Управление аудитом почтовых ящиковManage mailbox auditing

Начиная с января 2019 г. корпорация Майкрософт по умолчанию включит журнал аудита почтовых ящиков для всех организаций.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Это означает, что некоторые действия, выполняемые владельцами почтовых ящиков, делегатами и администраторами, автоматически регистрируются, и соответствующие записи аудита почтовых ящиков будут доступны при поиске их в журнале аудита почтовых ящиков.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Прежде чем аудит почтовых ящиков был включен по умолчанию, необходимо было вручную включить его для каждого почтового ящика пользователя в организации.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Вот некоторые преимущества аудита почтовых ящиков по умолчанию:Here are some benefits of mailbox auditing on by default:

  • Аудит автоматически включен при создании нового почтового ящика.Auditing is automatically enabled when you create a new mailbox. Не нужно вручную включить его для новых пользователей.You don't need to manually enable it for new users.

  • Вам не нужно управлять действиями почтовых ящиков, которые проверяются.You don't need to manage the mailbox actions that are audited. Предопределенный набор действий почтовых ящиков аудиту по умолчанию для каждого типа логотипа (администратор, делегат и владелец).A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • Когда Корпорация Майкрософт выпускает новое действие для почтовых ящиков, действие может автоматически добавляться в список действий почтовых ящиков, которые проверяются по умолчанию (при условии, что пользователь имеет соответствующую лицензию).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Это означает, что вам не нужно отслеживать добавление новых действий в почтовых ящиках.This means you don't need to monitor add new actions on mailboxes.

  • В организации имеется последовательная политика аудита почтовых ящиков (так как для всех почтовых ящиков проводится аудит одинаковых действий).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Примечание

  • Важно помнить о выпуске аудита почтовых ящиков по умолчанию: вам не нужно ничего делать для управления аудитом почтовых ящиков.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Однако, чтобы узнать больше, настройте аудит почтовых ящиков из параметров по умолчанию или вовсе отключите его, этот раздел может помочь вам.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • По умолчанию только события аудита почтовых ящиков для пользователей E5 доступны в поиске журналов аудита в Центре & безопасности или через API управления Office 365.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Дополнительные сведения см. в разделе Дополнительные сведения в этом разделе.For more information, see the More information section in this topic.

Проверка включенного аудита почтовых ящиков по умолчаниюVerify mailbox auditing on by default is turned on

Чтобы убедиться, что аудит почтовых ящиков включен по умолчанию для организации, запустите следующую команду в Exchange Online PowerShell:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Значение False указывает, что аудит почтовых ящиков по умолчанию включен для организации.The value False indicates that mailbox auditing on by default is enabled for the organization. Это по умолчанию организационное значение переопределяет параметр аудита почтовых ящиков в определенных почтовых ящиках.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Например, если аудит почтовых ящиков отключен для почтового ящика (свойство AuditEnabled является false на почтовом ящике), действия почтового ящика по умолчанию по-прежнему будут проверяться для почтового ящика, так как аудит почтовых ящиков по умолчанию включен для организации.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Для отключения аудита почтовых ящиков для определенных почтовых ящиков необходимо настроить обход аудита почтовых ящиков для владельца почтового ящика и других пользователей, которым делегирован доступ к почтовому ящику.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Дополнительные сведения см. в разделе Ведение журнала аудита обхода почтовых ящиков в этом разделе.For more information, see the Bypass mailbox audit logging section in this topic.

Примечание

Когда аудит почтовых ящиков по умолчанию включен для организации, свойство AuditEnabled для затронутых почтовых ящиков не будет изменено с False на True.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. Другими словами, аудит почтовых ящиков по умолчанию игнорирует свойство AuditEnabled в почтовых ящиках.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Поддерживаемые типы почтовых ящиковSupported mailbox types

В следующей таблице показаны типы почтовых ящиков, которые в настоящее время поддерживаются аудитом почтовых ящиков по умолчанию:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

Тип почтового ящикаMailbox type ПоддерживаютсяSupported Не поддерживаютсяNot supported
почтовые ящики пользователей;User mailboxes Флажок
Общие почтовые ящикиShared mailboxes Флажок
Почтовые ящики Группы Microsoft 365Microsoft 365 Group mailboxes Флажок
Почтовые ящики ресурсаResource mailboxes Флажок
Почтовые ящики общедоступных папокPublic folder mailboxes Флажок

