultAuditSet-EigenschaftChecking the DefaultAuditSet property

Nachdem Sie die standardmäßigen Postfachaktionen für einen Anmeldetyp geändert haben, wird die DefaultAuditSet -Eigenschaft des Postfachs automatisch aktualisiert, um diese Änderung widerzuspiegeln.After you change the default mailbox actions for a logon type, the DefaultAuditSet property on the mailbox will be automatically updated to reflect this change. Wenn Sie beispielsweise nach dem Get-Mailbox <username> | FL DefaultAuditSet ersten Mal, wenn Sie eine Postfachbesitzer Aktion hinzufügen oder entfernen, ausführen, gibt der Befehl nur Admin, Delegateden Wert von zurück.For example, if you run Get-Mailbox <username> | FL DefaultAuditSet after the first time you add or remove a mailbox owner action, the command will only return a value of Admin, Delegate. Dies weist darauf hin, dass die standardmäßigen Postfachaktionen für den Besitzer geändert wurden, was bedeutet, dass alle von Microsoft veröffentlichten Aktionen für den Postfachbesitzer nicht automatisch zu diesem Postfach hinzugefügt werden.This indicates that the default mailbox actions for the owner have been changed This also means that any new mailbox owner actions released by Microsoft will not be automatically added to this mailbox. Dies gilt auch für das Ändern der Postfachaktionen für den Anmeldetyp "admin" oder "Delegate".The same is true for changing the mailbox actions for the admin or delegate logon type.

Wiederherstellen der standardmäßigen PostfachaktionenRestore the default mailbox actions

Wenn Sie Änderungen an den Postfachaktionen vorgenommen haben, die für einen Anmeldetyp überwacht wurden, können Sie die überwachten Standard Postfachaktionen wiederherstellen Set-Mailbox -DefaultAuditSet , indem Sie den Befehl ausführen.If you made changes to the mailbox actions that are audited for a logon type, you can restore the default mailbox actions that are audited by running the Set-Mailbox -DefaultAuditSet command. Wenn Sie dies tun, geschieht Folgendes:When you do this, the following things will happen:

  • Die aktuelle Liste der Postfachaktionen wird durch die standardmäßigen Postfachaktionen für den entsprechenden Anmeldetyp ersetzt.The current list of mailbox actions will be replaced with the default mailbox actions for the appropriate logon type.

  • Alle neuen Postfachaktionen, die von Microsoft veröffentlicht werden, werden automatisch der Liste für den entsprechenden Anmeldetyp hinzugefügt.Any new mailbox actions released by Microsoft will be automatically added to the list for the appropriate logon type.

  • Die DefaultAuditSet-Postfacheigenschaft wird so aktualisiert, dass Sie den entsprechenden Anmeldetyp enthält.The DefaultAuditSet mailbox property will be updated to include the appropriate logon type.

Führen Sie den folgenden Befehl aus, um die standardmäßigen Postfachaktionen für alle Anmeldetypen wiederherzustellen:To restore the default mailbox actions for all logon types, run the following command:

Set-Mailbox <username> -DefaultAuditSet Admin,Delegate,Owner

Mit diesem Befehl können Sie die standardmäßigen Postfachaktionen für alle Anmeldetypen (mithilfe der Werte Admin, Delegateoder Owner für den Parameter DefaultAuditSet ) wiederherstellen.You can use this command to restore the default mailbox actions for any of the logon types (by using the Admin, Delegate, or Owner values for the DefaultAuditSet parameter.)

Deaktivieren Sie die postfachüberwachung standardmäßig für Ihre Organisation.Turn off mailbox auditing on by default for your organization

Wenn Ihre Organisation aus irgendeinem Grund entscheidet, dass Sie Postfachaktionen nicht überwachen soll, können Sie die postfachüberwachung standardmäßig für Ihre gesamte Organisation deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:If for some reason your organization decides that it doesn't want to audit mailbox actions, you can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Wenn die postfachüberwachung standardmäßig deaktiviert ist (die AuditDisabled -Eigenschaft ist auf truefestgelegt), werden die folgenden Schritte ausgeführt:When mailbox auditing on by default is turned off (the AuditDisabled property is set to True) for the organization, the following things will happen:

  • Die postfachüberwachung ist für Ihre Organisation deaktiviert.Mailbox auditing is disabled for your organization.

  • Es werden keine Postfachaktionen überwacht (ab dem Zeitpunkt, zu dem die Überwachung für die Organisation deaktiviert ist), auch wenn die AuditEnabled -Eigenschaft für ein Postfach auf truefestgelegt ist.No mailbox actions will be audited (starting from the time when auditing is disabled for the organization), even if the AuditEnabled property on a mailbox is set to True.

