Postvakcontrole beherenManage mailbox auditing

Vanaf januari 2019 wordt auditregistratie voor postvakken standaard ingeschakeld voor alle organisaties.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Dit betekent dat bepaalde acties die door postvakeigenaren, gedelegeerden en beheerders worden uitgevoerd, automatisch worden vastgelegd en dat de bijbehorende auditrecords voor postvakken beschikbaar zijn wanneer u ze zoekt in het postvakauditlogboek.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Voordat postvakcontrole standaard is ingeschakeld, moest u dit handmatig inschakelen voor elk gebruikerspostvak in uw organisatie.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Hier zijn enkele voordelen van postvakcontrole standaard ingeschakeld:Here are some benefits of mailbox auditing on by default:

  • Controle wordt automatisch ingeschakeld wanneer u een nieuw postvak maakt.Auditing is automatically enabled when you create a new mailbox. U hoeft het niet handmatig in te stellen voor nieuwe gebruikers.You don't need to manually enable it for new users.

  • U hoeft de postvakacties die worden gecontroleerd niet te beheren.You don't need to manage the mailbox actions that are audited. Een vooraf gedefinieerde set postvakacties wordt standaard gecontroleerd voor elk aanmeldingstype (beheerder, gedelegeerde en eigenaar).A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Wanneer Microsoft een nieuwe postvakactie publiceert, wordt de actie mogelijk automatisch toegevoegd aan de lijst met postvakacties die standaard worden gecontroleerd (afhankelijk van de gebruiker met de juiste licentie).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Dit betekent dat u het toevoegen van nieuwe acties in postvakken niet hoeft te controleren.This means you don't need to monitor add new actions on mailboxes.

  • U hebt een consistent beleid voor het controleren van postvakken in uw organisatie (omdat u dezelfde acties voor alle postvakken controleert).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Notitie

  • Het belangrijkste om te onthouden over de standaardversie van postvakcontrole is: u hoeft niets te doen om de postvakcontrole te beheren.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Voor meer informatie, het aanpassen van postvakcontrole via de standaardinstellingen of het helemaal uitschakelen, kan dit onderwerp u helpen.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • Standaard zijn alleen postvakauditgebeurtenissen voor E5-gebruikers beschikbaar in zoekopdrachten in het auditlogboek in het Beveiligings- & Compliancecentrum of via de Office 365 Management Activity API.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Zie de sectie Meer informatie in dit onderwerp voor meer informatie.For more information, see the More information section in this topic.

Controleren of postvakcontrole standaard is ingeschakeldVerify mailbox auditing on by default is turned on

Als u wilt controleren of postvakcontrole standaard is ingeschakeld voor uw organisatie, moet u de volgende opdracht uitvoeren in Exchange Online PowerShell:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

De waarde Onwaar geeft aan dat postvakcontrole standaard is ingeschakeld voor de organisatie.The value False indicates that mailbox auditing on by default is enabled for the organization. Deze standaardinstelling voor organisatiewaarde overteert de instelling voor het controleren van postvakken op specifieke postvakken.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Als het controleren van postvakken bijvoorbeeld is uitgeschakeld voor een postvak (de eigenschap AuditEnabled is Onwaar in het postvak), worden de standaardpostvakacties nog steeds gecontroleerd voor het postvak, omdat postvakcontrole standaard is ingeschakeld voor de organisatie.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Als u het controleren van postvakken wilt uitgeschakeld voor specifieke postvakken, configureert u de bypass voor postvakcontrole voor de eigenaar van het postvak en andere gebruikers die toegang hebben tot het postvak.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Zie de sectie Logboekregistratie voor postvakken omzeilen in dit onderwerp voor meer informatie.For more information, see the Bypass mailbox audit logging section in this topic.

