Verwalten der PostfächernManage mailbox auditing

Ab Januar 2019 wird Microsoft die postfachüberwachungsprotokollierung standardmäßig für alle Microsoft 365-Organisationen aktivieren.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all Microsoft 365 organizations. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretern und Administratoren ausgeführt werden, automatisch protokolliert werden und dass die entsprechenden Post Fach Überwachungseinträge verfügbar sind, wenn Sie im postfachüberwachungsprotokoll nach diesen suchen.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Bevor die postfachüberwachung standardmäßig aktiviert wurde, muss Sie für jedes Benutzerpostfach in Ihrer Organisation manuell aktiviert werden.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Hier sind einige Vorteile der postfachüberwachung standardmäßig aktiviert:Here are some benefits of mailbox auditing on by default:

  • Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen.Auditing is automatically enabled when you create a new mailbox. Sie müssen Sie nicht manuell für neue Benutzer aktivieren.You don't need to manually enable it for new users.

  • Sie müssen die überwachten Postfachaktionen nicht verwalten.You don't need to manage the mailbox actions that are audited. Eine vordefinierte Gruppe von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Administrator, Stellvertreter und Besitzer) überwacht.A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Wenn Microsoft eine neue Post Fach Aktion (insbesondere Aktionen, die zum Schutz Ihrer Organisation und zur Unterstützung bei forensischen Untersuchungen beitragen) veröffentlicht, wird die Aktion automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden.When Microsoft releases a new mailbox action (particularly actions that help protect your organization and help with forensic investigations), the action is automatically added to the list of mailbox actions that are audited by default. Dies bedeutet, dass Sie keine Überwachung Hinzufügen neuer Aktionen für Postfächer benötigen.This means you don't need to monitor add new actions on mailboxes.

  • Sie verfügen über eine konsistente Überwachungsrichtlinie für Postfächer in Ihrer Organisation (da Sie die gleichen Aktionen für alle Postfächerüber Wachen).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Tipp

Das wichtigste, was Sie über die Veröffentlichung der postfachüberwachung in der Standardeinstellung wissen sollten, ist: Sie müssen nichts Unternehmen, um die postfachüberwachung zu verwalten.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Um weitere Informationen zu erhalten, die postfachüberwachung von den Standardeinstellungen anzupassen oder Sie ganz zu deaktivieren, kann Ihnen dieses Thema helfen.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.

Überprüfen, ob die postfachüberwachung standardmäßig aktiviert istVerify mailbox auditing on by default is turned on

Um zu überprüfen, ob die postfachüberwachung für Ihre Organisation standardmäßig aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShellaus:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Der Wert false gibt an, dass die postfachüberwachung standardmäßig für die Organisation aktiviert ist.The value False indicates that mailbox auditing on by default is enabled for the organization. Dieser Wert wird standardmäßig auf die Einstellung für die postfachüberwachung für bestimmte Postfächerüber schrieben.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Wenn beispielsweise die postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled -Eigenschaft ist für das Postfach auf false festgelegt ), werden die standardmäßigen Postfachaktionen weiterhin für das Postfach überwacht, da die postfachüberwachung für standardmäßig aktiviert ist für den Organisation.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Damit die postfachüberwachung für bestimmte Postfächer deaktiviert bleibt, konfigurieren Sie die Post Fach Überwachungsumgehung für den Postfachbesitzer und andere Benutzer, denen der Zugriff auf das Postfach delegiert wurde.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Weitere Informationen finden Sie im Abschnitt umgehen der postfachüberwachungsprotokollierung in diesem Thema.For more information, see the Bypass mailbox audit logging section in this topic.