Действия типов и почтовых ящиков logonLogon types and mailbox actions

Типы logon классифицируют пользователя, который сделал проверенные действия в почтовом ящике.Logon types classify the user that did the audited actions on the mailbox. В следующем списке описываются типы логотипов, используемые в журнале аудита почтовых ящиков:The following list describes the logon types that are used in mailbox audit logging:

  • Владелец. Владелец почтового ящика (учетная запись, связанная с почтовым ящиком).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Делегирование:Delegate:

    • Пользователю, которому назначено разрешение SendAs, SendOnBehalf или FullAccess в другой почтовый ящик.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • Администратор, которому назначено разрешение FullAccess на почтовый ящик пользователя.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Администратор:Admin:

    • Поиск в почтовом ящике ведется с помощью одного из следующих средств для поиска электронной почты Майкрософт:The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Поиск контента в центре соответствия требованиям.Content Search in the Compliance center.

      • eDiscovery или Advanced eDiscovery в центре соответствия требованиям.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place в Exchange Online.In-Place eDiscovery in Exchange Online.

    • К почтовому ящику можно получить доступ с помощью редактора Microsoft Exchange Server MAPI.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Действия почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиковMailbox actions for user mailboxes and shared mailboxes

В следующей таблице описываются действия почтовых ящиков, доступные в журнале аудита почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • Галочка (A check mark ( Галочка) указывает, что действие почтового ящика может быть в журнале для типа logon (не все действия доступны для всех типов логотипов).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • Звездочка () после того, как на чековом знаке указывается, что действие почтового ящика регистрируется по умолчанию для типа * logon.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • Помните, что администратор с полным доступом к почтовому ящику считается делегатом.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

Действие почтовых ящиковMailbox action ОписаниеDescription АдминистраторAdmin ДелегатDelegate ВладелецOwner
AddFolderPermissionsAddFolderPermissions Примечание. Хотя это значение принимается в качестве действия почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Другими словами, не используйте это значение.In other words, don't use this value.
ApplyRecordApplyRecord Элемент помечен как запись.An item is labeled as a record. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
КопированиеCopy Сообщение было скопировано в другую папку.A message was copied to another folder. Флажок
СозданиеCreate Элемент был создан в папке "Календарь", "Контакты", "Заметки" или "Задачи" в почтовом ящике (например, создается новый запрос на собрание).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Создание, отправка и получение сообщений не подлежат аудиту.Creating, sending, or receiving a message isn't audited. Аудиту также не подлежит создание папки почтового ящика.Also, creating a mailbox folder is not audited. Галочка*Check mark* Галочка*Check mark* Галочка
По умолчаниюDefault Флажок Флажок Флажок
FolderBindFolderBind Была открыта папка почтового ящика. Это действие также вносится в журнал, когда администратор или делегированный пользователь открывает почтовый ящик.A mailbox folder was accessed. This action is also logged when the admin or delegate opens the mailbox.

