Gerenciar a auditoria de caixa de correioManage mailbox auditing

A partir de janeiro de 2019, a Microsoft está aprindo o log de auditoria de caixa de correio por padrão para todas as organizações.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Isso significa que determinadas ações executadas por proprietários, representantes e administradores de caixa de correio são registradas automaticamente e os registros de auditoria de caixa de correio correspondentes estarão disponíveis quando você pesquisar por eles no log de auditoria de caixa de correio.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Antes de a auditoria de caixa de correio ser ativada por padrão, você precisava habilita-la manualmente para cada caixa de correio de usuário em sua organização.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Aqui estão alguns benefícios da auditoria de caixa de correio por padrão:Here are some benefits of mailbox auditing on by default:

  • A auditoria é habilitada automaticamente quando você cria uma nova caixa de correio.Auditing is automatically enabled when you create a new mailbox. Você não precisa habilita-lo manualmente para novos usuários.You don't need to manually enable it for new users.

  • Você não precisa gerenciar as ações de caixa de correio auditadas.You don't need to manage the mailbox actions that are audited. Um conjunto predefinido de ações de caixa de correio é auditado por padrão para cada tipo de logon (Administrador, Representante e Proprietário).A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Quando a Microsoft lança uma nova ação de caixa de correio, a ação pode ser adicionada automaticamente à lista de ações de caixa de correio auditadas por padrão (sujeita ao usuário que tem a licença apropriada).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Isso significa que você não precisa monitorar adicionar novas ações em caixas de correio.This means you don't need to monitor add new actions on mailboxes.

  • Você tem uma política de auditoria de caixa de correio consistente em toda a sua organização (porque está auditando as mesmas ações para todas as caixas de correio).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Observação

  • O importante a ser lembrado sobre a liberação da auditoria de caixa de correio por padrão é: você não precisa fazer nada para gerenciar a auditoria de caixa de correio.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. No entanto, para saber mais, personalize a auditoria de caixa de correio a partir das configurações padrão ou a desligue completamente, este tópico pode ajudá-lo.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • Por padrão, somente os eventos de auditoria de caixa de correio para usuários do E5 estão disponíveis em pesquisas de log de auditoria no Centro de Conformidade & Segurança ou por meio da API de Atividade de Gerenciamento Office 365.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Para obter mais informações, consulte a seção Mais informações neste tópico.For more information, see the More information section in this topic.

Verificar se a auditoria de caixa de correio está ativada por padrãoVerify mailbox auditing on by default is turned on

Para verificar se a auditoria de caixa de correio por padrão está 100% 100% 100%, execute o seguinte comando no Exchange Online PowerShell:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

O valor False indica que a auditoria de caixa de correio ativada por padrão está habilitada para a organização.The value False indicates that mailbox auditing on by default is enabled for the organization. Isso por padrão substitui a configuração de auditoria de caixa de correio em caixas de correio específicas.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Por exemplo, se a auditoria de caixa de correio estiver desabilitada para uma caixa de correio (a propriedade AuditEnabled é False na caixa de correio), as ações de caixa de correio padrão ainda serão auditadas para a caixa de correio, pois a auditoria de caixa de correio ativada por padrão está habilitada para a organização.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Para manter a auditoria de caixa de correio desabilitada para caixas de correio específicas, configure o bypass de auditoria de caixa de correio para o proprietário da caixa de correio e outros usuários que tenham sido delegados acesso à caixa de correio.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Para obter mais informações, consulte a seção Bypass mailbox audit logging neste tópico.For more information, see the Bypass mailbox audit logging section in this topic.