Hinweis

Wenn die postfachüberwachung für die Organisation standardmäßig aktiviert ist, wird die AuditEnabled -Eigenschaft für betroffene Postfächer nicht von false in truegeändert.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. In anderen Worten: bei der postfachüberwachung wird standardmäßig die AuditEnabled -Eigenschaft für Postfächer ignoriert.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Unterstützte PostfachtypenSupported mailbox types

In der folgenden Tabelle sind die Postfachtypen aufgeführt, die derzeit standardmäßig von der postfachüberwachung unterstützt werden:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

PostfachtypMailbox type UnterstütztSupported Nicht unterstütztNot supported
BenutzerpostfächerUser mailboxes Häkchen
Freigegebene PostfächerShared mailboxes Häkchen
Office 365 Gruppen PostfächerOffice 365 Group mailboxes Häkchen
RessourcenpostfächerResource mailboxes Häkchen
Postfächer für öffentliche OrdnerPublic folder mailboxes Häkchen

Anmeldetypen und PostfachaktionenLogon types and mailbox actions

Anmeldetypen klassifizieren Sie den Benutzer, der die überwachten Aktionen für das Postfach ausgeführt hat.Logon types classify the user that did the audited actions on the mailbox. In der folgenden Liste werden die Anmeldetypen beschrieben, die in der postfachüberwachungsprotokollierung verwendet werden:The following list describes the logon types that are used in mailbox audit logging:

  • Besitzer: der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Delegate:Delegate:

    • Ein Benutzer, dem die Berechtigung "Sends", "SendOnBehalf" oder "FullAccess" für ein anderes Postfach zugewiesen wurde.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • Ein Administrator, dem die Berechtigung FullAccess für das Postfach eines Benutzers zugewiesen wurde.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Admin:Admin:

    • Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Inhaltssuche im Compliance Center.Content Search in the Compliance center.

      • eDiscovery oder erweiterte eDiscovery im Compliance Center.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place-eDiscovery in Exchange Online.In-Place eDiscovery in Exchange Online.

    • Auf das Postfach wird mithilfe des Exchange Server MAPI-Editorszugegriffen.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Postfachaktionen für Benutzerpostfächer und freigegebene PostfächerMailbox actions for user mailboxes and shared mailboxes

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die in der postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer zur Verfügung stehen.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Ein Häkchen (A check mark ( Häkchen) gibt an, dass die Post Fach Aktion für den Anmeldetyp protokolliert werden kann (nicht alle Aktionen stehen für alle Anmeldetypen zur Verfügung).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Post Fach Aktion für den Anmeldetyp standardmäßig protokolliert wird.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • Denken Sie daran, dass ein Administrator mit der Berechtigung "Vollzugriff" für ein Postfach als Stellvertreter betrachtet wird.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

Post Fach AktionMailbox action BeschreibungDescription AdministratorAdmin StellvertretungDelegate BesitzerOwner
AddFolderPermissionsAddFolderPermissions Hinweis: Obwohl dieser Wert als Post Fach Aktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions -Aktion enthalten und wird nicht separat überwacht.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Mit anderen Worten: Verwenden Sie diesen Wert nicht.In other words, don't use this value.
ApplyRecordApplyRecord Ein Element wird als Datensatz gekennzeichnet.An item is labeled as a record. Häkchen Häkchen Häkchen
KopierenCopy Eine Nachricht wurde in einen anderen Ordner kopiert.A message was copied to another folder. Häkchen
CreateCreate Ein Element wurde im Ordner "Kalender", "Kontakte", "Notizen" oder "Aufgaben" im Postfach erstellt (beispielsweise wird eine neue Besprechungsanfrage erstellt).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Beachten Sie, dass das Erstellen, senden oder Empfangen einer Nachricht nicht überwacht wird.Note that creating, sending, or receiving a message isn't audited. Außerdem wird das Erstellen eines Postfachordners nicht überwacht.Also, creating a mailbox folder is not audited. Häkchen*Check mark* Häkchen*Check mark* Häkchen
FolderBindFolderBind Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