Notitie

Wanneer postvakcontrole standaard is ingeschakeld voor de organisatie, wordt de eigenschap AuditEnabled voor de betreffende postvakken niet gewijzigd van Onwaar in Waar.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. Met andere woorden: de eigenschap AuditEnabled in postvakken wordt standaard genegeerd door postvakken.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Ondersteunde postvaktypenSupported mailbox types

In de volgende tabel ziet u de postvaktypen die momenteel standaard worden ondersteund door postvakcontrole:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

PostvaktypeMailbox type OndersteundSupported Niet ondersteundNot supported
Postvakken van gebruikersUser mailboxes Vinkje
Gedeelde postvakkenShared mailboxes Vinkje
Microsoft 365 Postvakken groepeertMicrosoft 365 Group mailboxes Vinkje
ResourcepostvakkenResource mailboxes Vinkje
Postvakken in openbare mappenPublic folder mailboxes Vinkje

Aanmeldingstypen en postvakactiesLogon types and mailbox actions

Aanmeldingstypen classificeren de gebruiker die de gecontroleerde acties in het postvak heeft uitgevoerd.Logon types classify the user that did the audited actions on the mailbox. In de volgende lijst worden de aanmeldingstypen beschreven die worden gebruikt in de logboekregistratie voor postvakken:The following list describes the logon types that are used in mailbox audit logging:

  • Eigenaar: de eigenaar van het postvak (het account dat is gekoppeld aan het postvak).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Gedelegeerde:Delegate:

    • Een gebruiker aan wie de machtiging SendAs, SendOnBehalf of FullAccess is toegewezen aan een ander postvak.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • Een beheerder aan wie de machtiging FullAccess is toegewezen aan het postvak van een gebruiker.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Beheerder:Admin:

    • Het postvak wordt doorzocht met een van de volgende Microsoft eDiscovery-hulpprogramma's:The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Zoeken naar inhoud in het compliancecentrum.Content Search in the Compliance center.

      • eDiscovery of Advanced eDiscovery in het Compliancecentrum.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place eDiscovery in Exchange Online.In-Place eDiscovery in Exchange Online.

    • Het postvak wordt toegankelijk met behulp van Microsoft Exchange Server MAPI Editor.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Postvakacties voor gebruikerspostvakken en gedeelde postvakkenMailbox actions for user mailboxes and shared mailboxes

In de volgende tabel worden de postvakacties beschreven die beschikbaar zijn in de logboekregistratie voor postvakken van gebruikers en gedeelde postvakken.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Een vinkje (A check mark ( vinkje) geeft aan dat de postvakactie kan worden geregistreerd voor het aanmeldingstype (niet alle acties zijn beschikbaar voor alle aanmeldingstypen).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • Een sterretje () nadat het vinkje aangeeft dat de postvakactie standaard is vastgelegd * voor het aanmeldingstype.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • Een beheerder met volledige toegangsmachtiging voor een postvak wordt beschouwd als gemachtigde.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

PostvakactieMailbox action BeschrijvingDescription BeheerderAdmin GemachtigdeDelegate EigenaarOwner
AddFolderPermissions(AddFolderPermissions)AddFolderPermissions Opmerking: Hoewel deze waarde wordt geaccepteerd als een postvakactie, is deze al opgenomen in de actie UpdateFolderPermissions en wordt deze niet afzonderlijk gecontroleerd.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Met andere woorden, gebruik deze waarde niet.In other words, don't use this value.
Record toepassenApplyRecord Een item wordt als record gelabeld.An item is labeled as a record. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
KopiërenCopy Er is een bericht naar een andere map gekopieerd.A message was copied to another folder. Vinkje
MakenCreate Er is een item gemaakt in de map Agenda, Contactpersonen, Notities of Taken in het postvak (er wordt bijvoorbeeld een nieuw vergaderverzoek gemaakt).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Het maken, verzenden of ontvangen van een bericht wordt niet gecontroleerd.Creating, sending, or receiving a message isn't audited. Ook het maken van een postvak wordt niet gecontroleerd.Also, creating a mailbox folder is not audited. Vinkje*Check mark* Vinkje*Check mark* Vinkje
StandaardDefault Vinkje Vinkje Vinkje
MapBindFolderBind Er is een postvakmap toegankelijk.A mailbox folder was accessed. Deze actie wordt ook vastgelegd wanneer de beheerder of gedelegeerde het postvak opent.This action is also logged when the admin or delegate opens the mailbox.