Observação

Quando a auditoria de caixa de correio por padrão estiver ativa para a organização, a propriedade AuditEnabled para caixas de correio afetadas não será alterada de False para True.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. Em outras palavras, a auditoria de caixa de correio por padrão ignora a propriedade AuditEnabled em caixas de correio.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Tipos de caixa de correio com suporteSupported mailbox types

A tabela a seguir mostra os tipos de caixa de correio atualmente suportados pela auditoria de caixa de correio por padrão:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

Tipo de caixa de correioMailbox type Com suporteSupported Sem suporteNot supported
Caixas de correio de usuárioUser mailboxes Marca de seleção
Caixas de correio compartilhadasShared mailboxes Marca de seleção
Microsoft 365 Caixas de correio de grupoMicrosoft 365 Group mailboxes Marca de seleção
Caixas de correio de recursoResource mailboxes Marca de seleção
Caixas de correio de pastas públicasPublic folder mailboxes Marca de seleção

Tipos de logon e ações de caixa de correioLogon types and mailbox actions

Os tipos de logon classificam o usuário que fez as ações auditadas na caixa de correio.Logon types classify the user that did the audited actions on the mailbox. A lista a seguir descreve os tipos de logon usados no log de auditoria de caixa de correio:The following list describes the logon types that are used in mailbox audit logging:

  • Proprietário: o proprietário da caixa de correio (a conta associada à caixa de correio).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Delegar:Delegate:

    • Um usuário que tenha sido atribuído a permissão SendAs, SendOnBehalf ou FullAccess para outra caixa de correio.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • Um administrador que foi atribuído a permissão FullAccess à caixa de correio de um usuário.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Admin:Admin:

    • A caixa de correio é pesquisada com uma das seguintes ferramentas de Descoberta Eletrônico da Microsoft:The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Pesquisa de conteúdo no Centro de Conformidade.Content Search in the Compliance center.

      • EDiscovery ou Advanced eDiscovery no Centro de Conformidade.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place Descoberta eDiscovery no Exchange Online.In-Place eDiscovery in Exchange Online.

    • A caixa de correio é acessada usando o editor Microsoft Exchange Server MAPI.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Ações de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadasMailbox actions for user mailboxes and shared mailboxes

A tabela a seguir descreve as ações de caixa de correio que estão disponíveis no log de auditoria de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Uma marca de seleção (A check mark ( Marca de seleção) indica que a ação da caixa de correio pode ser registrada no tipo de logon (nem todas as ações estão disponíveis para todos os tipos de logon).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • Um asterisco ( ) depois que a marca de seleção indica que a ação de caixa de correio é registrada por * padrão para o tipo de logon.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • Lembre-se de que um administrador com permissão de Acesso Total a uma caixa de correio é considerado um representante.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

Ação de caixa de correioMailbox action DescriçãoDescription AdminAdmin DelegarDelegate OwnerOwner
AddFolderPermissionsAddFolderPermissions Observação: embora esse valor seja aceito como uma ação de caixa de correio, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Em outras palavras, não use esse valor.In other words, don't use this value.
ApplyRecordApplyRecord Um item é rotulado como um registro.An item is labeled as a record. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
CopiarCopy Uma mensagem foi copiada a outra pasta.A message was copied to another folder. Marca de seleção
CreateCreate Um item foi criado na pasta Calendário, Contatos, Anotações ou Tarefas na caixa de correio (por exemplo, uma nova solicitação de reunião é criada).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Criar, enviar ou receber uma mensagem não é auditada.Creating, sending, or receiving a message isn't audited. Criar pastas de caixa de correio também não é uma ação auditada.Also, creating a mailbox folder is not audited. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção
PadrãoDefault Marca de seleção Marca de seleção Marca de seleção
FolderBindFolderBind Uma pasta da caixa de correio foi acessada. Esta ação também é registrada quando o administrador ou representante abrem a caixa de correio.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