Hinweis: Überwachungseinträge für von Delegaten ausgeführte Ordner Bindungs Aktionen werden konsolidiert.Note: Audit records for folder bind actions performed by delegates are consolidated. Für den Zugriff auf einzelne Ordner innerhalb von 24 Stunden wird ein Überwachungseintrag generiert.One audit record is generated for individual folder access within 24 hour period.
Häkchen Häkchen
HardDeleteHardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
Mailbox Login:MailboxLogin Der Benutzer hat sich bei seinem Postfach angemeldet.The user signed into their mailbox. Häkchen
MessageBindMessageBind Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.A message was viewed in the preview pane or opened. Häkchen
ModifyFolderPermissionsModifyFolderPermissions Hinweis: Obwohl dieser Wert als Post Fach Aktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions -Aktion enthalten und wird nicht separat überwacht.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Mit anderen Worten: Verwenden Sie diesen Wert nicht.In other words, don't use this value.
VerschiebenMove Eine Nachricht wurde in einen anderen Ordner verschoben.A message was moved to another folder. Häkchen Häkchen Häkchen
MoveToDeletedItemsMoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
RecordDeleteRecordDelete Ein Element, das als Datensatz gekennzeichnet ist, wurde vorläufig gelöscht (in den Ordner "refundable Items" verschoben).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Elemente, die als Datensätze bezeichnet werden, können nicht dauerhaft gelöscht werden (bereinigt aus dem Ordner "Wiederherstellbare Elemente").Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Häkchen Häkchen Häkchen
RemoveFolderPermissionsRemoveFolderPermissions Hinweis: Obwohl dieser Wert als Post Fach Aktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions -Aktion enthalten und wird nicht separat überwacht.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Mit anderen Worten: Verwenden Sie diesen Wert nicht.In other words, don't use this value.
SendAsSendAs Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Häkchen*Check mark* Häkchen*Check mark*
SendOnBehalfSendOnBehalf Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Häkchen*Check mark* Häkchen*Check mark*
SoftDeleteSoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateUpdate Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation Eine Kalender Delegierung wurde einem Postfach zugewiesen.A calendar delegation was assigned to a mailbox. Mit der Kalender Delegierung kann ein anderer Benutzer in derselben Organisation Berechtigungen zum Verwalten des Kalenders des Postfachbesitzers erhalten.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Häkchen*Check mark* Häkchen*Check mark*
UpdateFolderPermissionsUpdateFolderPermissions Eine Ordnerberechtigung wurde geändert.A folder permission was changed. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach und die in diesen Ordnern befindlichen Nachrichten zugreifen können.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateInboxRulesUpdateInboxRules Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert.An inbox rule was added, removed, or changed. Posteingangsregeln werden verwendet, um Nachrichten im Posteingang des Benutzers basierend auf den angegebenen Bedingungen zu verarbeiten und Aktionen zu ergreifen, wenn die Bedingungen einer Regel erfüllt sind, beispielsweise das Verschieben einer Nachricht in einen angegebenen Ordner oder das Löschen einer Nachricht.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*

Wichtig

Wenn Sie die Postfachaktionen zur Überwachung für einen beliebigen Anmeldetyp angepasst haben, bevor die postfachüberwachung standardmäßig in Ihrer Organisation aktiviert wurde, werden die benutzerdefinierten Einstellungen im Postfach beibehalten und nicht durch die standardmäßigen Postfachaktionen überschrieben, da in diesem Abschnitt beschrieben.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Wenn Sie die Überwachungs Postfachaktionen auf ihre Standardwerte zurücksetzen möchten (was Sie jederzeit tun können), lesen Sie den Abschnitt Wiederherstellen der standardmäßigen Postfachaktionen weiter unten in diesem Thema.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Postfachaktionen für Office 365 Gruppen PostfächerMailbox actions for Office 365 Group mailboxes

Die postfachüberwachung aktiviert standardmäßig die postfachüberwachungsprotokollierung in Office 365 Gruppen Postfächer, aber Sie können nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für einen beliebigen Anmeldetyp protokolliert werden).Mailbox auditing on by default brings mailbox audit logging to Office 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die standardmäßig in Office 365 Gruppen Postfächern für die einzelnen Anmeldetypen protokolliert werden.The following table describes the mailbox actions that are logged by default on Office 365 Group mailboxes for each logon type.

Denken Sie daran, dass ein Administrator mit der Berechtigung "Vollzugriff" für ein Office 365 Gruppenpostfach als Stellvertreter betrachtet wird.Remember, an admin with Full Access permission to an Office 365 Group mailbox is considered a delegate.