Примечание. Записи аудита для действий привязки папок, выполняемые делегатами, консолидированы.Note: Audit records for folder bind actions performed by delegates are consolidated. Одна запись аудита создается для доступа отдельных папок в течение 24-часового периода.One audit record is generated for individual folder access within a 24-hour period.
Флажок Флажок
HardDeleteHardDelete Сообщение очищено из папки "Элементы с возможностью восстановления".A message was purged from the Recoverable Items folder. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
MailItemsAccessedMailItemsAccessed К данным почты доступны протоколы почты и клиенты.Mail data is accessed by mail protocols and clients. Это значение доступно только для пользователей подписки на надстройки E5 или E5 Compliance.This value is only available for E5 or E5 Compliance add-on subscription users. Дополнительные сведения см. в дополнительных сведениях, в том, как настроить расширенный аудит для пользователей.For more information, see Set up Advanced Audit for users. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
MailboxLoginMailboxLogin Пользователь вписался в свой почтовый ящик.The user signed into their mailbox. Флажок
MessageBindMessageBind Сообщение просматривалось в области предварительного просмотра или открывалось администратором. Примечание. Хотя это значение принимается в качестве действия почтового ящика, эти действия больше не регистрируются.A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. Флажок
ModifyFolderPermissionsModifyFolderPermissions Примечание. Хотя это значение принимается в качестве действия почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Другими словами, не используйте это значение.In other words, don't use this value.
ПеремещениеMove Сообщение было перемещено в другую папку.A message was moved to another folder. Флажок Флажок Флажок
MoveToDeletedItemsMoveToDeletedItems Сообщение было удалено и перемещено в папку "Удаленные".A message was deleted and moved to the Deleted Items folder. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
RecordDeleteRecordDelete Элемент, помеченный как запись, был удален (перенесен в папку "Элементы, которые можно восстановить").An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Элементы, помеченные как записи, не могут быть окончательно удалены (удаляются из папки "Извлекаемые элементы").Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Флажок Флажок Флажок
RemoveFolderPermissionsRemoveFolderPermissions Примечание. Хотя это значение принимается в качестве действия почтового ящика, оно уже включено в действие UpdateFolderPermissions и не проверяется отдельно.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Другими словами, не используйте это значение.In other words, don't use this value.
SendSend Пользователь отправляет сообщение электронной почты, отвечает на сообщение электронной почты или отправляет сообщение электронной почты.The user sends an email message, replies to an email message, or forwards an email message. Это значение доступно только для пользователей подписки на надстройки E5 или E5 Compliance.This value is only available for E5 or E5 Compliance add-on subscription users. Дополнительные сведения см. в дополнительных сведениях, в том, как настроить расширенный аудит для пользователей.For more information, see Set up Advanced Audit for users. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
SendAsSendAs Сообщение было отправлено с использованием разрешения SendAs. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика.A message was sent using the SendAs permission. This means another user sent the message as though it came from the mailbox owner. Галочка*Check mark* Галочка*Check mark*
SendOnBehalfSendOnBehalf Сообщение отправлено с помощью разрешения SendOnBehalf. Это означает, что другой пользователь отправил сообщение от имени владельца почтового ящика. В сообщении будет указано, от чьего имени и кем было отправлено сообщение.A message was sent using the SendOnBehalf permission. This means another user sent the message on behalf of the mailbox owner. The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Галочка*Check mark* Галочка*Check mark*
SoftDeleteSoftDelete Сообщение было удалено окончательно или из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы для восстановления".A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
ОбновлениеUpdate Сообщение или его свойства были изменены.A message or its properties was changed. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation В почтовый ящик была назначена делегация календаря.A calendar delegation was assigned to a mailbox. Делегирование календаря означает, что другой пользователь из этой же организации предоставляет разрешения на управление календарем владельца почтового ящика.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Галочка*Check mark* Галочка*Check mark*
UpdateComplianceTagUpdateComplianceTag К почтовому элементу применяется другая метка хранения (для элемента может быть назначена только одна метка хранения).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Флажок Флажок Флажок
UpdateFolderPermissionsUpdateFolderPermissions Изменены разрешения для папки.A folder permission was changed. Разрешения для папки определяют, какие пользователи в организации имеют доступ к папкам почтовых ящиков и содержащимся в них сообщениям.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
UpdateInboxRulesUpdateInboxRules Было добавлено, удалено или изменено правило "Входящие".An inbox rule was added, removed, or changed. Правила папки "Входящие" используются для обработки сообщений в папке "Входящие" пользователя в зависимости от указанных условий и действий при условии, в которых выполнены условия правила, таких как перемещение сообщения в указанную папку или удаление сообщения.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*

Важно!

Если вы настраивали действия почтовых ящиков для аудита для любого типа логотипа до включения аудита почтовых ящиков по умолчанию в организации, настраиваемые параметры сохраняются в почтовом ящике и не перезаписываются действиями почтовых ящиков по умолчанию, как описано в этом разделе.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Чтобы вернуть действия почтовых ящиков аудита к значениям по умолчанию (которые можно сделать в любое время), см. в разделе Восстановление действий почтового ящика по умолчанию в этом разделе.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Действия почтовых ящиков для почтовых ящиков Microsoft 365 GroupMailbox actions for Microsoft 365 Group mailboxes

Аудит почтовых ящиков по умолчанию обеспечивает ведение журнала аудита почтовых ящиков в почтовые ящики Группы Microsoft 365, но вы не можете настроить то, что регистрируется (нельзя добавлять или удалять действия почтовых ящиков, которые регистрируются для любого типа логотипов).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

В следующей таблице описываются действия почтовых ящиков, которые регистрируются по умолчанию в почтовых ящиках Microsoft 365 Group для каждого типа логотипа.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Помните, что администратор с разрешением на полный доступ к почтовому ящику Microsoft 365 Group считается делегатом.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

