Gestire il controllo delle cassette postaliManage mailbox auditing

A partire da gennaio 2019, Microsoft attiva la registrazione di controllo delle cassette postali per impostazione predefinita per tutte le organizzazioni.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Ciò significa che alcune azioni eseguite dai proprietari, dai delegati e dagli amministratori delle cassette postali vengono registrate automaticamente e i record di controllo delle cassette postali corrispondenti saranno disponibili quando vengono cercati nel registro di controllo della cassetta postale.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Prima che il controllo delle cassette postali fosse attivato per impostazione predefinita, era necessario abilitarlo manualmente per ogni cassetta postale utente dell'organizzazione.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Ecco alcuni vantaggi del controllo delle cassette postali per impostazione predefinita:Here are some benefits of mailbox auditing on by default:

  • Il controllo viene abilitato automaticamente quando si crea una nuova cassetta postale.Auditing is automatically enabled when you create a new mailbox. Non è necessario abilitarlo manualmente per i nuovi utenti.You don't need to manually enable it for new users.

  • Non è necessario gestire le azioni delle cassette postali che vengono controllati.You don't need to manage the mailbox actions that are audited. Un insieme predefinito di azioni della cassetta postale viene controllati per impostazione predefinita per ogni tipo di accesso (amministratore, delegato e proprietario).A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Quando Microsoft rilascia una nuova azione della cassetta postale, l'azione potrebbe essere aggiunta automaticamente all'elenco delle azioni della cassetta postale sottoposte a controllo per impostazione predefinita (a causa dell'utente che ha la licenza appropriata).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Ciò significa che non è necessario monitorare l'aggiunta di nuove azioni alle cassette postali.This means you don't need to monitor add new actions on mailboxes.

  • Si dispone di un criterio di controllo delle cassette postali coerente nell'organizzazione (perché si stanno controllando le stesse azioni per tutte le cassette postali).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Nota

  • L'importante da ricordare sul rilascio del controllo delle cassette postali per impostazione predefinita è: non è necessario eseguire operazioni per gestire il controllo delle cassette postali.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Tuttavia, per saperne di più, personalizzare il controllo delle cassette postali dalle impostazioni predefinite o disattivarlo del tutto, questo argomento può essere di aiuto.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • Per impostazione predefinita, solo gli eventi di controllo delle cassette postali per gli utenti di E5 sono disponibili nelle ricerche nei log di controllo nel Centro sicurezza & conformità o tramite l'API Office 365 Management Activity.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Per ulteriori informazioni, vedere la sezione Ulteriori informazioni in questo argomento.For more information, see the More information section in this topic.

Verificare che il controllo delle cassette postali sia attivato per impostazione predefinitaVerify mailbox auditing on by default is turned on

Per verificare che il controllo delle cassette postali sia attivato per impostazione predefinita per l'organizzazione, eseguire il seguente comando in PowerShell di Exchange Online:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Il valore False indica che il controllo delle cassette postali è abilitato per impostazione predefinita per l'organizzazione.The value False indicates that mailbox auditing on by default is enabled for the organization. Questa opzione è attivata per impostazione predefinita dall'organizzazione e sostituisce l'impostazione di controllo delle cassette postali in cassette postali specifiche.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Ad esempio, se il controllo delle cassette postali è disabilitato per una cassetta postale (la proprietà AuditEnabled è False nella cassetta postale), le azioni predefinite della cassetta postale verranno comunque verificate per la cassetta postale, perché il controllo delle cassette postali è abilitato per impostazione predefinita per l'organizzazione.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Per mantenere disabilitato il controllo delle cassette postali per cassette postali specifiche, configurare il bypass di controllo delle cassette postali per il proprietario della cassetta postale e altri utenti a cui è stato delegato l'accesso alla cassetta postale.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Per ulteriori informazioni, vedere la sezione Ignorare la registrazione di controllo delle cassette postali in questo argomento.For more information, see the Bypass mailbox audit logging section in this topic.