Post Fach AktionMailbox action BeschreibungDescription AdministratorAdmin StellvertretungDelegate BesitzerOwner
CreateCreate Erstellen eines Kalenderelements.Creation of a calendar Item. Beachten Sie, dass das Erstellen, senden oder Empfangen einer Nachricht nicht überwacht wird.Note that creating, sending, or receiving a message isn't audited. Häkchen*Check mark* Häkchen*Check mark*
HardDeleteHardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.A message was purged from the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
MoveToDeletedItemsMoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner „Gelöschte Objekte“ verschoben.A message was deleted and moved to the Deleted Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
SendAsSendAs Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet.A message was sent using the SendAs permission. Häkchen*Check mark* Häkchen*Check mark*
SendOnBehalfSendOnBehalf Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet.A message was sent using the SendOnBehalf permission. Häkchen*Check mark* Häkchen*Check mark*
SoftDeleteSoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*
UpdateUpdate Eine Nachricht oder deren Eigenschaften wurden geändert.A message or its properties was changed. Häkchen*Check mark* Häkchen*Check mark* Häkchen*Check mark*

Überprüfen, ob standardmäßige Postfachaktionen für jeden Anmeldetyp protokolliert werdenVerify that default mailbox actions are being logged for each logon type

Durch Standardeinstellungen für die postfachüberwachung wird allen Postfächern eine neue DefaultAuditSet -Eigenschaft hinzugefügt.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. Der Wert dieser Eigenschaft gibt an, ob die standardmäßigen Postfachaktionen (verwaltet von Microsoft) für das Postfach überwacht werden.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Um den Wert für Benutzerpostfächer oder freigegebene Post <Fächer> anzuzeigen, ersetzen Sie Mailbox Identity durch den Namen, den Alias, die e-Mail-Adresse oder den Benutzerprinzipalnamen (username) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Wenn Sie den Wert für Office 365 Gruppen Postfächer anzeigen möchten <,> ersetzen Sie Mailbox Identity durch den Namen, den Alias oder die e-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:To display the value on Office 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Der Wert Admin, Delegate, Owner gibt an:The value Admin, Delegate, Owner indicates:

  • Die standardmäßigen Postfachaktionen für alle drei Anmeldetypen werden überwacht.The default mailbox actions for all three logon types are being audited. Beachten Sie, dass dies der einzige Wert ist, den Sie für Office 365 Gruppen Postfächer sehen.Note that this is the only value you'll see on Office 365 Group mailboxes.

  • Ein Administrator hat die überwachten Postfachaktionen für keinen Anmeldetyp in einem Benutzerpostfach oder einem freigegebenen Postfach geändert.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Hinweis Dies ist der Standardzustand, wenn die postfachüberwachung für standardmäßig anfänglich in Ihrer Organisation aktiviert ist.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Wenn ein Administrator die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter AuditAdmin, AuditDelegateoder AuditOwner für das Cmdlet " Satz-Postfach "), ist der Eigenschaftswert unterschiedlich.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Beispielsweise gibt der Wert Owner für die DefaultAuditSet -Eigenschaft für ein Benutzerpostfach oder ein freigegebenes Postfach Folgendes an:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • Die standardmäßigen Postfachaktionen für den Postfachbesitzer werden überwacht.The default mailbox actions for the mailbox owner are being audited.

  • Die überwachten Postfachaktionen Delegate für Admin die-und-Anmeldetypen wurden von den Standardaktionen geändert.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Ein leerer Wert für die DefaultAuditSet -Eigenschaft gibt an, dass die Postfachaktionen für alle drei Anmeldetypen für das Benutzerpostfach oder ein freigegebenes Postfach geändert wurden.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Weitere Informationen finden Sie im Abschnitt ändern oder Wiederherstellen von Postfachaktionen, die standardmäßig in diesem Thema protokolliert werden.For more information, see the Change or restore mailbox actions logged by default section in this topic

Anzeigen der Postfachaktionen, die für Postfächer angemeldet sindDisplay the mailbox actions that are being logged on mailboxes

Wenn Sie die Postfachaktionen anzeigen möchten, die derzeit für Benutzerpostfächer oder freigegebene Postfächer angemeldet sind, ersetzen <Sie Mailbox Identity> durch den Namen, den Alias, die e-Mail-Adresse oder den Benutzerprinzipalnamen (username) des Postfachs, und führen Sie eine oder mehrere der folgenden Schritte aus. Befehle in Exchange Online PowerShell.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Hinweis

Obwohl Sie den -GroupMailbox Schalter den folgenden Get-Mailbox- Befehlen für Office 365 Gruppen Postfächer hinzufügen können, sind die Werte, die Sie sehen, nicht zu glauben.Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Office 365 Group mailboxes, don't believe the values you see. Die standardmäßigen und statischen Postfachaktionen, die für Office 365 Gruppen Postfächern überwacht werden, werden im Abschnitt Postfachaktionen für Office 365 Gruppen Postfächer weiter oben in diesem Thema beschrieben.The default and static mailbox actions that are audited for Office 365 Group mailboxes are described in the Mailbox actions for Office 365 Group mailboxes section earlier in this topic.