Observação: Os registros de auditoria para ações de vinculação de pastas executadas por representantes são consolidados.Note: Audit records for folder bind actions performed by delegates are consolidated. Um registro de auditoria é gerado para acesso de pasta individual em um período de 24 horas.One audit record is generated for individual folder access within a 24-hour period.
Marca de seleção Marca de seleção
HardDeleteHardDelete Uma mensagem foi removida da pasta de Itens Recuperáveis.A message was purged from the Recoverable Items folder. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
MailItemsAccessedMailItemsAccessed Os dados de email são acessados por protocolos de email e clientes.Mail data is accessed by mail protocols and clients. Esse valor só está disponível para usuários de assinatura de complemento de Conformidade e5 ou E5.This value is only available for E5 or E5 Compliance add-on subscription users. Para obter mais informações, consulte Configurar Auditoria Avançada .For more information, see Set up Advanced Audit . Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
MailboxLoginMailboxLogin O usuário entrou em sua caixa de correio.The user signed into their mailbox. Marca de seleção
MessageBindMessageBind Uma mensagem foi exibida no painel de visualização ou aberta por um administrador. Observação: Embora esse valor seja aceito como uma ação de caixa de correio, essas ações não são mais registradas.A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. Marca de seleção
ModifyFolderPermissionsModifyFolderPermissions Observação: embora esse valor seja aceito como uma ação de caixa de correio, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Em outras palavras, não use esse valor.In other words, don't use this value.
MoveMove Uma mensagem foi movida para outra pasta.A message was moved to another folder. Marca de seleção Marca de seleção Marca de seleção
MoveToDeletedItemsMoveToDeletedItems Uma mensagem foi excluída e movida para a pasta Itens Excluídos.A message was deleted and moved to the Deleted Items folder. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
RecordDeleteRecordDelete Um item rotulado como registro foi excluído de forma suave (movido para a pasta Itens Recuperáveis).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Os itens rotulados como registros não podem ser excluídos permanentemente (excluídos da pasta Itens Recuperáveis).Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Marca de seleção Marca de seleção Marca de seleção
RemoveFolderPermissionsRemoveFolderPermissions Observação: embora esse valor seja aceito como uma ação de caixa de correio, ele já está incluído na ação UpdateFolderPermissions e não é auditado separadamente.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Em outras palavras, não use esse valor.In other words, don't use this value.
SendSend O usuário envia uma mensagem de email, responde a uma mensagem de email ou encaminha uma mensagem de email.The user sends an email message, replies to an email message, or forwards an email message. Esse valor só está disponível para usuários de assinatura de complemento de Conformidade e5 ou E5.This value is only available for E5 or E5 Compliance add-on subscription users. Para obter mais informações, consulte Configurar Auditoria Avançada para usuários.For more information, see Set up Advanced Audit for users. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
SendAsSendAs Uma mensagem foi enviada usando a permissão SendAs. Isto significa que outro usuário enviou a mensagem apesar de ter vindo do proprietário da caixa de correio.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Marca de seleção*Check mark* Marca de seleção*Check mark*
SendOnBehalfSendOnBehalf Uma mensagem foi enviada usando a permissão SendOnBehalf. Isto significa que outro usuário enviou a mensagem em nome do proprietário da caixa de correio. A mensagem indica ao destinatário em nome de quem a mensagem foi enviada e quem na verdade enviou a mensagem.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Marca de seleção*Check mark* Marca de seleção*Check mark*
SoftDeleteSoftDelete Uma mensagem foi excluída permanentemente da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
AtualizarUpdate Uma mensagem ou suas propriedades foram alteradas.A message or its properties was changed. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation Uma delegação de calendário foi atribuída a uma caixa de correio.A calendar delegation was assigned to a mailbox. A delegação de calendário concede a outra pessoa na mesma organização permissões para gerenciar o calendário do proprietário da caixa de correio.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Marca de seleção*Check mark* Marca de seleção*Check mark*
UpdateComplianceTagUpdateComplianceTag Um rótulo de retenção diferente é aplicado a um item de email (um item só pode ter um rótulo de retenção atribuído a ele).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Marca de seleção Marca de seleção Marca de seleção
UpdateFolderPermissionsUpdateFolderPermissions Uma permissão da pasta foi alterada.A folder permission was changed. As permissões de pasta controlam quais usuários da sua organização podem acessar as pastas em uma caixa de correio e as mensagens localizadas nessas pastas.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
UpdateInboxRulesUpdateInboxRules Uma regra de caixa de entrada foi adicionada, removida ou alterada.An inbox rule was added, removed, or changed. As regras de caixa de entrada são usadas para processar mensagens na Caixa de Entrada do usuário com base nas condições especificadas e tomar ações quando as condições de uma regra são atendidas, como mover uma mensagem para uma pasta especificada ou excluir uma mensagem.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*