Nota

Quando il controllo delle cassette postali è attivato per impostazione predefinita per l'organizzazione, la proprietà AuditEnabled per le cassette postali interessate non verrà modificata da False a True.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. In altre parole, il controllo delle cassette postali attivato per impostazione predefinita ignora la proprietà AuditEnabled nelle cassette postali.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Tipi di cassette postali supportatiSupported mailbox types

Nella tabella seguente sono riportati i tipi di cassette postali attualmente supportati dal controllo delle cassette postali per impostazione predefinita:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

Tipo di cassetta postaleMailbox type SupportatoSupported Non supportatoNot supported
Cassette postali utenteUser mailboxes Segno di spunta
Cassette postali condiviseShared mailboxes Segno di spunta
Cassette postali del gruppo di Microsoft 365Microsoft 365 Group mailboxes Segno di spunta
Cassette postali per la risorsaResource mailboxes Segno di spunta
Cassette postali delle cartelle pubblichePublic folder mailboxes Segno di spunta

Tipi di accesso e azioni delle cassette postaliLogon types and mailbox actions

I tipi di accesso classificano l'utente che ha evaso le azioni di controllo sulla cassetta postale.Logon types classify the user that did the audited actions on the mailbox. Nell'elenco seguente vengono descritti i tipi di accesso utilizzati nella registrazione di controllo delle cassette postali:The following list describes the logon types that are used in mailbox audit logging:

  • Proprietario: il proprietario della cassetta postale (l'account associato alla cassetta postale).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Delegato:Delegate:

    • Un utente a cui è stata assegnata l'autorizzazione SendAs, SendOnBehalf o FullAccess per un'altra cassetta postale.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • Un amministratore a cui è stata assegnata l'autorizzazione FullAccess per la cassetta postale di un utente.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Amministratore:Admin:

    • La cassetta postale viene cercata con uno dei seguenti strumenti di Microsoft eDiscovery:The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Ricerca contenuto nel Centro conformità.Content Search in the Compliance center.

      • eDiscovery o Advanced eDiscovery nel Centro conformità.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place eDiscovery in Exchange Online.In-Place eDiscovery in Exchange Online.

    • È possibile accedere alla cassetta postale utilizzando l Microsoft Exchange Server EDITOR MAPI.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Azioni relative alle cassette postali degli utenti e alle cassette postali condiviseMailbox actions for user mailboxes and shared mailboxes

Nella tabella seguente vengono descritte le azioni delle cassette postali disponibili nella registrazione di controllo delle cassette postali per le cassette postali degli utenti e le cassette postali condivise.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Un segno di spunta (A check mark ( Segno di spunta) indica che l'azione della cassetta postale può essere registrata per il tipo di accesso (non tutte le azioni sono disponibili per tutti i tipi di accesso).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • Un asterisco ( ) dopo il segno di spunta indica che l'azione della cassetta postale viene registrata per impostazione predefinita * per il tipo di accesso.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • Tenere presente che un amministratore con autorizzazione accesso completo a una cassetta postale è considerato un delegato.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

Azione cassetta postaleMailbox action DescrizioneDescription AdminAdmin DelegatoDelegate ProprietarioOwner
AddFolderPermissionsAddFolderPermissions Nota: anche se questo valore viene accettato come azione della cassetta postale, è già incluso nell'azione UpdateFolderPermissions e non viene controllati separatamente.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. In altre parole, non usare questo valore.In other words, don't use this value.
ApplyRecordApplyRecord Un elemento viene etichettato come record.An item is labeled as a record. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
CopiaCopy Messaggio copiato in un'altra cartella.A message was copied to another folder. Segno di spunta
CreareCreate È stato creato un elemento nella cartella Calendario, Contatti, Note o Attività nella cassetta postale (ad esempio, viene creata una nuova convocazione di riunione).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). La creazione, l'invio o la ricezione di un messaggio non viene controllata,Creating, sending, or receiving a message isn't audited. così come la creazione di una cartella della cassetta postale.Also, creating a mailbox folder is not audited. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta
PredefinitaDefault Segno di spunta Segno di spunta Segno di spunta
FolderBindFolderBind Accesso effettuato a una cartella della cassetta postale. Tale azione viene registrata anche quando l'amministratore o un delegato apre la cassetta postale.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