Besitzer AktionenOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Delegieren von AktionenDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

AdministratoraktionenAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellenChange or restore mailbox actions logged by default

Wie bereits erläutert, ist einer der wichtigsten Vorteile der standardmäßigen Überwachung von Postfächern: Sie müssen die überwachten Postfachaktionen nicht verwalten.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Dies wird von Microsoft für Sie ausgeführt, und es werden automatisch neue Postfachaktionen hinzugefügt, die standardmäßig überwacht werden, wenn Sie veröffentlicht werden.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Möglicherweise muss Ihre Organisation jedoch eine andere Gruppe von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächerüber wachen.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. In den Verfahren in diesem Abschnitt erfahren Sie, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie wieder zu den von Microsoft verwalteten Standardaktionen zurückkehren.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Wichtig

Wenn Sie die folgenden Verfahren zum Anpassen der Postfachaktionen verwenden, die für Benutzerpostfächer oder freigegebene Postfächer angemeldet sind, werden alle neuen Standard Postfachaktionen, die von Microsoft freigegeben werden, nicht automatisch für diese Postfächer überwacht.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Sie müssen der angepassten Liste der Aktionen manuell neue Postfachaktionen hinzufügen.You'll need to manually add any new mailbox actions to your customized list of actions.

Ändern der Postfachaktionen in "Überwachung"Change the mailbox actions to audit

Sie können die AuditAdmin-, AuditDelegate-oder AuditOwner -Parameter im CmdletSet -Mailbox verwenden, um die Postfachaktionen zu ändern, die für Benutzerpostfächer und freigegebene Postfächer überwacht werden (überwachte Aktionen für Office 365 Gruppe Postfächer können nicht angepasst werden).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Office 365 group mailboxes can't be customized).

Sie können zwei verschiedene Methoden verwenden, um die Postfachaktionen anzugeben:You can use two different methods to specify the mailbox actions:

  • Ersetzen Sie (überschreiben) die vorhandenen Postfachaktionen mit dieser Syntax action1,action2,...actionN:.Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Hinzufügen oder entfernen von Postfachaktionen ohne Beeinträchtigung anderer vorhandener Werte mithilfe dieser Syntax @{Add="action1","action2",..."actionN"} : @{Remove="action1","action2",..."actionN"}oder.Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

In diesem Beispiel werden die Aktionen des Administratorpostfachs für das Postfach mit dem Namen "Gabriela Laureano zugewiesen" geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In diesem Beispiel wird die Mailbox Login:-Besitzer Aktion dem Postfach Laura@contoso.onmicrosoft.com hinzugefügt.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In diesem Beispiel wird die MoveToDeletedItems-Stellvertretungs Aktion für das Team Diskussions Postfach entfernt.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Unabhängig von der verwendeten Methode hat das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer die folgenden Ergebnisse:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Für den von Ihnen angepassten Anmeldetyp werden die überwachten Postfachaktionen nicht mehr von Microsoft verwaltet.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • Der Anmeldetyp, den Sie angepasst haben, wird nicht mehr im DefaultAuditSet -Eigenschaftswert für das Postfach angezeigt, wie zuvor beschrieben.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Wiederherstellen der standardmäßigen PostfachaktionenRestore the default mailbox actions

Wenn Sie die Postfachaktionen angepasst haben, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standard Postfachaktionen für einen oder alle Anmeldetypen mithilfe dieser Syntax wiederherstellen:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Sie können mehrere DefaultAuditSet -Werte durch Kommas getrennt angeben.You can specify multiple DefaultAuditSet values separated by commas

Hinweis: die folgenden Verfahren gelten nicht für Office 365 Gruppen Postfächer (Sie sind auf die Standardaktionen, wie hierbeschrieben), limitiert.Note: The following procedures don't apply to Office 365 Group mailboxes (they're limited to the default actions as described here).