Importante

Se você personalizou as ações de caixa de correio para auditar qualquer tipo de logon antes que a auditoria de caixa de correio por padrão estivesse habilitada em sua organização, as configurações personalizadas serão preservadas na caixa de correio e não serão substituídas pelas ações de caixa de correio padrão, conforme descrito nesta seção.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Para reverter as ações de caixa de correio de auditoria para seus valores padrão (o que você pode fazer a qualquer momento), consulte a seção Restaurar as ações de caixa de correio padrão mais adiante neste tópico.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Ações de caixa de correio para Microsoft 365 de grupoMailbox actions for Microsoft 365 Group mailboxes

A auditoria de caixa de correio por padrão faz com que o log de auditoria de caixa de correio Microsoft 365 caixas de correio do Grupo, mas você não pode personalizar o que está sendo registrado (não é possível adicionar ou remover ações de caixa de correio que estão registradas para qualquer tipo de logon).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

A tabela a seguir descreve as ações de caixa de correio que são registradas por padrão Microsoft 365 caixas de correio de grupo para cada tipo de logon.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Lembre-se de que um administrador com permissão de Acesso Total para uma Microsoft 365 de grupo é considerado um representante.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

Ação de caixa de correioMailbox action DescriçãoDescription AdminAdmin DelegarDelegate OwnerOwner
CreateCreate Criação de um Item de calendário.Creation of a calendar Item. Criar, enviar ou receber uma mensagem não é auditada.Creating, sending, or receiving a message isn't audited. Marca de seleção*Check mark* Marca de seleção*Check mark*
HardDeleteHardDelete Uma mensagem foi removida da pasta de Itens Recuperáveis.A message was purged from the Recoverable Items folder. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
MoveToDeletedItemsMoveToDeletedItems Uma mensagem foi excluída e movida para a pasta Itens Excluídos.A message was deleted and moved to the Deleted Items folder. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
SendAsSendAs Uma mensagem foi enviada usando a permissão SendAs.A message was sent using the SendAs permission. Marca de seleção*Check mark* Marca de seleção*Check mark*
SendOnBehalfSendOnBehalf Uma mensagem foi enviada usando a permissão SendOnBehalf.A message was sent using the SendOnBehalf permission. Marca de seleção*Check mark* Marca de seleção*Check mark*
SoftDeleteSoftDelete Uma mensagem foi excluída permanentemente da pasta Itens Excluídos. Os itens excluídos temporariamente são movidos para a pasta Itens Recuperáveis.A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*
AtualizarUpdate Uma mensagem ou suas propriedades foram alteradas.A message or its properties was changed. Marca de seleção*Check mark* Marca de seleção*Check mark* Marca de seleção*Check mark*

Verifique se as ações de caixa de correio padrão estão sendo registradas para cada tipo de logonVerify that default mailbox actions are being logged for each logon type

A auditoria de caixa de correio por padrão adiciona uma nova propriedade DefaultAuditSet a todas as caixas de correio.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. O valor dessa propriedade indica se as ações de caixa de correio padrão (gerenciadas pela Microsoft) estão sendo auditadas na caixa de correio.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Para exibir o valor em caixas de correio de usuário ou caixas de correio compartilhadas, substitua pelo nome, alias, endereço de email ou nome principal do usuário (nome de usuário) da caixa de correio e execute o seguinte comando no <MailboxIdentity> Exchange Online PowerShell:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Para exibir o valor em Microsoft 365 de grupo, substitua pelo nome, alias ou endereço de email da caixa de correio compartilhada e execute o seguinte comando no <MailboxIdentity> Exchange Online PowerShell:To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

