Запуск отчета об обращениях к почтовым ящикам со стороны пользователей, не являющихся их владельцами
В отчете о доступе к почтовым ящикам , не являющимся владельцем, в Центре администрирования Exchange (EAC) перечислены почтовые ящики, к которым обращается кто-то другой пользователь, не являющийся владельцем почтового ящика. Когда не владелец обращается к почтовому ящику, Exchange регистрирует сведения об этом действии. Exchange сохраняет этот журнал аудита почтового ящика в виде сообщения электронной почты в скрытой папке в проверенном почтовом ящике. В отчете отображаются записи из этого журнала в виде результатов поиска и содержатся все почтовые ящики, к которым обращается не владелец, который обращается к каждому почтовому ящику и когда, действия, выполненные не владельцами, а также успешно ли они были выполнены.
Exchange регистрирует определенные действия, выполняемые не владельцами, включая администраторов и пользователей, которым назначены разрешения для почтового ящика (которые называются делегированными пользователями). Вы также можете ограничить поиск пользователями из вашей организации или людьми со стороны. По умолчанию Exchange хранит записи в журнале аудита почтового ящика в течение 90 дней.
Ведение журнала аудита почтового ящика можно включить в командной консоли Exchange.
Что нужно знать перед началом работы
Предполагаемое время для завершения: 5 минут.
Сведения об открытии Центра администрирования Exchange см. в разделе Центр администрирования Exchange в Exchange Server. Чтобы открыть командную консоль Exchange, см. статью Запуск командной консоли Exchange.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Ведение журнала аудита почтовых ящиков" в статье Политика обмена сообщениями и разрешения на соответствие требованиям Exchange Server.
Сведения о сочетаниях клавиш, которые применяются к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш в Центре администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.
Шаг 1. Включение ведения журнала аудита почтовых ящиков с помощью командной консоли Exchange
Ведение журнала аудита необходимо включить для каждого почтового ящика, который вы хотите видеть в отчете о доступе к чужим почтовым ящикам. Если этого не сделать, создать отчет не получится.
Чтобы включить ведение журнала аудита почтового ящика для одного почтового ящика, выполните следующую команду в командной консоли Exchange:
Set-Mailbox <Identity> -AuditEnabled $true
Например, чтобы включить аудит почтовых ящиков для пользователя Николая Грачева, выполните следующую команду:
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Чтобы включить аудит почтовых ящиков для всех почтовых ящиков пользователей в организации, выполните следующие команды:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Как проверить, все ли получилось?
Выполните следующую команду, чтобы убедиться, что вы успешно настроили ведение журнала аудита почтового ящика.
Get-Mailbox | Format-List Name,AuditEnabled
Значение True свойства AuditEnabled проверяет, включено ли ведение журнала аудита.
Шаг 2. Использование EAC для запуска отчета о доступе к почтовому ящику, не являющегося владельцем
В EAC перейдите в раздел Аудит управления соответствием> требованиям.
Выберите Запуск отчета о доступе к почтовому ящику, не являющегося владельцем.
По умолчанию служба Exchange создает отчет о доступе к чужим почтовым ящикам в организации за последние две недели. В результатах поиска отображаются почтовые ящики, для которых включено ведение журнала аудита.
Чтобы просмотреть отчет о доступе к определенному почтовому ящику со стороны пользователей, не являющихся владельцами, выберите этот почтовый ящик со списка почтовых ящиков. Просмотрите результаты поиска в области сведений.
Примечания.
Нужно сузить поиск? Выберите начальную и конечные даты и конкретные почтовые ящики для поиска. Выберите Поиск , чтобы повторно запустить отчет.
Вы также можете указать, какой тип доступа (тип входа) нужно искать. Доступны следующие варианты:
Все пользователи, не являющиеся владельцами. Найдите доступ администраторов и делегированных пользователей в организации. Сюда также входят обращения пользователей за пределами организации.
Внешние пользователи: поиск доступа для пользователей за пределами организации.
Администраторы и делегированные пользователи. Найдите доступ администраторов и делегированных пользователей в организации.
Администраторы. Найдите доступ администраторов в вашей организации.
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно выполнили отчет о доступе к почтовому ящику, не являющегося владельцем, проверка области результатов поиска. В области результатов отображаются почтовые ящики, для которые вы запустили отчет, будь то отдельный пользователь или группа почтовых ящиков. Если для определенного почтового ящика нет результатов, возможно, в указанном диапазоне дат не было доступа, не являющегося владельцем, или не было доступа, не являющегося владельцем. Как мы уже рекомендовали ранее, убедитесь, что вы включили ведение журнала аудита для почтовых ящиков, к которым вы хотите найти доступ не владельцев.
Что записывается в журнале аудита почтовых ящиков?
При запуске отчета о доступе к почтовому ящику, не являющегося владельцем, в результатах поиска EAC отображаются записи из журнала аудита почтовых ящиков. Каждая запись в отчете содержит следующие сведения:
Кто открывал почтовый ящик и когда.
Действия, выполненные этим пользователем.
Затронутое сообщение и его папка.
Успешно ли выполнено действие
В таблице ниже перечислены типы регистрируемых действий, а также указано, регистрируются ли они по умолчанию для доступа администраторов и делегированных пользователей. Если вы хотите отслеживать действия, не регистрируемые по умолчанию, включите их регистрацию с помощью командной консоли Exchange.
| Действие | Описание | Администраторы | Пользователи-делегаты |
|---|---|---|---|
| Обновление | Сообщение было изменено. | Да | Да |
| Копирование | Сообщение было скопировано в другую папку. | Нет | Нет |
| Перемещение | Сообщение было перемещено в другую папку. | Да | Нет |
| Перемещение в папку "Удаленные" | Сообщение было перемещено в папку "Удаленные". | Да | Нет |
| Удаление с возможностью восстановления | Сообщение было удалено из папки "Удаленные". | Да | Да |
| Удаление без возможности восстановления | Сообщение очищено из папки "Элементы с возможностью восстановления". | Да | Да |
| FolderBind | Была открыта папка почтового ящика. | Да | Нет |
| "Отправить как" | Сообщение было отправлено с помощью разрешения SendAs. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика. | Да | Да |
| Отправка от имени | Сообщение отправлено с помощью разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от лица владельца почтового ящика. Для получателя в сообщении указывается, от имени кого было отправлено сообщение и кто отправил его на самом деле. | Да | Нет |
| MessageBind | Сообщение открывалось или просматривалось в области просмотра. | Нет | Нет |