Действие почтовых ящиковMailbox action ОписаниеDescription АдминистраторAdmin ДелегатDelegate ВладелецOwner
СозданиеCreate Создание элемента календаря.Creation of a calendar Item. Создание, отправка и получение сообщений не подлежат аудиту.Creating, sending, or receiving a message isn't audited. Галочка*Check mark* Галочка*Check mark*
HardDeleteHardDelete Сообщение очищено из папки "Элементы с возможностью восстановления".A message was purged from the Recoverable Items folder. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
MoveToDeletedItemsMoveToDeletedItems Сообщение было удалено и перемещено в папку "Удаленные".A message was deleted and moved to the Deleted Items folder. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
SendAsSendAs Сообщение было отправлено с использованием разрешения SendAs.A message was sent using the SendAs permission. Галочка*Check mark* Галочка*Check mark*
SendOnBehalfSendOnBehalf Сообщение было отправлено с использованием разрешения SendOnBehalf.A message was sent using the SendOnBehalf permission. Галочка*Check mark* Галочка*Check mark*
SoftDeleteSoftDelete Сообщение было удалено окончательно или из папки "Удаленные". Обратимо удаленные элементы перемещаются в папку "Элементы для восстановления".A message was permanently deleted or deleted from the Deleted Items folder. Soft-deleted items are moved to the Recoverable Items folder. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*
ОбновлениеUpdate Сообщение или его свойства были изменены.A message or its properties was changed. Галочка*Check mark* Галочка*Check mark* Галочка*Check mark*

Убедитесь, что действия почтового ящика по умолчанию регистрируются для каждого типа логотипаVerify that default mailbox actions are being logged for each logon type

Аудит почтовых ящиков по умолчанию добавляет новое свойство DefaultAuditSet во все почтовые ящики.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. Значение этого свойства указывает, проверяются ли действия почтового ящика по умолчанию (управляемые Корпорацией Майкрософт) в почтовом ящике.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Чтобы отобразить значение на почтовых ящиках пользователей или общих почтовых ящиках, замените имя, псевдоним, адрес электронной почты или имя пользователя (имя пользователя) почтового ящика и запустите следующую команду в <MailboxIdentity> Exchange Online PowerShell:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Чтобы отобразить значение в почтовых ящиках группы Microsoft 365, замените имя, псевдоним или адрес электронной почты общего почтового ящика и запустите следующую команду в <MailboxIdentity> Exchange Online PowerShell:To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Значение Admin, Delegate, Owner указывает:The value Admin, Delegate, Owner indicates:

  • Проверяются действия почтовых ящиков по умолчанию для всех трех типов логотипов.The default mailbox actions for all three logon types are being audited. Это единственное значение, что вы увидите в почтовых ящиках Microsoft 365 Group.This is the only value you'll see on Microsoft 365 Group mailboxes.

  • Администратор не изменил действия проверенных почтовых ящиков для любого типа логотипа в почтовом ящике пользователя или общем почтовом ящике.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Обратите внимание, что это состояние по умолчанию после первоначального включенного аудита почтовых ящиков в организации.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Если администратор когда-либо изменял действия почтовых ящиков, которые проверяются для типа логотипа (с помощью параметров AuditAdmin, AuditDelegate или AuditOwner в командылете Set-Mailbox), значение свойства будет другим.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Например, значение свойства Owner DefaultAuditSet для почтового ящика пользователя или общего почтового ящика указывает:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • Действия почтового ящика по умолчанию для владельца почтового ящика проверяются.The default mailbox actions for the mailbox owner are being audited.

  • Действия проверенных почтовых ящиков для типов и логотипов были Delegate Admin изменены из действий по умолчанию.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Пустое значение для свойства DefaultAuditSet указывает, что действия почтовых ящиков для всех трех типов логотипов были изменены в почтовом ящике пользователя или общем почтовом ящике.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Дополнительные сведения см. в разделе Изменение или восстановление действий почтовых ящиков, зарегистрированных в разделе по умолчанию в этом разделе.For more information, see the Change or restore mailbox actions logged by default section in this topic

Отображение действий почтовых ящиков, которые регистрируются в почтовых ящикахDisplay the mailbox actions that are being logged on mailboxes