O valor Admin, Delegate, Owner indica:The value Admin, Delegate, Owner indicates:

  • As ações de caixa de correio padrão para todos os três tipos de logon estão sendo auditadas.The default mailbox actions for all three logon types are being audited. Esse é o único valor que você verá nas caixas de correio Microsoft 365 Group.This is the only value you'll see on Microsoft 365 Group mailboxes.

  • Um administrador não alterou as ações de caixa de correio auditadas para qualquer tipo de logon em uma caixa de correio de usuário ou uma caixa de correio compartilhada.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Observe que esse é o estado padrão depois que a auditoria de caixa de correio por padrão é inicialmente 1ada em sua organização.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Se um administrador tiver alterado as ações de caixa de correio auditadas para um tipo de logon (usando os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox), o valor da propriedade será diferente.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Por exemplo, o valor Owner da propriedade DefaultAuditSet em uma caixa de correio de usuário ou caixa de correio compartilhada indica:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • As ações de caixa de correio padrão para o proprietário da caixa de correio estão sendo auditadas.The default mailbox actions for the mailbox owner are being audited.

  • As ações de caixa de correio auditadas para os tipos de logon e foram Delegate Admin alteradas das ações padrão.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Um valor em branco para a propriedade DefaultAuditSet indica que as ações de caixa de correio para todos os três tipos de logon foram alteradas na caixa de correio do usuário ou em uma caixa de correio compartilhada.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Para obter mais informações, consulte a seção Alterar ou restaurar ações de caixa de correio registradas por padrão neste tópicoFor more information, see the Change or restore mailbox actions logged by default section in this topic

Exibir as ações de caixa de correio que estão sendo registradas em caixas de correioDisplay the mailbox actions that are being logged on mailboxes

Para ver as ações de caixa de correio que estão sendo registradas em caixas de correio de usuário ou caixas de correio compartilhadas, substitua pelo nome, alias, endereço de email ou nome principal do usuário (nome de usuário) da caixa de correio e execute um ou mais dos seguintes comandos no <MailboxIdentity> Exchange Online PowerShell.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Observação

Embora você possa adicionar a opção aos seguintes comandos Get-Mailbox para Microsoft 365 caixas de correio de grupo, não acredite nos valores -GroupMailbox retornados. Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. As ações padrão e estáticas de caixa de correio que são auditadas para Microsoft 365 caixas de correio de grupo são descritas na seção Ações de Caixa de Correio para caixas de correio Microsoft 365 Grupo anteriormente neste tópico.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

Ações do proprietárioOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Ações delegarDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Ações de administradorAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Alterar ou restaurar ações de caixa de correio registradas por padrãoChange or restore mailbox actions logged by default

Como explicado anteriormente, um dos principais benefícios de ter a auditoria de caixa de correio por padrão é: você não precisa gerenciar as ações de caixas de correio que são auditadas.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. A Microsoft faz isso para você e adicionaremos automaticamente novas ações de caixa de correio a serem auditadas por padrão à medida que elas são lançadas.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

No entanto, sua organização pode ser necessária para auditar um conjunto diferente de ações de caixa de correio para caixas de correio de usuário e caixas de correio compartilhadas.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. Os procedimentos nesta seção mostram como alterar as ações de caixa de correio auditadas para cada tipo de logon e como reverter para as ações padrão gerenciadas pela Microsoft.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Importante

Se você usar os procedimentos a seguir para personalizar as ações de caixa de correio que estão registradas em caixas de correio de usuário ou caixas de correio compartilhadas, quaisquer novas ações de caixa de correio padrão lançadas pela Microsoft não serão auditadas automaticamente nessas caixas de correio.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Você precisará adicionar manualmente qualquer nova ação de caixa de correio à sua lista personalizada de ações.You'll need to manually add any new mailbox actions to your customized list of actions.