Nota: i record di controllo per le azioni di binding delle cartelle eseguite dai delegati vengono consolidati.Note: Audit records for folder bind actions performed by delegates are consolidated. Viene generato un record di controllo per l'accesso alle singole cartelle entro un periodo di 24 ore.One audit record is generated for individual folder access within a 24-hour period.
Segno di spunta Segno di spunta
HardDeleteHardDelete Messaggio eliminato dalla cartella Elementi ripristinabili.A message was purged from the Recoverable Items folder. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
MailItemsAccessedMailItemsAccessed I protocolli e i client di posta elettronica a cui si accede ai dati di posta.Mail data is accessed by mail protocols and clients. Questo valore è disponibile solo per gli utenti dell'abbonamento al componente aggiuntivo E5 o E5 Compliance.This value is only available for E5 or E5 Compliance add-on subscription users. Per ulteriori informazioni, vedere Set up Advanced Audit for users.For more information, see Set up Advanced Audit for users. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
MailboxLoginMailboxLogin L'utente ha eseguito l'accesso alla propria cassetta postale.The user signed into their mailbox. Segno di spunta
MessageBindMessageBind Un messaggio è stato visualizzato nel riquadro di anteprima o aperto da un amministratore. Nota: anche se questo valore viene accettato come azione della cassetta postale, queste azioni non vengono più registrate.A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. Segno di spunta
ModifyFolderPermissionsModifyFolderPermissions Nota: anche se questo valore viene accettato come azione della cassetta postale, è già incluso nell'azione UpdateFolderPermissions e non viene controllati separatamente.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. In altre parole, non usare questo valore.In other words, don't use this value.
MoveMove Messaggio spostato in un'altra cartella.A message was moved to another folder. Segno di spunta Segno di spunta Segno di spunta
MoveToDeletedItemsMoveToDeletedItems Messaggio eliminato e spostato nella cartella Posta eliminata.A message was deleted and moved to the Deleted Items folder. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
RecordDeleteRecordDelete Un elemento etichettato come record è stato eliminato in modo reversibile (spostato nella cartella Elementi ripristinabili).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Gli elementi etichettati come record non possono essere eliminati definitivamente (eliminati dalla cartella Elementi ripristinabili).Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Segno di spunta Segno di spunta Segno di spunta
RemoveFolderPermissionsRemoveFolderPermissions Nota: anche se questo valore viene accettato come azione della cassetta postale, è già incluso nell'azione UpdateFolderPermissions e non viene controllati separatamente.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. In altre parole, non usare questo valore.In other words, don't use this value.
SendSend L'utente invia un messaggio di posta elettronica, risponde a un messaggio di posta elettronica o inoltra un messaggio di posta elettronica.The user sends an email message, replies to an email message, or forwards an email message. Questo valore è disponibile solo per gli utenti dell'abbonamento al componente aggiuntivo E5 o E5 Compliance.This value is only available for E5 or E5 Compliance add-on subscription users. Per ulteriori informazioni, vedere Set up Advanced Audit for users.For more information, see Set up Advanced Audit for users. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
SendAsSendAs Messaggio inviato utilizzando l'autorizzazione SendAs. Ciò significa che un altro utente ha inviato il messaggio come se provenisse dal proprietario della cassetta postale.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Segno di spunta*Check mark* Segno di spunta*Check mark*
SendOnBehalfSendOnBehalf Messaggio inviato utilizzando l'autorizzazione SendOnBehalf. Ciò significa che un altro utente ha inviato il messaggio per conto del proprietario della cassetta postale. Il messaggio indica al destinatario la persona per conto della quale è stato inviato il messaggio e l’utente che ha effettivamente inviato il messaggio.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Segno di spunta*Check mark* Segno di spunta*Check mark*
SoftDeleteSoftDelete Messaggio eliminato in modo definitivo dalla cartella Posta eliminata. Gli elementi eliminati temporaneamente vengono spostati nella cartella Elementi ripristinabili.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
AggiornaUpdate Modifiche apportate a un messaggio o alle relative proprietà.A message or its properties was changed. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation A una cassetta postale è stata assegnata una delega del calendario.A calendar delegation was assigned to a mailbox. La delega del calendario assegna a un altro utente nella stessa organizzazione le autorizzazioni per la gestione del calendario del proprietario della cassetta postale.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Segno di spunta*Check mark* Segno di spunta*Check mark*
UpdateComplianceTagUpdateComplianceTag Un'etichetta di conservazione diversa viene applicata a un elemento di posta (a un elemento può essere assegnata una sola etichetta di conservazione).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Segno di spunta Segno di spunta Segno di spunta
UpdateFolderPermissionsUpdateFolderPermissions Un'autorizzazione per una cartella è stata cambiata.A folder permission was changed. Le autorizzazioni per le cartelle determinano quali utenti dell'organizzazione possono accedere alle cartelle di una cassetta postale e ai messaggi che contengono.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
UpdateInboxRulesUpdateInboxRules Una regola di Posta in arrivo è stata aggiunta, rimossa o modificata.An inbox rule was added, removed, or changed. Le regole di Posta in arrivo vengono utilizzate per elaborare i messaggi nella cartella Posta in arrivo dell'utente in base alle condizioni specificate ed eseguire azioni quando vengono soddisfatte le condizioni di una regola, ad esempio lo spostamento di un messaggio in una cartella specificata o l'eliminazione di un messaggio.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*