  • Die postfachüberwachung wird für neue Postfächer nicht aktiviert, und die AuditEnabled -Eigenschaft eines neuen (oder vorhandenen) Postfachs wird auf true festgelegt.Mailbox auditing won't be enabled for new mailboxes and setting the AuditEnabled property on a new (or existing) mailbox to True will be ignored.

  • Alle Einstellungen für die Zuordnung von Post Fach Überwachungs Umgehungen (konfiguriert mithilfe des Cmdlets Set-MailboxAuditBypassAssociation ) werden ignoriert.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) will be ignored.

  • Vorhandene Post Fach Überwachungseinträge werden beibehalten, bis die Altersgrenze für das Überwachungsprotokoll für den Datensatz abgelaufen ist.Existing mailbox audit records be retained until the audit log age limit for the the record expires.

Aktivieren der postfachüberwachung standardmäßigTurn on mailbox auditing on by default

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die postfachüberwachung wieder für Ihre Organisation zu aktivieren:To turn mailbox auditing back on for your organization, simply run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Umgehen der postfachüberwachungsprotokollierungBypass mailbox audit logging

Derzeit ist es nicht möglich, die postfachüberwachung für bestimmte Postfächer zu deaktivieren, wenn die postfachüberwachung standardmäßig in Ihrer Organisation aktiviert ist.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Beispielsweise wird das Festlegen der AuditEnabled -Postfacheigenschaft auf false ignoriert.For example, setting the AuditEnabled mailbox property to False is ignored. Sie können jedoch das Cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern, dass Postfachaktionen, die von bestimmten Benutzern ausgeführt werden, protokolliert werden.However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent mailbox actions performed by specific users from being logged. Wenn Sie die postfachüberwachung umgehen, werden die von einem bestimmten Benutzer ausgeführten Postfachaktionen nicht überwacht, unabhängig davon, in welchem Postfach diese Aktionen ausgeführt werden.When you bypass mailbox auditing, the mailbox actions performed by a specific user aren't audited, regardless of which mailbox those actions are being performed on. Wenn Sie die postfachüberwachung für einen bestimmten Benutzer umgehen, werden die von diesem Benutzer durchgeführten Aktionen des Postfachbesitzers nicht protokolliert.If you bypass mailbox auditing for a specific user, then the mailbox owner actions performed by that user won't be logged. Und wenn diesem Benutzerberechtigungen für das Postfach eines anderen Benutzers (oder ein freigegebenes Postfach) zugewiesen sind, werden auch die vom ersten Benutzer ausgeführten Stellvertretungs Aktionen nicht protokolliert.And if that same user is assigned permissions to another user's mailbox (or a shared mailbox), then the delegate actions performed by the first user also won't be logged.

Führen Sie den folgenden Befehl aus, um die postfachüberwachungsprotokollierung für einen bestimmten Benutzer zu umgehen:To bypass mailbox audit logging for a specific user, run the following command:

Set-MailboxAuditBypassAssociation -Identity <username> -AuditByPassEnabled $true

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <username> | FL AuditByPassEnabled

Der Wert true gibt an, dass die postfachüberwachungsprotokollierung für diesen Benutzer umgangen wird.A value of True indicates that mailbox audit logging is bypassed for that user.

Aktionen für die postfachüberwachungMailbox auditing actions

In der folgenden Tabelle werden die für die einzelnen Benutzeranmelde Typen überwachten Aktionen zusammengefasst.The following table summarizes the actions that are audited for each user logon type. In der Tabelle gibt ein Sternchen ( * ) an, dass die Aktion standardmäßig protokolliert wird.In the table, an asterisk ( * ) indicates that the action is logged by default. Ein Nein gibt an, dass für diesen Anmeldetyp keine Aktion protokolliert werden kann.A No indicates that an action can't be logged for that logon type. Beachten Sie, dass ein Administrator, dem Vollzugriff für ein Benutzerpostfach gewährt wurde, als Stellvertreter gilt.Note that an administrator who has been assigned the Full Access permission to a user's mailbox is considered a delegate user.

