Hantera postlådegranskningManage mailbox auditing

Från och med januari 2019 startar Microsoft granskningsloggning för postlådor som standard för alla organisationer.Starting in January 2019, Microsoft is turning on mailbox audit logging by default for all organizations. Det innebär att vissa åtgärder som utförs av postlådeägare, ombud och administratörer loggas automatiskt, och motsvarande granskningsposter för postlådor blir tillgängliga när du söker efter dem i granskningsloggen för postlådan.This means that certain actions performed by mailbox owners, delegates, and admins are automatically logged, and the corresponding mailbox audit records will be available when you search for them in the mailbox audit log. Innan postlådegranskning var aktiverat som standard var du tvungen att manuellt aktivera den för alla användarpostlådor i organisationen.Before mailbox auditing was turned on by default, you had to manually enable it for every user mailbox in your organization.

Här är några fördelar med postlådegranskning som standard:Here are some benefits of mailbox auditing on by default:

  • Granskning aktiveras automatiskt när du skapar en ny postlåda.Auditing is automatically enabled when you create a new mailbox. Du behöver inte aktivera det manuellt för nya användare.You don't need to manually enable it for new users.

  • Du behöver inte hantera postlådeåtgärder som granskas.You don't need to manage the mailbox actions that are audited. En fördefinierad uppsättning postlådeåtgärder granskas som standard för varje inloggningstyp (administratör, ombud och ägare).A predefined set of mailbox actions are audited by default for each logon type (Admin, Delegate, and Owner).

  • När Microsoft släpper en ny postlådeåtgärd kan åtgärden läggas till automatiskt i listan över postlådeåtgärder som granskas som standard (beroende på om användaren har rätt licens).When Microsoft releases a new mailbox action, the action might be automatically added to the list of mailbox actions that are audited by default (subject to the user having the appropriate license). Det innebär att du inte behöver övervaka lägga till nya åtgärder för postlådor.This means you don't need to monitor add new actions on mailboxes.

  • Du har en konsekvent princip för postlådegranskning i hela organisationen (eftersom du granskar samma åtgärder för alla postlådor).You have a consistent mailbox auditing policy across your organization (because you're auditing the same actions for all mailboxes).

Anteckning

  • Det viktiga att komma ihåg när granskning av postlådor släpps som standard är att du inte behöver göra något för att hantera postlådegranskning.The important thing to remember about the release of mailbox auditing on by default is: you don't need to do anything to manage mailbox auditing. Om du vill veta mer, anpassa granskning av postlådor från standardinställningarna eller inaktivera den helt och hållet kan det här avsnittet hjälpa dig.However, to learn more, customize mailbox auditing from the default settings, or turn it off altogether, this topic can help you.
  • Som standard är endast granskningshändelser för postlådor för E5-användare tillgängliga i granskningsloggsökningar i Säkerhets- och &-efterlevnadscentret eller via API:t för hanteringsaktivitet Office 365 posthantering.By default, only mailbox audit events for E5 users are available in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API. Mer information finns i avsnittet Mer information i det här avsnittet.For more information, see the More information section in this topic.

Kontrollera att postlådegranskning är aktiverat som standardVerify mailbox auditing on by default is turned on

Om du vill verifiera att postlådegranskning är aktiverat som standard för organisationen kör du följande kommando i Exchange Online PowerShell:To verify that mailbox auditing on by default is turned on for your organization, run the following command in Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Värdet False anger att postlådegranskning är aktiverat som standard för organisationen.The value False indicates that mailbox auditing on by default is enabled for the organization. Inställningen för postlådegranskning åsidosätter som standard inställningen för postlådegranskning för specifika postlådor.This on by default organizational value overrides the mailbox auditing setting on specific mailboxes. Om till exempel postlådegranskning är inaktiverat för en postlåda (egenskapen AuditEnabled är False för postlådan) granskas fortfarande standardåtgärder för postlådan, eftersom postlådegranskning som standard är aktiverad för organisationen.For example, if mailbox auditing is disabled for a mailbox (the AuditEnabled property is False on the mailbox), the default mailbox actions will still be audited for the mailbox, because mailbox auditing on by default is enabled for the organization.

Om du vill att postlådegranskning ska vara inaktiverad för specifika postlådor kan du konfigurera omkoppling av postlådegranskning för postlådans ägare och andra användare som har delegerats åtkomst till postlådan.To keep mailbox auditing disabled for specific mailboxes, you configure mailbox auditing bypass for the mailbox owner and other users who have been delegated access to the mailbox. Mer information finns i avsnittet Åsidosätta granskningsloggning för postlådor i det här avsnittet.For more information, see the Bypass mailbox audit logging section in this topic.

Anteckning

När postlådegranskning är aktiverat som standard för organisationen ändras inte egenskapen AuditEnabled för berörda postlådor från Falskt till Sant.When mailbox auditing on by default is turned on for the organization, the AuditEnabled property for affected mailboxes won't be changed from False to True. Med andra ord ignorerar postlådegranskning som standard egenskapen AuditEnabled för postlådor.In other words, mailbox auditing on by default ignores the AuditEnabled property on mailboxes.