Importante

Se sono state personalizzate le azioni della cassetta postale da controllare per qualsiasi tipo di accesso prima che il controllo delle cassette postali fosse abilitato per impostazione predefinita nell'organizzazione, le impostazioni personalizzate vengono mantenute nella cassetta postale e non vengono sovrascritte dalle azioni predefinite della cassetta postale come descritto in questa sezione.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Per ripristinare i valori predefiniti delle azioni della cassetta postale di controllo (operazione che è possibile eseguire in qualsiasi momento), vedere la sezione Ripristinare le azioni predefinite della cassetta postale più avanti in questo argomento.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Azioni delle cassette postali per le cassette postali del gruppo di Microsoft 365Mailbox actions for Microsoft 365 Group mailboxes

Il controllo delle cassette postali attiva per impostazione predefinita la registrazione di controllo delle cassette postali nelle cassette postali del gruppo di Microsoft 365, ma non è possibile personalizzare gli elementi registrati (non è possibile aggiungere o rimuovere azioni della cassetta postale registrate per qualsiasi tipo di accesso).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

Nella tabella seguente vengono descritte le azioni delle cassette postali registrate per impostazione predefinita nelle cassette postali del gruppo di Microsoft 365 per ogni tipo di accesso.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Tenere presente che un amministratore con autorizzazione accesso completo a una cassetta postale del gruppo di Microsoft 365 è considerato un delegato.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

Azione cassetta postaleMailbox action DescrizioneDescription AdminAdmin DelegatoDelegate ProprietarioOwner
CreareCreate Creazione di un elemento del calendario.Creation of a calendar Item. La creazione, l'invio o la ricezione di un messaggio non viene controllata,Creating, sending, or receiving a message isn't audited. Segno di spunta*Check mark* Segno di spunta*Check mark*
HardDeleteHardDelete Messaggio eliminato dalla cartella Elementi ripristinabili.A message was purged from the Recoverable Items folder. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
MoveToDeletedItemsMoveToDeletedItems Messaggio eliminato e spostato nella cartella Posta eliminata.A message was deleted and moved to the Deleted Items folder. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
SendAsSendAs Un messaggio è stato inviato con l'autorizzazione SendAs,A message was sent using the SendAs permission. Segno di spunta*Check mark* Segno di spunta*Check mark*
SendOnBehalfSendOnBehalf Un messaggio è stato inviato con l'autorizzazione SendOnBehalf,A message was sent using the SendOnBehalf permission. Segno di spunta*Check mark* Segno di spunta*Check mark*
SoftDeleteSoftDelete Messaggio eliminato in modo definitivo dalla cartella Posta eliminata. Gli elementi eliminati temporaneamente vengono spostati nella cartella Elementi ripristinabili.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*
AggiornaUpdate Modifiche apportate a un messaggio o alle relative proprietà.A message or its properties was changed. Segno di spunta*Check mark* Segno di spunta*Check mark* Segno di spunta*Check mark*

Verificare che le azioni predefinite della cassetta postale vengano registrate per ogni tipo di accessoVerify that default mailbox actions are being logged for each logon type