Opmerking: Auditrecords voor mapbindacties die door gedelegeerden worden uitgevoerd, worden samengevoegd.Note: Audit records for folder bind actions performed by delegates are consolidated. Eén auditrecord wordt gegenereerd voor afzonderlijke maptoegang binnen een periode van 24 uur.One audit record is generated for individual folder access within a 24-hour period.
Vinkje Vinkje
HardDeleteHardDelete Er is een bericht verwijderd uit de map Herstelbare items.A message was purged from the Recoverable Items folder. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
MailItemsAccessedMailItemsAccessed E-mailgegevens worden toegankelijk via e-mailprotocollen en -clients.Mail data is accessed by mail protocols and clients. Deze waarde is alleen beschikbaar voor gebruikers van E5- of E5-abonnementsabonnementen.This value is only available for E5 or E5 Compliance add-on subscription users. Zie Geavanceerd controleren instellen voor meer informatie. For more information, see Set up Advanced Audit . Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
MailboxLoginMailboxLogin De gebruiker heeft zich aangemeld bij zijn of haar postvak.The user signed into their mailbox. Vinkje
MessageBindMessageBind Een bericht is bekeken in het voorbeeldvenster of geopend door een beheerder. Opmerking: Hoewel deze waarde wordt geaccepteerd als een postvakactie, worden deze acties niet meer geregistreerd.A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. Vinkje
ModifyFolderPermissionsModifyFolderPermissions Opmerking: Hoewel deze waarde wordt geaccepteerd als een postvakactie, is deze al opgenomen in de actie UpdateFolderPermissions en wordt deze niet afzonderlijk gecontroleerd.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Met andere woorden, gebruik deze waarde niet.In other words, don't use this value.
MoveMove Een bericht is naar een andere map verplaatst.A message was moved to another folder. Vinkje Vinkje Vinkje
MoveToDeletedItemsMoveToDeletedItems Een bericht is verwijderd en verplaatst naar de map Verwijderde items.A message was deleted and moved to the Deleted Items folder. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
RecordDeleteRecordDelete Een item dat als record is gelabeld, is zacht verwijderd (verplaatst naar de map Herstelbare items).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Items die als records zijn gelabeld, kunnen niet permanent worden verwijderd (verwijderd uit de map Herstelbare items).Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Vinkje Vinkje Vinkje
RemoveFolderPermissionsRemoveFolderPermissions Opmerking: Hoewel deze waarde wordt geaccepteerd als een postvakactie, is deze al opgenomen in de actie UpdateFolderPermissions en wordt deze niet afzonderlijk gecontroleerd.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Met andere woorden, gebruik deze waarde niet.In other words, don't use this value.
SendSend De gebruiker verzendt een e-mailbericht, beantwoordt een e-mailbericht of stuurt een e-mailbericht door.The user sends an email message, replies to an email message, or forwards an email message. Deze waarde is alleen beschikbaar voor gebruikers van E5- of E5-abonnementsabonnementen.This value is only available for E5 or E5 Compliance add-on subscription users. Zie Geavanceerde controle instellen voor gebruikers voor meer informatie.For more information, see Set up Advanced Audit for users. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
SendAsSendAs Een bericht is verzonden met de machtiging Verzenden als.A message was sent using the SendAs permission. Dit betekent dat een andere gebruiker het bericht heeft verzonden alsof het afkomstig is van de eigenaar van het postvak.This means another user sent the message as though it came from the mailbox owner. Vinkje*Check mark* Vinkje*Check mark*
SendOnBehalfSendOnBehalf Een bericht is verzonden met de machtiging Verzenden namens.A message was sent using the SendOnBehalf permission. Dit betekent dat een andere gebruiker het bericht heeft verzonden namens de eigenaar van het postvak.This means another user sent the message on behalf of the mailbox owner. Het bericht geeft aan de geadresseerde aan wie het bericht is verzonden namens en wie het bericht daadwerkelijk heeft verzonden.The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Vinkje*Check mark* Vinkje*Check mark*
SoftDeleteSoftDelete Een bericht is definitief verwijderd of verwijderd uit de map Verwijderde items.A message was permanently deleted or deleted from the Deleted Items folder. Snel verwijderde items worden verplaatst naar de map Herstelbare items.Soft-deleted items are moved to the Recoverable Items folder. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
UpdateUpdate Een bericht (of de eigenschappen ervan) is (zijn) gewijzigd.A message or its properties was changed. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation Er is een agendadelegatie toegewezen aan een postvak.A calendar delegation was assigned to a mailbox. Agendadelegering geeft iemand anders in dezelfde organisatie machtigingen voor het beheren van de agenda van de eigenaar van het postvak.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Vinkje*Check mark* Vinkje*Check mark*
UpdateComplianceTagUpdateComplianceTag Er wordt een ander bewaarlabel toegepast op een e-mailitem (aan een item kan slechts één bewaarlabel zijn toegewezen).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Vinkje Vinkje Vinkje
UpdateFolderPermissionsUpdateFolderPermissions Een mapmachtiging is gewijzigd.A folder permission was changed. Mapmachtigingen bepalen welke gebruikers in uw organisatie toegang hebben tot mappen in een mailbox en tot de berichten in die mappen.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
UpdateInboxRulesUpdateInboxRules Er is een regel voor postvak IN toegevoegd, verwijderd of gewijzigd.An inbox rule was added, removed, or changed. Regels voor Postvak IN worden gebruikt om berichten in het Postvak IN van de gebruiker te verwerken op basis van de opgegeven voorwaarden en acties uit te voeren wanneer aan de voorwaarden van een regel wordt voldaan, zoals het verplaatsen van een bericht naar een opgegeven map of het verwijderen van een bericht.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*