Чтобы увидеть действия почтовых ящиков, которые в настоящее время регистрируются в почтовых ящиках пользователей или общих почтовых ящиках, замените имя, псевдоним, адрес электронной почты или имя пользователя (имя пользователя) почтового ящика и запустите одну или несколько следующих команд в <MailboxIdentity> Exchange Online PowerShell.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Примечание

Хотя вы можете добавить переключатель к следующим командам -GroupMailbox Get-Mailbox для почтовых ящиков Microsoft 365 Group, не верьте возвращенным значениям.Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. Действия по умолчанию и статический почтовый ящик, которые проверяются для почтовых ящиков Microsoft 365 Group, описаны в разделе Действия почтовых ящиков Для почтовых ящиков Microsoft 365 Group ранее в этом разделе.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

Действия владельцаOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Делегирование действийDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Действия администратораAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Изменение или восстановление действий почтовых ящиков, зарегистрированных по умолчаниюChange or restore mailbox actions logged by default

Как объяснялось ранее, одним из ключевых преимуществ аудита почтовых ящиков по умолчанию является то, что вам не нужно управлять действиями почтовых ящиков, которые проверяются.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Корпорация Майкрософт делает это для вас, и мы автоматически добавим новые действия почтовых ящиков, которые будут проверяться по умолчанию по мере их выпуска.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Однако организации может потребоваться аудит другого набора действий почтовых ящиков для почтовых ящиков пользователей и общих почтовых ящиков.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. Процедуры в этом разделе покажут, как изменить действия почтовых ящиков, которые проверяются для каждого типа логотипа, и как вернуться к действиям по умолчанию, управляемым Корпорацией Майкрософт.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Важно!

Если вы используете следующие процедуры для настройки действий почтовых ящиков, которые регистрируются в почтовых ящиках пользователей или общих почтовых ящиках, любые новые действия почтовых ящиков по умолчанию, выпущенные Корпорацией Майкрософт, не будут автоматически проверяться на этих почтовых ящиках.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Вам потребуется вручную добавить любые новые действия почтовых ящиков в настраиваемый список действий.You'll need to manually add any new mailbox actions to your customized list of actions.

Изменение действий почтового ящика на аудитChange the mailbox actions to audit

Вы можете использовать параметры AuditAdmin, AuditDelegate или AuditOwner в группе Set-Mailbox для изменения действий почтовых ящиков, которые проверяются для почтовых ящиков пользователей и общих почтовых ящиков (аудит действий для почтовых ящиков группы Microsoft 365 не может быть настроен).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

Для указания действий почтовых ящиков можно использовать два различных метода:You can use two different methods to specify the mailbox actions:

  • Замените (переписать) существующие действия почтовых ящиков с помощью этого синтаксиса: action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Добавление или удаление действий почтовых ящиков без влияния на другие существующие значения с помощью этого синтаксиса: @{Add="action1","action2",..."actionN"} или @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

В этом примере изменяется действие почтового ящика администратора для почтового ящика с именем "Gabriela Laureano", перезаписав действия по умолчанию с помощью SoftDelete и HardDelete.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

В этом примере действие владельца MailboxLogin добавляется в laura@contoso.onmicrosoft.com.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

В этом примере удаляется действие делегирования MoveToDeletedItems для почтового ящика Обсуждения группы.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Независимо от используемого метода настройка действий проверенных почтовых ящиков на почтовых ящиках пользователей или общих почтовых ящиках приводит к следующим результатам:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • Для настраиваемого типа логотипа действия проверенных почтовых ящиков больше не управляются Корпорацией Майкрософт.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • Тип логотипа, который вы настраивали, больше не отображается в значении свойства DefaultAuditSet для почтового ящика, как описано ранее.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Восстановление действий почтового ящика по умолчаниюRestore the default mailbox actions

Если вы настраивали действия почтовых ящиков, которые проверяются в почтовом ящике пользователя или общем почтовом ящике, можно восстановить действия почтового ящика по умолчанию для одного или всех типов логотипов с помощью этого синтаксиса:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Можно указать несколько значений DefaultAuditSet, разделенных запятойYou can specify multiple DefaultAuditSet values separated by commas

Примечание. Следующие процедуры не применяются к почтовым ящикам Группы Microsoft 365 (они ограничены действиями по умолчанию, описанными здесь).Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

В этом примере восстанавливается проверка действий почтовых ящиков по умолчанию для всех типов логотипов в mark@contoso.onmicrosoft.com.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