Per impostazione predefinita, il controllo delle cassette postali aggiunge una nuova proprietà DefaultAuditSet a tutte le cassette postali.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. Il valore di questa proprietà indica se le azioni predefinite della cassetta postale (gestite da Microsoft) vengono verificate nella cassetta postale.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Per visualizzare il valore nelle cassette postali degli utenti o nelle cassette postali condivise, sostituire con il nome, l'alias, l'indirizzo di posta elettronica o il nome dell'entità utente (nome utente) della cassetta postale ed eseguire il comando seguente <MailboxIdentity> in PowerShell di Exchange Online:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Per visualizzare il valore nelle cassette postali del gruppo di Microsoft 365, sostituire con il nome, l'alias o l'indirizzo di posta elettronica della cassetta postale condivisa ed eseguire il comando seguente <MailboxIdentity> in PowerShell di Exchange Online:To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Il valore Admin, Delegate, Owner indica:The value Admin, Delegate, Owner indicates:

  • Le azioni predefinite della cassetta postale per tutti e tre i tipi di accesso vengono controllati.The default mailbox actions for all three logon types are being audited. Questo è l'unico valore visualizzato nelle cassette postali del gruppo di Microsoft 365.This is the only value you'll see on Microsoft 365 Group mailboxes.

  • Un amministratore non ha modificato le azioni della cassetta postale verificata per alcun tipo di accesso in una cassetta postale utente o in una cassetta postale condivisa.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Si noti che questo è lo stato predefinito dopo che il controllo delle cassette postali è attivato per impostazione predefinita nell'organizzazione.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Se un amministratore ha modificato le azioni della cassetta postale che vengono verificate per un tipo di accesso (utilizzando i parametri AuditAdmin, AuditDelegate o AuditOwner nel cmdlet Set-Mailbox), il valore della proprietà sarà diverso.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Ad esempio, il valore della proprietà Owner DefaultAuditSet in una cassetta postale utente o in una cassetta postale condivisa indica:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • Le azioni predefinite della cassetta postale per il proprietario della cassetta postale vengono controllati.The default mailbox actions for the mailbox owner are being audited.

  • Le azioni delle cassette postali verificate per i tipi di accesso e i tipi di Delegate accesso sono state modificate rispetto alle azioni Admin predefinite.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Un valore vuoto per la proprietà DefaultAuditSet indica che le azioni della cassetta postale per tutti e tre i tipi di accesso sono state modificate nella cassetta postale dell'utente o in una cassetta postale condivisa.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Per ulteriori informazioni, vedere la sezione Modificare o ripristinare le azioni della cassetta postale registrate per impostazione predefinita in questo argomentoFor more information, see the Change or restore mailbox actions logged by default section in this topic

Visualizzare le azioni della cassetta postale che vengono registrate nelle cassette postaliDisplay the mailbox actions that are being logged on mailboxes

Per visualizzare le azioni della cassetta postale attualmente registrate nelle cassette postali degli utenti o nelle cassette postali condivise, sostituire con il nome, l'alias, l'indirizzo di posta elettronica o il nome dell'entità utente (nome utente) della cassetta postale ed eseguire uno o più dei seguenti comandi in PowerShell di <MailboxIdentity> Exchange Online.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Nota

Anche se è possibile aggiungere l'opzione ai seguenti comandi Get-Mailbox per le cassette postali del gruppo di -GroupMailbox Microsoft 365, non si ritiene che i valori restituiti. Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. Le azioni predefinite e statiche delle cassette postali che vengono controllati per le cassette postali del gruppo di Microsoft 365 sono descritte nella sezione Azioni delle cassette postali per le cassette postali del gruppo di Microsoft 365 più indietro in questo argomento.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

Azioni del proprietarioOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Delegare le azioniDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Azioni dell'amministratoreAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Modificare o ripristinare le azioni della cassetta postale registrate per impostazione predefinitaChange or restore mailbox actions logged by default

Come spiegato in precedenza, uno dei principali vantaggi dell'utilizzo del controllo delle cassette postali per impostazione predefinita è che non è necessario gestire le azioni delle cassette postali che vengono controllati.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft esegue questa operazione per l'utente e aggiungerà automaticamente nuove azioni delle cassette postali da controllare per impostazione predefinita non appena vengono rilasciate.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Tuttavia, all'organizzazione potrebbe essere richiesto di controllare un insieme diverso di azioni delle cassette postali per le cassette postali degli utenti e le cassette postali condivise.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. Le procedure descritte in questa sezione illustrano come modificare le azioni delle cassette postali che vengono verificate per ogni tipo di accesso e come ripristinare le azioni predefinite gestite da Microsoft.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Importante

Se si utilizzano le procedure seguenti per personalizzare le azioni delle cassette postali registrate nelle cassette postali degli utenti o nelle cassette postali condivise, le nuove azioni predefinite rilasciate da Microsoft non verranno automaticamente verificate in tali cassette postali.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Sarà necessario aggiungere manualmente eventuali nuove azioni della cassetta postale all'elenco personalizzato di azioni.You'll need to manually add any new mailbox actions to your customized list of actions.