Belangrijk

Als u de postvakacties hebt aangepast om te controleren op een aanmeldingstype voordat de postvakcontrole standaard is ingeschakeld in uw organisatie, blijven de aangepaste instellingen behouden in het postvak en worden ze niet overschreven door de standaardpostvakacties zoals beschreven in deze sectie.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Als u de acties in het auditpostvak wilt herstellen naar de standaardwaarden (die u op elk moment kunt doen), gaat u naar de sectie Standaardpostvakacties herstellen verder in dit onderwerp.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Postvakacties voor Microsoft 365 GroepspostvakkenMailbox actions for Microsoft 365 Group mailboxes

Door postvakcontrole standaard in te stellen, wordt de logboekregistratie voor postvakken in postvakken van Microsoft 365 Groeperen weergegeven, maar u kunt niet aanpassen wat er wordt geregistreerd (u kunt postvakacties die zijn aangemeld voor elk aanmeldingstype niet toevoegen of verwijderen).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

In de volgende tabel worden de postvakacties beschreven die standaard zijn vastgelegd op Microsoft 365 Postvakken groepeert voor elk aanmeldingstype.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Een beheerder met volledige toegangsmachtigingen voor een Microsoft 365 groepspostvak wordt beschouwd als gedelegeerde.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

PostvakactieMailbox action BeschrijvingDescription BeheerderAdmin GemachtigdeDelegate EigenaarOwner
MakenCreate Een agenda-item maken.Creation of a calendar Item. Het maken, verzenden of ontvangen van een bericht wordt niet gecontroleerd.Creating, sending, or receiving a message isn't audited. Vinkje*Check mark* Vinkje*Check mark*
HardDeleteHardDelete Er is een bericht verwijderd uit de map Herstelbare items.A message was purged from the Recoverable Items folder. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
MoveToDeletedItemsMoveToDeletedItems Een bericht is verwijderd en verplaatst naar de map Verwijderde items.A message was deleted and moved to the Deleted Items folder. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
SendAsSendAs Een bericht is verzonden met de machtiging Verzenden als.A message was sent using the SendAs permission. Vinkje*Check mark* Vinkje*Check mark*
SendOnBehalfSendOnBehalf Een bericht is verzonden met de machtiging Verzenden namens.A message was sent using the SendOnBehalf permission. Vinkje*Check mark* Vinkje*Check mark*
SoftDeleteSoftDelete Een bericht is definitief verwijderd of verwijderd uit de map Verwijderde items.A message was permanently deleted or deleted from the Deleted Items folder. Snel verwijderde items worden verplaatst naar de map Herstelbare items.Soft-deleted items are moved to the Recoverable Items folder. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*
UpdateUpdate Een bericht (of de eigenschappen ervan) is (zijn) gewijzigd.A message or its properties was changed. Vinkje*Check mark* Vinkje*Check mark* Vinkje*Check mark*

Controleren of standaardpostvakacties worden geregistreerd voor elk aanmeldingstypeVerify that default mailbox actions are being logged for each logon type