Alterar as ações de caixa de correio para auditoriaChange the mailbox actions to audit

Você pode usar os parâmetros AuditAdmin, AuditDelegate ou AuditOwner no cmdlet Set-Mailbox para alterar as ações de caixa de correio auditadas para caixas de correio de usuário e caixas de correio compartilhadas (ações auditadas para caixas de correio de grupo Microsoft 365 não podem ser personalizadas).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

Você pode usar dois métodos diferentes para especificar as ações de caixa de correio:You can use two different methods to specify the mailbox actions:

  • Substitua (substitua) as ações de caixa de correio existentes usando esta sintaxe: action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Adicione ou remova ações de caixa de correio sem afetar outros valores existentes usando esta sintaxe: @{Add="action1","action2",..."actionN"} ou @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

Este exemplo altera as ações de caixa de correio de administrador para a caixa de correio chamada "Gabriela Laureano" ao sobrescrever as ações padrão com SoftDelete e HardDelete.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

Este exemplo adiciona a ação proprietário MailboxLogin à caixa de correio laura@contoso.onmicrosoft.com.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

Este exemplo remove a ação delegada MoveToDeletedItems para a caixa de correio discussão de equipe.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Independentemente do método usado, personalizar as ações de caixa de correio auditadas em caixas de correio de usuário ou caixas de correio compartilhadas tem os seguintes resultados:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Para o tipo de logon personalizado, as ações de caixa de correio auditadas não são mais gerenciadas pela Microsoft.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • O tipo de logon personalizado não é mais exibido no valor da propriedade DefaultAuditSet para a caixa de correio conforme descrito anteriormente.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Restaurar as ações de caixa de correio padrãoRestore the default mailbox actions

Se você personalização das ações de caixa de correio auditadas em uma caixa de correio de usuário ou em uma caixa de correio compartilhada, poderá restaurar as ações de caixa de correio padrão para um ou todos os tipos de logon usando esta sintaxe:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Você pode especificar vários valores DefaultAuditSet separados por vírgulasYou can specify multiple DefaultAuditSet values separated by commas

Observação: Os procedimentos a seguir não se aplicam Microsoft 365 caixas de correio de grupo (elas estão limitadas às ações padrão conforme descrito aqui).Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

Este exemplo restaura as ações de caixa de correio auditadas padrão para todos os tipos de logon na caixa de correio mark@contoso.onmicrosoft.com.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

Este exemplo restaura as ações de caixa de correio auditadas padrão para o tipo de logon administrador na caixa de correio chris@contoso.onmicrosoft.com, mas deixa as ações de caixa de correio auditadas personalizadas para os tipos de logon Delegar e Proprietário.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Restaurar as ações de caixa de correio auditadas padrão para um tipo de logon tem os seguintes resultados:Restoring he default audited mailbox actions for a logon type has the following results:

  • A lista atual de ações de caixa de correio é substituída pelas ações de caixa de correio padrão para o tipo de logon.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Todas as novas ações de caixa de correio lançadas pela Microsoft são adicionadas automaticamente à lista de ações auditadas para o tipo de logon.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • O valor da propriedade DefaultAuditSet para a caixa de correio é atualizado para incluir o tipo de logon restaurado.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Desativar a auditoria de caixa de correio por padrão para sua organizaçãoTurn off mailbox auditing on by default for your organization

Você pode desativar a auditoria de caixa de correio por padrão para toda a sua organização executando o seguinte comando no Exchange Online PowerShell:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Desligar a auditoria de caixa de correio por padrão tem os seguintes resultados:Turning off mailbox auditing on by default has the following results:

  • A auditoria de caixa de correio está desabilitada para sua organização.Mailbox auditing is disabled for your organization.