В этом примере восстанавливается проверка действий почтового ящика по умолчанию для типа логотипа администратора в почтовом ящике chris@contoso.onmicrosoft.com, но оставляет настраиваемые действия аудита почтовых ящиков для типов логотипов Delegate и Owner.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Восстановление проверенных действий почтового ящика по умолчанию для типа logon приводит к следующим результатам:Restoring he default audited mailbox actions for a logon type has the following results:

  • Текущий список действий почтовых ящиков заменяется действиями почтового ящика по умолчанию для типа logon.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Любые новые действия почтовых ящиков, выпущенные Корпорацией Майкрософт, автоматически добавляются в список проверенных действий для типа logon.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • Значение свойства DefaultAuditSet для почтового ящика обновляется и включает восстановленный тип логотипа.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Отключение аудита почтовых ящиков по умолчанию для организацииTurn off mailbox auditing on by default for your organization

Вы можете отключить аудит почтовых ящиков по умолчанию для всей организации, заключив следующую команду в Exchange Online PowerShell:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Отключение аудита почтовых ящиков по умолчанию приводит к следующим результатам:Turning off mailbox auditing on by default has the following results:

  • Аудит почтовых ящиков отключен для организации.Mailbox auditing is disabled for your organization.

  • С того времени, как вы отключили аудит почтовых ящиков по умолчанию, никакие действия почтовых ящиков не проверяются, даже если аудит включен в почтовом ящике (свойство AuditEnabled в почтовом ящике true).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • Аудит почтовых ящиков не включен для новых почтовых ящиков, и установка свойства AuditEnabled на новом или существующем почтовом ящике в True будет проигнорирована.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Все параметры ассоциации обхода обхода почтовых ящиков (настроенные с помощью cmdlet Set-MailboxAuditBypassAssociation) игнорируются.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • Существующие записи аудита почтовых ящиков сохраняются до истечения срока действия ограничения по возрасту журнала аудита для записи.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Включить аудит почтовых ящиков по умолчаниюTurn on mailbox auditing on by default

Чтобы включить аудит почтовых ящиков для организации, запустите следующую команду в Exchange Online PowerShell:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Обход журнала аудита почтовых ящиковBypass mailbox audit logging

В настоящее время нельзя отключить аудит почтовых ящиков для определенных почтовых ящиков при включении аудита почтовых ящиков по умолчанию в организации.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Например, игнорируется настройка свойства почтового ящика AuditEnabled false.For example, setting the AuditEnabled mailbox property to False is ignored.

Однако в Exchange Online PowerShell по-прежнему можно использовать комлет Set-MailboxAuditBypassAssociation, чтобы предотвратить вход всех действий указанных пользователей в почтовый ящик независимо от того, где происходят действия. However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Пример:For example:

  • Действия владельца почтовых ящиков, выполняемые объездными пользователями, не регистрируются.Mailbox owner actions performed by the bypassed users aren't logged.

  • Действия делегирования, выполняемые объездными пользователями в почтовых ящиках других пользователей (в том числе общих почтовых ящиках), не регистрируются.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • Действия администратора, выполняемые объездными пользователями, не регистрируются.Admin actions performed by the bypassed users aren't logged.

Чтобы обойти журнал аудита почтовых ящиков для определенного пользователя, замените имя, адрес электронной почты, псевдоним или имя пользователя (имя пользователя) пользователя и запустите следующую <MailboxIdentity> команду:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Чтобы убедиться, что аудит обходится для указанного пользователя, запустите следующую команду:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Значение True указывает, что журнал аудита почтовых ящиков обходится для пользователя.The value True indicates that mailbox audit logging is bypassed for the user.

Дополнительная информацияMore information

  • Хотя журнал аудита почтовых ящиков по умолчанию включен для всех организаций, только пользователи с лицензиями E5 возвращают события журнала аудита почтовых ящиков при поиске журналов аудита в Центре соответствия требованиям & безопасности или через API управления Office 365 по умолчанию .Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Чтобы получить записи журнала аудита почтовых ящиков для пользователей без лицензий E5, вы можете:To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Вручную включить аудит почтовых ящиков на отдельных почтовых ящиках (выполнить команду, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ).Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). После этого можно использовать поиск журналов аудита в Центре & безопасности или через API управления Office 365.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Примечание

      Если аудит почтовых ящиков уже включен в почтовом ящике, но поиски не возвращают результатов, измените значение параметра AuditEnabled на и $false $true обратно.If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Используйте следующие cmdlets в Exchange Online PowerShell:Use the following cmdlets in Exchange Online PowerShell:

      • Поиск-почтовый ящикAuditLog для поиска журнала аудита почтовых ящиков для определенных пользователей.Search-MailboxAuditLog to search the mailbox audit log for specific users.