Standaardpostvakcontrole wordt een nieuwe eigenschap DefaultAuditSet toegevoegd aan alle postvakken.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. De waarde van deze eigenschap geeft aan of de standaardpostvakacties (beheerd door Microsoft) in het postvak worden gecontroleerd.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Als u de waarde wilt weergeven in gebruikerspostvakken of gedeelde postvakken, vervangt u de naam, alias, e-mailadres of gebruikersnaam (gebruikersnaam) van het postvak en voer u de volgende opdracht <MailboxIdentity> uit in Exchange Online PowerShell:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Als u de waarde wilt weergeven Microsoft 365 groepspostvakken, vervangt u de naam, alias of het e-mailadres van het gedeelde postvak en voer u de volgende opdracht <MailboxIdentity> uit in Exchange Online PowerShell:To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

De waarde Admin, Delegate, Owner geeft aan:The value Admin, Delegate, Owner indicates:

  • De standaardpostvakacties voor alle drie aanmeldingstypen worden gecontroleerd.The default mailbox actions for all three logon types are being audited. Dit is de enige waarde die u ziet in Microsoft 365 Groepspostvakken.This is the only value you'll see on Microsoft 365 Group mailboxes.

  • Een beheerder heeft de gecontroleerde postvakacties niet gewijzigd voor een aanmeldingstype in een gebruikerspostvak of een gedeeld postvak.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Let op: dit is de standaardtoestand nadat postvakcontrole standaard is ingeschakeld in uw organisatie.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Als een beheerder ooit de postvakacties heeft gewijzigd die worden gecontroleerd op een aanmeldingstype (met behulp van de parameters AuditAdmin, AuditDelegate of AuditOwner op de cmdlet Postvak instellen), is de eigenschapswaarde anders.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

De waarde voor de Owner eigenschap DefaultAuditSet in een gebruikerspostvak of gedeeld postvak geeft bijvoorbeeld aan:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • De standaardpostvakacties voor de eigenaar van het postvak worden gecontroleerd.The default mailbox actions for the mailbox owner are being audited.

  • De gecontroleerde postvakacties voor de Delegate typen en aanmeldingstypen zijn gewijzigd in de Admin standaardacties.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Een lege waarde voor de eigenschap DefaultAuditSet geeft aan dat de postvakacties voor alle drie aanmeldingstypen zijn gewijzigd in het gebruikerspostvak of een gedeeld postvak.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Zie de sectie Postvakacties wijzigen of herstellen die standaard zijn vastgelegd in dit onderwerp voor meer informatie.For more information, see the Change or restore mailbox actions logged by default section in this topic

De postvakacties weergeven die worden aangemeld bij postvakkenDisplay the mailbox actions that are being logged on mailboxes

Als u de postvakacties wilt zien die momenteel worden aangemeld bij gebruikerspostvakken of gedeelde postvakken, vervangt u door de naam, alias, e-mailadres of gebruikersnaam (gebruikersnaam) van het postvak en voert u een of meer van de volgende opdrachten <MailboxIdentity> uit in Exchange Online PowerShell.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Notitie

Hoewel u de schakelknop kunt toevoegen aan de volgende opdrachten voor Postvak Microsoft 365 postvakken groepeert, kunt u de waarden die worden geretourneerd niet -GroupMailbox geloven. Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. De standaard- en statische postvakacties die worden gecontroleerd voor Microsoft 365 Groepspostvakken worden beschreven in de sectie Postvakacties voor Microsoft 365 Groepspostvakken eerder in dit onderwerp.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

Acties van eigenaarOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Acties voor gedelegeerdenDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

BeheeractiesAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Standaard vastgelegde postvakacties wijzigen of herstellenChange or restore mailbox actions logged by default

Zoals eerder is uitgelegd, is een van de belangrijkste voordelen van het standaard controleren van postvakken: u hoeft de gecontroleerde postvakkenacties niet te beheren.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft doet dit voor u en we voegen automatisch nieuwe postvakacties toe die standaard moeten worden gecontroleerd wanneer ze worden uitgebracht.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Het is echter mogelijk dat uw organisatie een andere set postvakacties moet controleren voor postvakken van gebruikers en gedeelde postvakken.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. In de procedures in deze sectie ziet u hoe u de postvakacties wijzigt die voor elk aanmeldingstype worden gecontroleerd en hoe u terug kunt keren naar de door Microsoft beheerde standaardacties.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Belangrijk

Als u de volgende procedures gebruikt om de postvakacties aan te passen die zijn aangemeld bij gebruikerspostvakken of gedeelde postvakken, worden nieuwe standaardpostvakacties die door Microsoft zijn uitgebracht, niet automatisch gecontroleerd op die postvakken.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. U moet handmatig nieuwe postvakacties toevoegen aan uw aangepaste lijst met acties.You'll need to manually add any new mailbox actions to your customized list of actions.