  • Desde o momento em que você desabilitou a auditoria de caixa de correio por padrão, nenhuma ação de caixa de correio é auditada, mesmo que a auditoria seja habilitada em uma caixa de correio (a propriedade AuditEnabled na caixa de correio é True).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • A auditoria de caixa de correio não está habilitada para novas caixas de correio e a definição da propriedade AuditEnabled em uma caixa de correio nova ou existente como True será ignorada.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Todas as configurações de associação de bypass de auditoria de caixa de correio (configuradas usando o cmdlet Set-MailboxAuditBypassAssociation) são ignoradas.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • Os registros de auditoria de caixa de correio existentes são mantidos até que o limite de idade do log de auditoria para o registro expire.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Ativar a auditoria de caixa de correio por padrãoTurn on mailbox auditing on by default

Para ativar novamente a auditoria de caixa de correio para sua organização, execute o seguinte comando Exchange Online PowerShell:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Ignorar log de auditoria de caixa de correioBypass mailbox audit logging

Atualmente, não é possível desabilitar a auditoria de caixas de correio para específicas caixas de correio quando a auditoria de caixas de correio estiver ativada por padrão na organização.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Por exemplo, a definição da propriedade de caixa de correio AuditEnabled como False é ignorada.For example, setting the AuditEnabled mailbox property to False is ignored.

No entanto, você ainda pode usar o cmdlet Set-MailboxAuditBypassAssociation no Exchange Online PowerShell para impedir que todas as ações de caixa de correio dos usuários especificados sejam registradas, independentemente de onde as ações ocorrem. However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Por exemplo:For example:

  • As ações do proprietário da caixa de correio executadas pelos usuários ignorados não são registradas.Mailbox owner actions performed by the bypassed users aren't logged.

  • As ações de representante executadas pelos usuários ignorados em caixas de correio de outros usuários (incluindo caixas de correio compartilhadas) não são registradas.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • As ações de administrador executadas pelos usuários ignorados não são registradas.Admin actions performed by the bypassed users aren't logged.

Para ignorar o log de auditoria de caixa de correio de um usuário específico, substitua pelo nome, endereço de email, alias ou nome principal do usuário (nome de usuário) do usuário e execute <MailboxIdentity> o seguinte comando:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Para verificar se a auditoria é ignorada para o usuário especificado, execute o seguinte comando:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

O valor True indica que o log de auditoria de caixa de correio é ignorado para o usuário.The value True indicates that mailbox audit logging is bypassed for the user.

Mais informaçõesMore information

  • Embora o log de auditoria de caixa de correio ativado por padrão seja habilitado para todas as organizações, somente os usuários com licenças do E5 retornarão eventos de log de auditoria de caixa de correio em pesquisas de log de auditoria no Centro de Conformidade & Segurança ou por meio da API de Atividade de Gerenciamento do Office 365 por padrão . Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Para recuperar entradas de log de auditoria de caixa de correio para usuários sem licenças E5, você pode:To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Habilitar manualmente a auditoria de caixa de correio em caixas de correio individuais (execute o comando, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ).Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). Depois de fazer isso, você pode usar pesquisas de log de auditoria no Centro de Conformidade & Segurança ou por meio da API de Atividade de Gerenciamento Office 365 Gerenciamento.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Observação

      Se a auditoria de caixa de correio já estiver habilitada na caixa de correio, mas suas pesquisas não retornarem resultados, altere o valor do parâmetro AuditEnabled para e volte $false para $true .If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Use os seguintes cmdlets no Exchange Online PowerShell:Use the following cmdlets in Exchange Online PowerShell:

      • Search-MailboxAuditLog para pesquisar o log de auditoria de caixa de correio para usuários específicos.Search-MailboxAuditLog to search the mailbox audit log for specific users.

      • New-MailboxAuditLogSearch para pesquisar o log de auditoria de caixa de correio para usuários específicos e para ter os resultados enviados por email para destinatários especificados.New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.