Modificare le azioni della cassetta postale da controllareChange the mailbox actions to audit

È possibile utilizzare i parametri AuditAdmin, AuditDelegate o AuditOwner nel cmdlet Set-Mailbox per modificare le azioni delle cassette postali che vengono controllati per le cassette postali degli utenti e le cassette postali condivise (le azioni di controllo per le cassette postali del gruppo di Microsoft 365 non possono essere personalizzate).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

È possibile utilizzare due metodi diversi per specificare le azioni della cassetta postale:You can use two different methods to specify the mailbox actions:

  • Sostituire (sovrascrivere) le azioni esistenti della cassetta postale utilizzando la sintassi seguente: action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Aggiungere o rimuovere azioni della cassetta postale senza influire sugli altri valori esistenti utilizzando la @{Add="action1","action2",..."actionN"} sintassi seguente: o @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

In questo esempio vengono cambiate le azioni della cassetta postale di amministrazione per la cassetta postale denominata "Gabriela Laureano" sovrascrivendo le azioni predefinite con SoftDelete e HardDelete.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In questo esempio viene aggiunta l'azione proprietario MailboxLogin alla cassetta postale laura@contoso.onmicrosoft.com.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In questo esempio viene rimossa l'azione delegata MoveToDeletedItems per la cassetta postale Discussione team.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Indipendentemente dal metodo utilizzato, la personalizzazione delle azioni delle cassette postali controllate nelle cassette postali degli utenti o nelle cassette postali condivise ha i seguenti risultati:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Per il tipo di accesso personalizzato, le azioni delle cassette postali verificate non vengono più gestite da Microsoft.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • Il tipo di accesso personalizzato non viene più visualizzato nel valore della proprietà DefaultAuditSet per la cassetta postale come descritto in precedenza.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Ripristinare le azioni predefinite della cassetta postaleRestore the default mailbox actions

Se sono state personalizzate le azioni della cassetta postale che vengono verificate in una cassetta postale utente o in una cassetta postale condivisa, è possibile ripristinare le azioni predefinite della cassetta postale per uno o tutti i tipi di accesso utilizzando la sintassi seguente:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

È possibile specificare più valori DefaultAuditSet separati da virgoleYou can specify multiple DefaultAuditSet values separated by commas

Nota: le procedure seguenti non si applicano alle cassette postali del gruppo di Microsoft 365 (sono limitate alle azioni predefinite come descritto qui).Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

In questo esempio vengono ripristinate le azioni predefinite della cassetta postale di controllo per tutti i tipi di accesso nella cassetta postale mark@contoso.onmicrosoft.com.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In questo esempio vengono ripristinate le azioni predefinite della cassetta postale di controllo per il tipo di accesso amministratore sul chris@contoso.onmicrosoft.com cassetta postale, ma vengono lasciato le azioni personalizzate della cassetta postale di controllo per i tipi di accesso Delegato e Proprietario.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Il ripristino delle azioni predefinite della cassetta postale di controllo per un tipo di accesso ha i seguenti risultati:Restoring he default audited mailbox actions for a logon type has the following results:

  • L'elenco corrente di azioni della cassetta postale viene sostituito con le azioni predefinite della cassetta postale per il tipo di accesso.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Tutte le nuove azioni delle cassette postali rilasciate da Microsoft vengono aggiunte automaticamente all'elenco delle azioni di controllo per il tipo di accesso.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • Il valore della proprietà DefaultAuditSet per la cassetta postale viene aggiornato in modo da includere il tipo di accesso ripristinato.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Disattivare il controllo delle cassette postali per impostazione predefinita per l'organizzazioneTurn off mailbox auditing on by default for your organization

È possibile disattivare il controllo delle cassette postali per impostazione predefinita per l'intera organizzazione eseguendo il comando seguente in PowerShell di Exchange Online:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

La disattivazione del controllo delle cassette postali per impostazione predefinita ha i seguenti risultati:Turning off mailbox auditing on by default has the following results:

  • Il controllo delle cassette postali è disabilitato per l'organizzazione.Mailbox auditing is disabled for your organization.