De postvakacties wijzigen die u wilt controlerenChange the mailbox actions to audit

U kunt de parameters AuditAdmin, AuditDelegate of AuditOwner op de cmdlet Postvak instellen gebruiken om de postvakacties te wijzigen die worden gecontroleerd voor gebruikerspostvakken en gedeelde postvakken (gecontroleerde acties voor Microsoft 365 groepspostvakken kunnen niet worden aangepast).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

U kunt twee verschillende methoden gebruiken om de postvakacties op te geven:You can use two different methods to specify the mailbox actions:

  • Vervang (overschrijf) de bestaande postvakacties met behulp van deze syntaxis: action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Postvakacties toevoegen of verwijderen zonder dat dit van invloed is op andere bestaande waarden met behulp van deze @{Add="action1","action2",..."actionN"} syntaxis: of @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

In dit voorbeeld worden de acties voor het beheerderspostvak voor het postvak met de naam 'Gabriela Laureano' gewijzigd door de standaardacties met SoftDelete en HardDelete te overschrijven.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In dit voorbeeld wordt de actie PostvakLogin-eigenaar toegevoegd aan de laura@contoso.onmicrosoft.com.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In dit voorbeeld wordt de gemachtigde actie MoveToDeletedItems voor het postvak Teamdiscussie verwijderd.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Ongeacht de methode die u gebruikt, heeft het aanpassen van de gecontroleerde postvakacties voor gebruikerspostvakken of gedeelde postvakken de volgende resultaten:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Voor het aanmeldingstype dat u hebt aangepast, worden de gecontroleerde postvakacties niet meer beheerd door Microsoft.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • Het aanmeldingstype dat u hebt aangepast, wordt niet meer weergegeven in de eigenschap DefaultAuditSet voor het postvak, zoals eerder beschreven.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

De standaardpostvakacties herstellenRestore the default mailbox actions

Als u de postvakacties hebt aangepast die worden gecontroleerd op een gebruikerspostvak of een gedeeld postvak, kunt u de standaardpostvakacties voor een of alle aanmeldingstypen herstellen met behulp van deze syntaxis:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

U kunt meerdere DefaultAuditSet-waarden opgeven, gescheiden door komma'sYou can specify multiple DefaultAuditSet values separated by commas

Opmerking: De volgende procedures zijn niet van toepassing op Microsoft 365 Groepspostvakken (ze zijn beperkt tot de standaardacties zoals hier wordt beschreven).Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

In dit voorbeeld worden de standaard gecontroleerde postvakacties voor alle aanmeldingstypen op het postvak mark@contoso.onmicrosoft.com.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In dit voorbeeld worden de standaard gecontroleerde postvakacties voor het aanmeldingstype Beheerder op het postvak chris@contoso.onmicrosoft.com hersteld, maar blijven de aangepaste gecontroleerde postvakacties voor de aanmeldingstypen Gemachtigde en Eigenaar over.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Het herstellen van de standaard gecontroleerde postvakacties voor een aanmeldingstype heeft de volgende resultaten:Restoring he default audited mailbox actions for a logon type has the following results:

  • De huidige lijst met postvakacties wordt vervangen door de standaardpostvakacties voor het aanmeldingstype.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Nieuwe postvakacties die door Microsoft worden uitgebracht, worden automatisch toegevoegd aan de lijst met gecontroleerde acties voor het aanmeldingstype.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • De eigenschap DefaultAuditSet voor het postvak wordt bijgewerkt met het herstelde aanmeldingstype.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Postvakcontrole standaard uitschakelen voor uw organisatieTurn off mailbox auditing on by default for your organization

U kunt het controleren van postvakken standaard uitschakelen voor uw hele organisatie door de volgende opdracht uit te voeren in Exchange Online PowerShell:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Het standaard uitschakelen van postvakcontrole heeft de volgende resultaten:Turning off mailbox auditing on by default has the following results:

  • Postvakcontrole is uitgeschakeld voor uw organisatie.Mailbox auditing is disabled for your organization.