AktionAction BeschreibungDescription AdministratorAdmin StellvertretungDelegate BesitzerOwner
KopierenCopy
Eine Nachricht wurde in einen anderen Ordner kopiert.A message was copied to another folder.
JaYes
NeinNo
NeinNo
CreateCreate
Ein Element wird im Ordner Kalender, Kontakte, Notizen oder Aufgaben im Postfach erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt.An item is created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox; for example, a new meeting request is created. Beachten Sie, dass das Erstellen, senden oder Empfangen einer Nachricht nicht überwacht wird.Note that creating, sending, or receiving a message isn't audited. Außerdem wird das Erstellen eines Postfachordners nicht überwacht.Also, creating a mailbox folder is not audited.
Ja*Yes*
Ja*Yes*
JaYes
FolderBind** FolderBind**
Auf einen Postfachordner wurde zugegriffen.A mailbox folder was accessed. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.This action is also logged when the admin or delegate opens the mailbox.
JaYes
JaYes
NeinNo
HardDeleteHardDelete
Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder.
Ja*Yes*
Ja*Yes*
Ja*Yes*
Mailbox Login:MailboxLogin
Der Benutzer hat sich bei seinem Postfach angemeldet.The user signed into their mailbox.
NeinNo
NeinNo
JaYes
MessageBind*** MessageBind***
Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.A message was viewed in the preview pane or opened.
JaYes
NeinNo
NeinNo
VerschiebenMove
Eine Nachricht wurde in einen anderen Ordner verschoben.A message was moved to another folder.
JaYes
JaYes
JaYes
MoveToDeletedItemsMoveToDeletedItems
Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder.
Ja*Yes*
Ja*Yes*
Ja*Yes*
SendAsSendAs
Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner.
Ja*Yes*
Ja*Yes*
NeinNo
SendOnBehalfSendOnBehalf
Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message.
Ja*Yes*
Ja*Yes*
NeinNo
SoftDeleteSoftDelete
Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder.
Ja*Yes*
Ja*Yes*
Ja*Yes*
UpdateUpdate
Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed.
Ja*Yes*
Ja*Yes*
Ja*Yes*
UpdateCalendarDelegationUpdateCalendarDelegation
Einem Postfach wurde eine Kalender Delegierung zugewiesen.A calendar delegation was assigned to a mailbox. Die Kalender Delegierung erteilt anderen Benutzern in der Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers.Calendar delegation gives someone else in the organization permissions to manage the mailbox owner's calendar.
Ja*Yes*
NeinNo
Ja*Yes*
UpdateFolderPermissionsUpdateFolderPermissions
Eine Ordnerberechtigung wurde geändert.A folder permission was changed. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach und die Nachrichten zugreifen können, die sich in diesen Ordnern befinden.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders.
Ja*Yes*
Ja*Yes*
Ja*Yes*
UpdateInboxRulesUpdateInboxRules
Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert.An inbox rule has been added, removed, or changed. PostEingangsregeln werden verwendet, um Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen zu verarbeiten und Aktionen auszuführen, wenn die Bedingungen einer Regel erfüllt sind, beispielsweise das Verschieben einer Nachricht in einen bestimmten Ordner oder das Löschen einer Nachricht.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message.
Ja*Yes*
Ja*Yes*
Ja*Yes*

Hinweis

*Wird standardmäßig überwacht, wenn die standardmäßige postfachüberwachung für den Anmeldetyp aktiviert ist.* Audited by default when default mailbox auditing is enabled for the logon type.

**Überwachungsdatensätze für Ordner Bindungs Aktionen, die von Stellvertretern ausgeführt werden, werden konsolidiert.** Audit records for folder bind actions performed by delegates are consolidated. Ein Überwachungsdatensatz wird für den Zugriff einzelner Ordner innerhalb von 24 Stunden generiert.One audit record is generated for individual folder access within a time span of 24 hours.

Die MessageBind-Aktion ist in Exchange Online veraltet und kann nicht mehr zur Liste der Postfachaktionen für den Administrator Anmeldetyp hinzugefügt werden. * * * *** The MessageBind action has been deprecated in Exchange Online, and is no longer available to add to the list of mailbox actions for the admin logon type.

Weitere InformationenMore information

  • Die postfachüberwachungsprotokoll Einträge werden standardmäßig für 90 Tage aufbewahrt und dann gelöscht.By default, mailbox audit log records are retained for 90 days and then deleted. Sie können die Verfallszeit für Überwachungsprotokolldatensätze ändern, indem Sie den Befehl Set-Mailbox-AuditLogAgeLimit in Exchange Online PowerShell verwenden.You can change the age limit for audit log records by using the Set-Mailbox -AuditLogAgeLimit command in Exchange Online PowerShell. Beachten Sie, dass die Erhöhung der standardmäßigen Verfallszeit für Post Fach Überwachungseinträge sich nicht auf die 90-Tage-Altersgrenze für postfachüberwachungsprotokoll Datensätze im Microsoft 365-Überwachungsprotokoll auswirkt.Note that increasing the default age limit for mailbox auditing records doesn't affect the 90-day age limit for mailbox audit log records in the Microsoft 365 audit log. Wenn Sie beispielsweise die Verfallszeit für postfachüberwachungsprotokoll Datensätze auf 365 Tage verlängern, ist ein Post Fach Überwachungseintrag im Microsoft 365-Überwachungsprotokoll nur für 90 Tage nach dem entsprechenden Ereignis durchsuchbar.For example, if you increase the age limit for mailbox audit log records to 365 days, a mailbox audit record will be searchable in the Microsoft 365 audit log for only 90 days after the corresponding event occurred. In diesem Fall müssen Sie das postfachüberwachungsprotokoll des Benutzers nach Datensätzen durchsuchen, die älter als 90 Tage sind.In this case, you would have to search the user's mailbox audit log for records older than 90 days. Weitere Informationen zum Durchsuchen von postfachüberwachungsprotokollen finden Sie unter Search-Mailbox auditlog.For more information about searching mailbox audit logs, see Search-MailboxAuditLog.