  • Dal momento in cui è stato disabilitato il controllo delle cassette postali per impostazione predefinita, non viene verificata alcuna azione della cassetta postale, anche se il controllo è abilitato su una cassetta postale (la proprietà AuditEnabled nella cassetta postale è True).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • Il controllo delle cassette postali non è abilitato per le nuove cassette postali e l'impostazione della proprietà AuditEnabled su una cassetta postale nuova o esistente su True verrà ignorata.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Tutte le impostazioni di associazione del bypass di controllo delle cassette postali (configurate utilizzando il cmdlet Set-MailboxAuditBypassAssociation) vengono ignorate.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • I record di controllo delle cassette postali esistenti vengono mantenuti fino alla scadenza del periodo di validità del registro di controllo per il record.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Attivare il controllo delle cassette postali per impostazione predefinitaTurn on mailbox auditing on by default

Per riattivare il controllo delle cassette postali per l'organizzazione, eseguire il comando seguente in PowerShell di Exchange Online:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Ignorare la registrazione di controllo delle cassette postaliBypass mailbox audit logging

Attualmente, non è possibile disabilitare il controllo delle cassette postali per cassette postali specifiche quando il controllo delle cassette postali è attivato per impostazione predefinita nell'organizzazione.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Ad esempio, l'impostazione della proprietà della cassetta postale AuditEnabled su False viene ignorata.For example, setting the AuditEnabled mailbox property to False is ignored.

Tuttavia, è comunque possibile utilizzare il cmdlet Set-MailboxAuditBypassAssociation in PowerShell di Exchange Online per impedire la registrazione di tutte le azioni delle cassette postali eseguite dagli utenti specificati, indipendentemente dalla posizione in cui si verificano le azioni. However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Ad esempio:For example:

  • Le azioni del proprietario della cassetta postale eseguite dagli utenti ignorati non vengono registrate.Mailbox owner actions performed by the bypassed users aren't logged.

  • Le azioni delegate eseguite dagli utenti ignorati nelle cassette postali di altri utenti (incluse le cassette postali condivise) non vengono registrate.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • Le azioni dell'amministratore eseguite dagli utenti ignorati non vengono registrate.Admin actions performed by the bypassed users aren't logged.

Per ignorare la registrazione di controllo della cassetta postale per un utente specifico, sostituire con il nome, l'indirizzo di posta elettronica, l'alias o il nome dell'entità utente (nome utente) dell'utente ed eseguire il <MailboxIdentity> comando seguente:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Per verificare che il controllo sia ignorato per l'utente specificato, eseguire il comando seguente:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Il valore True indica che la registrazione di controllo della cassetta postale viene ignorata per l'utente.The value True indicates that mailbox audit logging is bypassed for the user.

Altre informazioniMore information

  • Anche se la registrazione di controllo delle cassette postali è abilitata per impostazione predefinita per tutte le organizzazioni, solo gli utenti con licenze E5 restituiranno gli eventi del registro di controllo delle cassette postali nelle ricerche nei registri di controllo nel Centro sicurezza & conformità o tramite l'API office 365 Management Activity per impostazione predefinita. Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Per recuperare le voci del registro di controllo delle cassette postali per gli utenti senza licenze E5, è possibile:To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Abilitare manualmente il controllo delle cassette postali sulle singole cassette postali (eseguire il comando, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ).Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). Dopo questa operazione, è possibile usare le ricerche nei log di controllo nel Centro sicurezza & conformità o tramite l'API Office 365 Management Activity.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Nota

      Se il controllo delle cassette postali sembra già abilitato nella cassetta postale, ma le ricerche non restituiscono risultati, modificare il valore del parametro AuditEnabled in e quindi $false tornare a $true .If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Utilizzare i cmdlet seguenti in PowerShell di Exchange Online:Use the following cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog per cercare utenti specifici nel registro di controllo della cassetta postale.Search-MailboxAuditLog to search the mailbox audit log for specific users.