  • Vanaf het moment dat u postvakcontrole standaard hebt uitgeschakeld, worden er geen postvakacties gecontroleerd, zelfs niet als auditing is ingeschakeld in een postvak (de eigenschap AuditEnabled in het postvak is Waar).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • Postvakcontrole is niet ingeschakeld voor nieuwe postvakken en het instellen van de eigenschap AuditEnabled op een nieuw of bestaand postvak op Waar wordt genegeerd.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Alle instellingen voor het omzeilen van een postvakcontrole (geconfigureerd met de cmdlet Set-MailboxAuditBypassAssociation) worden genegeerd.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • Bestaande postvakauditrecords blijven behouden totdat de leeftijdslimiet voor het auditlogboek voor de record verloopt.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Postvakcontrole standaard in-Turn on mailbox auditing on by default

Als u het controleren van postvakken voor uw organisatie weer wilt in- en uit te voeren, voer u de volgende opdracht uit in Exchange Online PowerShell:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Logboekregistratie voor postvakcontrole omzeilenBypass mailbox audit logging

Momenteel kunt u het controleren van postvakken voor specifieke postvakken niet uitschakelen wanneer postvakcontrole standaard is ingeschakeld in uw organisatie.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Het instellen van de eigenschap AuditEnabled-postvak op Onwaar wordt bijvoorbeeld genegeerd.For example, setting the AuditEnabled mailbox property to False is ignored.

U kunt echter nog steeds de cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell gebruiken om te voorkomen dat alle postvakacties van de opgegeven gebruikers worden vastgelegd, ongeacht waar de acties plaatsvinden.However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Bijvoorbeeld:For example:

  • Acties van postvakeigenaars die door de omzeilde gebruikers worden uitgevoerd, worden niet geregistreerd.Mailbox owner actions performed by the bypassed users aren't logged.

  • Gemachtigde acties van de overgeslagen gebruikers in postvakken van andere gebruikers (inclusief gedeelde postvakken) worden niet geregistreerd.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • Beheeracties die door de omzeilde gebruikers worden uitgevoerd, worden niet geregistreerd.Admin actions performed by the bypassed users aren't logged.

Als u controlelogboekregistratie voor postvakken voor een specifieke gebruiker wilt omzeilen, vervangt u de naam, het e-mailadres, de alias of de gebruikersnaam van de gebruiker en voer u de volgende opdracht <MailboxIdentity> uit:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Voer de volgende opdracht uit om te controleren of de controle voor de opgegeven gebruiker wordt overgeslagen:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

De waarde Waar geeft aan dat de logboekregistratie voor postvakcontrole wordt overgeslagen voor de gebruiker.The value True indicates that mailbox audit logging is bypassed for the user.

Meer informatieMore information

  • Hoewel logboekregistratie voor postvakaudit standaard is ingeschakeld voor alle organisaties, worden standaard alleen gebruikers met E5-licenties in auditlogboekgebeurtenissen in auditlogboekzoekingen in het Beveiligings- & Compliancecentrum of via de API voor beheeractiviteit van Office 365 retourneren. Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Als u postvakcontrolelogboekgegevens wilt ophalen voor gebruikers zonder E5-licenties, kunt u het volgende doen:To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Postvakcontrole handmatig inschakelen voor afzonderlijke postvakken (voer de opdracht uit, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ).Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). Nadat u dit hebt uitgevoerd, kunt u auditlogboekzoekingen gebruiken in het Beveiligings- & compliancecentrum of via de Office 365 Management Activity API.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Notitie

      Als het controleren van postvakken al lijkt te zijn ingeschakeld in het postvak, maar uw zoekopdrachten geen resultaten retourneren, wijzigt u de waarde van de parameter AuditEnabled in en vervolgens terug $false naar $true .If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Gebruik de volgende cmdlets in Exchange Online PowerShell:Use the following cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog om het auditlogboek van het postvak te doorzoeken op specifieke gebruikers.Search-MailboxAuditLog to search the mailbox audit log for specific users.