In diesem Beispiel werden die Standardaktionen für überwachte Postfächer für alle Anmeldetypen im Postfach Mark@contoso.onmicrosoft.com wiederhergestellt.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Administrator Anmeldetyp im Post Fach Chris@contoso.onmicrosoft.com wiederhergestellt, aber die benutzerdefinierten überwachten Postfachaktionen für die Anmeldetypen "Delegate" und "Owner" bleiben erhalten.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Das Wiederherstellen der standardmäßig überwachten Postfachaktionen für einen Anmeldetyp hat die folgenden Ergebnisse:Restoring he default audited mailbox actions for a logon type has the following results:

  • Die aktuelle Liste der Postfachaktionen wird durch die standardmäßigen Postfachaktionen für den Anmeldetyp ersetzt.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Alle neuen Postfachaktionen, die von Microsoft freigegeben werden, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • Der Wert der DefaultAuditSet -Eigenschaft für das Postfach wird aktualisiert und enthält den wiederhergestellten Anmeldetyp.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Deaktivieren der postfachüberwachung für Ihre Organisation standardmäßigTurn off mailbox auditing on by default for your organization

Sie können die postfachüberwachung für die gesamte Organisation standardmäßig deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Das Deaktivieren der postfachüberwachung für standardmäßig hat die folgenden Ergebnisse:Turning off mailbox auditing on by default has the following results:

  • Die postfachüberwachung ist für Ihre Organisation deaktiviert.Mailbox auditing is disabled for your organization.

  • Ab dem Zeitpunkt, zu dem Sie die postfachüberwachung standardmäßig deaktiviert haben, werden keine Postfachaktionen überwacht, selbst wenn die Überwachung für ein Postfach aktiviert ist (die AuditEnabled -Eigenschaft für das Postfach ist true).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • Die postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled -Eigenschaft für ein neues oder vorhandenes Postfach auf " true " wird ignoriert.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Alle Post Fach Überwachungs Umgehungs Zuordnungseinstellungen (mit dem Cmdlet " MailboxAuditBypassAssociation " konfiguriert) werden ignoriert.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • Vorhandene Post Fach Überwachungseinträge werden beibehalten, bis die Verfallszeit des Überwachungsprotokolls für den Datensatz abläuft.Existing mailbox audit records are retained until the audit log age limit for the the record expires.

Aktivieren der postfachüberwachung standardmäßigTurn on mailbox auditing on by default

Wenn Sie die postfachüberwachung für Ihre Organisation wieder aktivieren möchten, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Umgehen der postfachüberwachungsprotokollierungBypass mailbox audit logging

Derzeit können Sie die postfachüberwachung für bestimmte Postfächer nicht deaktivieren, wenn die postfachüberwachung standardmäßig in Ihrer Organisation aktiviert ist.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Beispielsweise wird das Festlegen der AuditEnabled -Postfacheigenschaft auf false ignoriert.For example, setting the AuditEnabled mailbox property to False is ignored.

Sie können jedoch weiterhin das Cmdlet " MailboxAuditBypassAssociation " in Exchange Online PowerShell verwenden, um zu ** verhindern, dass alle Postfachaktionen durch die angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen ausgeführt werden.However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Zum Beispiel:For example:

  • Postfachbesitzer Aktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.Mailbox owner actions performed by the bypassed users aren't logged.

  • Stellvertretungs Aktionen, die von den umgangenen Benutzern in den Postfächern anderer Benutzer ausgeführt werden (einschließlich freigegebener Postfächer) werden nicht protokolliert.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • Von den umgangenen Benutzern ausgeführte Administratoraktionen werden nicht protokolliert.Admin actions performed by the bypassed users aren't logged.

Wenn Sie die postfachüberwachungsprotokollierung für einen bestimmten Benutzer <umgehen> möchten, ersetzen Sie Mailbox Identity durch den Namen, die e-Mail-Adresse, den Alias oder den Benutzerprinzipalnamen (username) des Benutzers, und führen Sie den folgenden Befehl aus:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Der Wert true gibt an, dass die postfachüberwachungsprotokollierung für den Benutzer umgangen wird.The value True indicates that mailbox audit logging is bypassed for the user.