      • New-MailboxAuditLogSearch per cercare utenti specifici nel registro di controllo della cassetta postale e per inviare i risultati tramite posta elettronica a destinatari specifici.New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.

    • Utilizzare l'interfaccia di amministrazione di Exchange (EAC) in Exchange Online per eseguire le operazioni seguenti:Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • Per impostazione predefinita, i record del registro di controllo delle cassette postali vengono conservati per 90 giorni prima di essere eliminati.By default, mailbox audit log records are retained for 90 days before they're deleted. È possibile modificare il limite di validità per i record del registro di controllo utilizzando il parametro AuditLogAgeLimit nel cmdlet Set-Mailbox in PowerShell di Exchange Online.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Tuttavia, l'aumento di questo valore non consente di cercare eventi precedenti a 90 giorni nel registro di controllo.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Se si aumenta il limite di validità, è necessario utilizzare il cmdlet Search-MailboxAuditLog in PowerShell di Exchange Online per cercare nel registro di controllo della cassetta postale dell'utente i record precedenti a 90 giorni.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Se è stata modificata la proprietà AuditLogAgeLimit per una cassetta postale prima che il controllo della cassetta postale sia attivato per impostazione predefinita per l'organizzazione, il limite di validità del registro di controllo esistente della cassetta postale non viene modificato.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. In altre parole, il controllo delle cassette postali abilitato per impostazione predefinita non influisce sul limite di validità corrente per i record di controllo delle cassette postali.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Per modificare il valore AuditLogAgeLimit in una cassetta postale del gruppo di Microsoft 365, è necessario includere l'opzione -GroupMailbox nel comando Set-Mailbox.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • I record del registro di controllo delle cassette postali vengono archiviati in una sottocartella (denominata Controlli) nella cartella Elementi ripristinabili nella cassetta postale di ogni utente.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Tenere presente quanto segue sui record di controllo delle cassette postali e sulla cartella Elementi ripristinabili:Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • I record di controllo delle cassette postali vengono conteggiati sulla quota di archiviazione della cartella Elementi ripristinabili, che è di 30 GB per impostazione predefinita (la quota di avviso è 20 GB).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). La quota di archiviazione viene automaticamente aumentata a 100 GB (con una quota di avviso di 90 GB) quando:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Un blocco viene effettuato su una cassetta postale.A hold is placed on a mailbox.

      • La cassetta postale viene assegnata a un criterio di conservazione nel Centro conformità.The mailbox is assigned to a retention policy in the Compliance Center.

    • I record di controllo delle cassette postali vengono conteggiati anche in base al limite di cartelle per la cartella Elementi ripristinabili.Mailbox audit records also count against the folder limit for the Recoverable Items folder. Nella sottocartella Controlli è possibile archiviare un massimo di 3 milioni di elementi (record di controllo).A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Nota

      È improbabile che il controllo della cassetta postale per impostazione predefinita inciderà sulla quota di archiviazione o sul limite di cartelle per la cartella Elementi ripristinabili.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • È possibile eseguire il comando seguente in PowerShell di Exchange Online per visualizzare le dimensioni e il numero di elementi nella sottocartella Controlli nella cartella Elementi ripristinabili:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Non è possibile accedere direttamente a un record del registro di controllo nella cartella Elementi ripristinabili. Al contrario, si utilizza il cmdlet Search-MailboxAuditLog o si cerca nel registro di controllo per trovare e visualizzare i record di controllo delle cassette postali.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Se una cassetta postale viene conservata o assegnata a un criterio di conservazione nel Centro conformità, i record del log di controllo vengono mantenuti per la durata definita dalla proprietà AuditLogAgeLimit della cassetta postale (90 giorni per impostazione predefinita).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Per conservare i record del registro di controllo più a lungo per le cassette postali in attesa, è necessario aumentare il valore AuditLogAgeLimit della cassetta postale.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • In un ambiente multi-geografico il controllo delle cassette postali in aree geografiche diverse non è supportato.In a multi-geo environment, cross-geo mailbox auditing is not supported. Ad esempio, se a un utente sono assegnate le autorizzazioni per accedere a una cassetta postale condivisa in un'area geografica diversa, le azioni sulla cassetta postale eseguite da tale utente non vengono registrate nel log di controllo della cassetta postale condivisa.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.