    • Use o Exchange de administração (EAC) no Exchange Online para fazer as seguintes ações:Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • Por padrão, os registros de log de auditoria de caixa de correio são mantidos por 90 dias antes de ser excluídos.By default, mailbox audit log records are retained for 90 days before they're deleted. Você pode alterar o limite de idade para registros de log de auditoria usando o parâmetro AuditLogAgeLimit no cmdlet Set-Mailbox no Exchange Online PowerShell.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. No entanto, aumentar esse valor não permite que você pesquise eventos com mais de 90 dias no log de auditoria.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Se você aumentar o limite de idade, precisará usar o cmdlet Search-MailboxAuditLog no Exchange Online PowerShell para pesquisar o log de auditoria de caixa de correio do usuário em busca de registros com mais de 90 dias.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Se você alterou a propriedade AuditLogAgeLimit para uma caixa de correio antes de a auditoria de caixa de correio estar 100% 2016 2016 2016, o limite de idade do log de auditoria existente da caixa de correio não será alterado.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. Em outras palavras, a auditoria de caixa de correio por padrão não afeta o limite de idade atual para registros de auditoria de caixa de correio.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Para alterar o valor AuditLogAgeLimit em uma caixa de correio Microsoft 365 Group, você precisa incluir a opção no -GroupMailbox comando Set-Mailbox.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Os registros de log de auditoria de caixa de correio são armazenados em uma subpasta (denominada Auditorias) na pasta Itens Recuperáveis na caixa de correio de cada usuário.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Lembre-se das seguintes coisas sobre os registros de auditoria de caixa de correio e a pasta Itens Recuperáveis:Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Os registros de auditoria de caixa de correio contam com a cota de armazenamento da pasta Itens Recuperáveis, que é de 30 GB por padrão (a cota de aviso é de 20 GB).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). A cota de armazenamento é aumentada automaticamente para 100 GB (com uma cota de aviso de 90 GB) quando:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Uma espera é colocada em uma caixa de correio.A hold is placed on a mailbox.

      • A caixa de correio é atribuída a uma política de retenção no Centro de Conformidade.The mailbox is assigned to a retention policy in the Compliance Center.

    • Os registros de auditoria de caixa de correio também contam com o limite de pasta para a pasta Itens Recuperáveis.Mailbox audit records also count against the folder limit for the Recoverable Items folder. No máximo 3 milhões de itens (registros de auditoria) podem ser armazenados na subpasta Auditorias.A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Observação

      É improvável que a auditoria de caixa de correio por padrão impacte a cota de armazenamento ou o limite de pasta para a pasta Itens Recuperáveis.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Você pode executar o seguinte comando no Exchange Online PowerShell para exibir o tamanho e o número de itens na subpasta Auditorias na pasta Itens Recuperáveis:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Você não pode acessar diretamente um registro de log de auditoria na pasta Itens Recuperáveis; em vez disso, use o cmdlet Search-MailboxAuditLog ou pesquise o log de auditoria para encontrar e exibir registros de auditoria de caixa de correio.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Se uma caixa de correio for colocada em retenção ou atribuída a uma política de retenção no Centro de Conformidade, os registros de log de auditoria ainda serão mantidos pela duração definida pela propriedade AuditLogAgeLimit da caixa de correio (90 dias por padrão).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Para manter os registros de log de auditoria por mais tempo para caixas de correio em espera, você precisa aumentar o valor AuditLogAgeLimit da caixa de correio.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • Em um ambiente de várias regiões, não há suporte para a auditoria de caixas de correio de várias regiões.In a multi-geo environment, cross-geo mailbox auditing is not supported. Por exemplo, se um usuário receber permissões para acessar uma caixa de correio compartilhada em um local geográfico diferente, as ações de caixa de correio executadas por esse usuário não serão registradas no log de auditoria da caixa de correio da caixa de correio compartilhada.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.