Weitere InformationenMore information

  • Standardmäßig werden postfachüberwachungsprotokoll-Datensätze für 90 Tage aufbewahrt, bevor Sie gelöscht werden.By default, mailbox audit log records are retained for 90 days before they're deleted. Sie können die Verfallszeit für Überwachungsprotokolldatensätze mithilfe des AuditLogAgeLimit -Parameters im Cmdlet " Satz-Postfach " in Exchange Online PowerShell ändern.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Durch Erhöhen dieses Werts können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll von Microsoft 365 sind.However, increasing this value doesn't allow you to search for events that are older than 90 days in the Microsoft 365 audit log.

    Wenn Sie die Verfallszeit verlängern, müssen Sie das Cmdlet Search-Mailbox auditlog in Exchange Online PowerShell verwenden, um das postfachüberwachungsprotokoll des Benutzers nach Datensätzen zu durchsuchen, die älter als 90 Tage sind.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Wenn Sie die AuditLogAgeLimit -Eigenschaft für ein Postfach vor dem Aktivieren der postfachüberwachung für die Organisation standardmäßig geändert haben, wird die Verfallszeit des Postfachs des vorhandenen Überwachungsprotokolls nicht geändert.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. Das bedeutet, dass die postfachüberwachung standardmäßig nicht die aktuelle Altersgrenze für Post Fach Überwachungseinträge beeinflusst.In other words, mailbox auditing on by default doesn't effect the current age limit for mailbox audit records.

  • Um den AuditLogAgeLimit -Wert für ein Office 365 Gruppenpostfach zu ändern, müssen Sie den -GroupMailbox Switch in den Befehl " Postfach festlegen " einschließen.To change the AuditLogAgeLimit value on an Office 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Postfachüberwachungsprotokoll-Datensätze werden in einem unter ** Ordner (benannte Überwachungen) im Ordner "refundable Items" im Postfach jedes Benutzers gespeichert.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Beachten Sie die folgenden Aspekte hinsichtlich der Post Fach Überwachungseinträge und des Ordners "Wiederherstellbare Elemente":Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Die Post Fach Überwachungsdatensätze gelten für das Speicherkontingent des Ordners "refundable Items", bei dem es sich standardmäßig um 30 GB handelt (das Warn Kontingent beträgt 20 GB).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30GB by default (the warning quota is 20 GB). Das Speicherkontingent wird bei folgenden Schritten automatisch auf 100 GB (mit einem Warn Kontingent von 90 GB) erhöht:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Ein Haltebereich wird in einem Postfach gespeichert.A hold is placed on a mailbox.

      • Das Postfach wird einer Aufbewahrungsrichtlinie im Compliance Center zugewiesen.The mailbox is assigned to a retention policy in the Compliance Center.

    • Post Fach Überwachungseinträge werden auch für den Ordner Grenzwert für den Ordner"refundable Items" gezählt.Mailbox audit records also count against the folder limit for the Recoverable Items folder. Im Unterordner Audits können maximal 3 Millionen Elemente (Überwachungseinträge) gespeichert werden.A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Hinweis

      Es ist unwahrscheinlich, dass sich die postfachüberwachung standardmäßig auf das Speicherkontingent oder den Ordner Grenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Ordner "Überwachungs Unterordner" im Ordner "refundable Items" anzuzeigen:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Sie können nicht direkt auf einen Überwachungsprotokolleintrag im Ordner "refundable Items" zugreifen; Verwenden Sie stattdessen das Cmdlet Search-Mailbox auditlog , oder Durchsuchen Sie das Microsoft 365-Überwachungsprotokoll, um Post Fach Überwachungseinträge zu suchen und anzuzeigen.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the Microsoft 365 audit log to find and view mailbox audit records.

  • Wenn ein Postfach im Compliance Center aufbewahrt oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden Überwachungsprotokolldatensätze weiterhin für die Dauer beibehalten, die von der AuditLogAgeLimit -Eigenschaft des Postfachs definiert ist (standardmäßig 90 Tage).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Um Überwachungsprotokolldatensätze für Postfächer, die in der Warteschleife aufbewahrt werden, länger aufzubewahren, müssen Sie den AuditLogAgeLimit -Wert des Postfachs erweitern.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.