  • Wenn Sie die AuditLogAgeLimit -Eigenschaft für ein Postfach geändert haben, bevor die postfachüberwachung standardmäßig für die Organisation aktiviert wird, wird der vorhandene Grenzwert für das Überwachungsprotokoll für dieses Postfach nicht geändert. in anderen Worten: die postfachüberwachung für die Post Fach Überwachungseinträge wird in der standardmäßigen Altersgrenze nicht aktiviert.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the existing audit log age limit for that mailbox will not be changed; in other words, mailbox auditing on by default doesn't effect the current age limit for mailbox audit records.

  • Postfachüberwachungsprotokoll-Einträge werden in einem Unterordner **(mit dem Namen Audits) im Ordner "Wiederherstellbare Elemente" im Postfach der einzelnen Benutzer gespeichert.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Beachten Sie die folgenden Aspekte in Bezug auf Post Fach Überwachungseinträge und den Ordner "Wiederherstellbare Elemente".Keep the following things in mind about mailbox audit records and the Recoverable Items folder.

    • Post Fach Überwachungsdatensätze gelten für das Speicherkontingent des Ordners "Wiederherstellbare Elemente", der standardmäßig 30 GB lautet (das Kontingent für die Warnung beträgt 20 GBYTE).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30GB by default (the Warning quota is 20 GB). Beachten Sie, dass das Speicherkontingent für den Ordner "Wiederherstellbare Elemente" automatisch von auf 100 GB (90 MB) erhöht wird, wenn ein Haltebereich für ein Postfach oder das Postfach einer Aufbewahrungsrichtlinie im Compliance Center zugewiesen ist.Note that the storage quota for the Recoverable Items folder is automatically increased from to 100 GB (90 MB Warning quota) when a hold is placed on a mailbox or the mailbox is assigned to a retention policy in the Compliance Center.

    • Post Fach Überwachungsdatensätze gelten auch für den Ordner Grenzwert für den Ordner "Wiederherstellbare Elemente".Mailbox audit records also counts against the folder limit for the Recoverable Items folder. Die maximale Anzahl von Elementen (in diesem Fall Überwachungsdatensätze), die im Unterordner "Überwachungen" gespeichert werden können, ist 3 Millionen Elemente.The maximum number of items (which are audit records in this case) that can be stored in the Audits subfolder is 3 million items.

      Hinweis

      Es ist unwahrscheinlich, dass sich die postfachüberwachung standardmäßig auf das Speicherkontingent oder den Ordner Grenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

    • Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner "Überwachungen" im Ordner "Wiederherstellbare Elemente" anzuzeigen:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

      Get-MailboxFolderStatistics <username> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | FL FolderPath,FolderSize,ItemsInFolder
      
    • Sie können nicht direkt auf einen Überwachungsprotokolleintrag im Ordner "Wiederherstellbare Elemente" zugreifen; Stattdessen verwenden Sie das Cmdlet Search-Mailbox auditlog oder durchsuchen das Überwachungsprotokoll von Microsoft 365, um Post Fach Überwachungseinträge zu finden und anzuzeigen.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the Microsoft 365 audit log to find and view mailbox audit records.

  • Wenn ein Postfach im Compliance Center gehalten oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden Überwachungsprotokolleinträge weiterhin für die Dauer beibehalten, die von der AuditLogAgeLimit -Eigenschaft für das Postfach definiert wurde (standardmäßig auf 90 Tage festgelegt).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration defined by the AuditLogAgeLimit property for the mailbox (which is set to 90 days by default). Sie müssen den Aufbewahrungszeitraum verlängern, indem Sie den Wert für die AuditLogAgeLimit -Eigenschaft erhöhen, um die Überwachungsprotokolleinträge für die Warteschleife länger aufzubewahren.To retain audit log records longer for mailboxes on hold, you have to increase the retention period by increasing the value for the AuditLogAgeLimit property.