      • New-MailboxAuditLogSearch om het auditlogboek voor postvakken te doorzoeken op specifieke gebruikers en om de resultaten via e-mail naar opgegeven geadresseerden te laten verzenden.New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.

    • Gebruik het Exchange -beheercentrum (EAC) in Exchange Online om de volgende acties uit te voeren:Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • Standaard worden auditlogboekrecords voor postvakken 90 dagen bewaard voordat ze worden verwijderd.By default, mailbox audit log records are retained for 90 days before they're deleted. U kunt de leeftijdslimiet voor auditlogboekrecords wijzigen met de parameter AuditLogAgeLimit op de cmdlet Postvak instellen in Exchange Online PowerShell.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Als u deze waarde echter wilt verhogen, kunt u niet zoeken naar gebeurtenissen die ouder zijn dan 90 dagen in het auditlogboek.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Als u de leeftijdslimiet verhoogt, moet u de cmdlet Search-MailboxAuditLog in Exchange Online PowerShell gebruiken om in het auditlogboek van het postvak van de gebruiker te zoeken naar records die ouder zijn dan 90 dagen.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Als u de eigenschap AuditLogAgeLimit hebt gewijzigd voor een postvak dat standaard is ingeschakeld voor organisatie, wordt de bestaande leeftijdslimiet voor het auditlogboek niet gewijzigd.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. Met andere woorden: het standaard controleren van postvakken heeft geen invloed op de huidige leeftijdslimiet voor postvakauditrecords.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Als u de waarde AuditLogAgeLimit in een Microsoft 365 groep wilt wijzigen, moet u de schakelknop opnemen in de -GroupMailbox opdracht Postvak instellen.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Auditlogboekrecords voor postvakken worden opgeslagen in een submap (met de naam Audits) in de map Herstelbare items in het postvak van elke gebruiker.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Houd rekening met de volgende zaken over postvakcontrolerecords en de map Herstelbare items:Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Postvakauditrecords tellen mee voor het opslagquotum van de map Herstelbare items, die standaard 30 GB is (het waarschuwingsquotum is 20 GB).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). Het opslagquotum wordt automatisch verhoogd tot 100 GB (met een waarschuwingsquotum van 90 GB) wanneer:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Er wordt een wacht op een postvak geplaatst.A hold is placed on a mailbox.

      • Het postvak is toegewezen aan een bewaarbeleid in het Compliancecentrum.The mailbox is assigned to a retention policy in the Compliance Center.

    • Controlerecords voor postvakken tellen ook mee voor de maplimiet voor de map Herstelbare items.Mailbox audit records also count against the folder limit for the Recoverable Items folder. In de submap Audits kunnen maximaal 3 miljoen items (auditrecords) worden opgeslagen.A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Notitie

      Het is onwaarschijnlijk dat postvakcontrole standaard van invloed is op het opslagquotum of de maplimiet voor de map Herstelbare items.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • U kunt de volgende opdracht uitvoeren in Exchange Online PowerShell om de grootte en het aantal items weer te geven in de submap Audits in de map Herstelbare items:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • U kunt een auditlogboekrecord niet rechtstreeks openen in de map Herstelbare items. in plaats daarvan gebruikt u de cmdlet Search-MailboxAuditLog of zoekt u in het auditlogboek om controlerecords voor postvakken te zoeken en weer te geven.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Als een postvak in bewaring wordt geplaatst of is toegewezen aan een bewaarbeleid in het Compliancecentrum, worden auditlogboekrecords nog steeds bewaard voor de duur die is gedefinieerd door de eigenschap AuditLogAgeLimit van het postvak (standaard 90 dagen).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Als u auditlogboekrecords langer wilt bewaren voor postvakken in de wachtstand, moet u de waarde AuditLogAgeLimit van het postvak verhogen.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • In een multi-geo-omgeving wordt cross-geopostvakcontrole niet ondersteund.In a multi-geo environment, cross-geo mailbox auditing is not supported. Als een gebruiker bijvoorbeeld machtigingen krijgt toegewezen voor toegang tot een gedeeld postvak op een andere geografische locatie, worden postvakacties die door die gebruiker worden uitgevoerd, niet aangemeld in het postvakauditlogboek van het gedeelde postvak.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.