      • New-MailboxAuditLogSearch для поиска журнала аудита почтовых ящиков для определенных пользователей и отправки результатов по электронной почте указанным получателям.New-MailboxAuditLogSearch to search the mailbox audit log for specific users and to have the results sent via email to specified recipients.

    • Используйте центр администрирования Exchange (EAC) в Exchange Online для следующих действий:Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • По умолчанию записи журналов аудита почтовых ящиков сохраняются в течение 90 дней до их удаления.By default, mailbox audit log records are retained for 90 days before they're deleted. Возрастное ограничение для записей журналов аудита можно изменить с помощью параметра AuditLogAgeLimit в комлете Set-Mailbox в Exchange Online PowerShell.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Однако увеличение этого значения не позволяет искать события старше 90 дней в журнале аудита.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Если вы увеличиваете возрастное ограничение, необходимо использовать в Exchange Online PowerShell для поиска журнала аудита почтовых ящиков записей старше 90 дней с помощью cmdlet Search-MailboxAuditLog.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Если вы изменили свойство AuditLogAgeLimit для почтового ящика до аудита почтовых ящиков по умолчанию, включенного для организации, существующие ограничения по возрасту журналов аудита почтового ящика не изменились.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. Другими словами, аудит почтовых ящиков по умолчанию не влияет на текущее возрастное ограничение для записей аудита почтовых ящиков.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Чтобы изменить значение AuditLogAgeLimit на почтовом ящике Группы Microsoft 365, необходимо включить переключатель в команду -GroupMailbox Set-Mailbox.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Записи журналов аудита почтовых ящиков хранятся в подмостках (с именем Аудиты) в папке "Извлекаемые элементы" в почтовом ящике каждого пользователя.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Имейте в виду следующие данные о записях аудита почтовых ящиков и папке "Извлекаемые элементы":Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Записи аудита почтовых ящиков учитывают квоту хранилища папки "Извлекаемые элементы", которая по умолчанию составляет 30 ГБ (квота предупреждения — 20 ГБ).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). Квота хранения автоматически увеличивается до 100 ГБ (с квотой предупреждения на 90 ГБ), когда:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Удержание помещается в почтовый ящик.A hold is placed on a mailbox.

      • Почтовый ящик назначен политике хранения в Центре соответствия требованиям.The mailbox is assigned to a retention policy in the Compliance Center.

    • Записи аудита почтовых ящиков также учитываются в отношении ограничения папок для папки "Извлекаемые элементы".Mailbox audit records also count against the folder limit for the Recoverable Items folder. В подмастере Аудиты можно хранить не более 3 миллионов элементов (записи аудита).A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Примечание

      Маловероятно, что аудит почтовых ящиков по умолчанию повлияет на квоту хранения или ограничение папок для папки "Извлекаемые элементы".It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Вы можете выполнить следующую команду в Exchange Online PowerShell, чтобы отобразить размер и количество элементов в подмастере Аудиты в папке Извлекаемые элементы:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Вы не можете напрямую получить доступ к записи журнала аудита в папке "Извлекаемые элементы". вместо этого вы используете комлет Search-MailboxAuditLog или поиск журнала аудита для поиска и просмотра записей аудита почтовых ящиков.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Если почтовый ящик находится на удержании или назначен политике хранения в Центре соответствия требованиям, записи журналов аудита по-прежнему сохраняются в течение срока, определенного свойством AuditLogAgeLimit почтового ящика (90 дней по умолчанию).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Чтобы дольше сохранять записи журналов аудита для почтовых ящиков в удержании, необходимо увеличить значение auditLogAgeLimit почтового ящика.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • В среде с несколькими регионами аудит почтовых ящиков для разных географических расположений не поддерживается.In a multi-geo environment, cross-geo mailbox auditing is not supported. Например, если пользователю назначены разрешения на доступ к общему почтовому ящику в другом географическом расположении, действия с почтовым ящиком, выполняемые этим пользователем, не регистрируются в журнале аудита почтовых ящиков общего почтового ящика.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.