Postlådetyper som stödsSupported mailbox types

I följande tabell visas de postlådetyper som för närvarande stöds av postlådegranskning som standard:The following table shows the mailbox types that are currently supported by mailbox auditing on by default:

PostlådetypMailbox type StödsSupported Stöds inteNot supported
AnvändarpostlådorUser mailboxes Bockmarkering
Delade postlådorShared mailboxes Bockmarkering
Microsoft 365 GrupppostlådorMicrosoft 365 Group mailboxes Bockmarkering
ResurspostlådorResource mailboxes Bockmarkering
Postlådor i gemensamma mapparPublic folder mailboxes Bockmarkering

Inloggningstyper och postlådeåtgärderLogon types and mailbox actions

Inloggningstyper klassificerar användaren som gjorde de granskade åtgärderna för postlådan.Logon types classify the user that did the audited actions on the mailbox. I följande lista beskrivs de inloggningstyper som används i granskningsloggning för postlådor:The following list describes the logon types that are used in mailbox audit logging:

  • Ägare: Postlådans ägare (det konto som är kopplat till postlådan).Owner: The mailbox owner (the account that's associated with the mailbox).

  • Ombud:Delegate:

    • En användare som har tilldelats behörigheterna SendAs, SendOnBehalf eller FullAccess till en annan postlåda.A user who's been assigned the SendAs, SendOnBehalf, or FullAccess permission to another mailbox.

    • En administratör som har tilldelats behörigheten FullAccess till en användares postlåda.An admin who's been assigned the FullAccess permission to a user's mailbox.

  • Administratör:Admin:

    • Postlådan genomsöks med något av följande Microsoft eDiscovery-verktyg:The mailbox is searched with one of the following Microsoft eDiscovery tools:

      • Innehållssökning i efterlevnadscentret.Content Search in the Compliance center.

      • eDiscovery eller Advanced eDiscovery i efterlevnadscentret.eDiscovery or Advanced eDiscovery in the Compliance center.

      • In-Place eDiscovery i Exchange Online.In-Place eDiscovery in Exchange Online.

    • Postlådan nås med hjälp Microsoft Exchange Server MAPI-redigeraren.The mailbox is accessed by using the Microsoft Exchange Server MAPI Editor.

Postlådeåtgärder för användarpostlådor och delade postlådorMailbox actions for user mailboxes and shared mailboxes

I följande tabell beskrivs de postlådeåtgärder som är tillgängliga i granskningsloggningen för postlådor för användares postlådor och delade postlådor.The following table describes the mailbox actions that are available in mailbox audit logging for user mailboxes and shared mailboxes.

  • En bockmarkering (A check mark ( Bockmarkering) anger att postlådeåtgärden kan loggas för inloggningstypen (alla åtgärder är inte tillgängliga för alla inloggningstyper).) indicates the mailbox action can be logged for the logon type (not all actions are available for all logon types).

  • En asterisk ( * ) efter bockmarkeringen anger att postlådeåtgärden loggas som standard för inloggningstypen.An asterisk ( * ) after the check mark indicates the mailbox action is logged by default for the logon type.

  • Kom ihåg att en administratör med fullständig behörighet till en postlåda betraktas som ombud.Remember, an admin with Full Access permission to a mailbox is considered a delegate.

PostlådeåtgärdMailbox action BeskrivningDescription AdministratörAdmin DelegeraDelegate ÄgareOwner
AddFolderPermissionsAddFolderPermissions Obs! Även om det här värdet accepteras som en postlådeåtgärd ingår det redan i åtgärden UpdateFolderPermissions och granskas inte separat.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Använd med andra ord inte det här värdet.In other words, don't use this value.
ApplyRecordApplyRecord Ett objekt märks som en post.An item is labeled as a record. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
CopyCopy Ett meddelande kopierades till en annan mapp.A message was copied to another folder. Bockmarkering
SkapaCreate Ett objekt har skapats i mappen Kalender, Kontakter, Anteckningar eller Uppgifter i postlådan (till exempel skapas en ny mötesförfrågan).An item was created in the Calendar, Contacts, Notes, or Tasks folder in the mailbox (for example, a new meeting request is created). Åtgärden att skapa, skicka eller ta emot ett meddelande granskas inte.Creating, sending, or receiving a message isn't audited. Åtgärden att skapa en e-postmapp granskas inte heller.Also, creating a mailbox folder is not audited. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering
StandardDefault Bockmarkering Bockmarkering Bockmarkering
FolderBindFolderBind En postlådemapp kunde nås.A mailbox folder was accessed. Den här åtgärden loggas också när administratören eller ombudet öppnar postlådan.This action is also logged when the admin or delegate opens the mailbox.

Obs! Granskningsposter för åtgärder som utförts av ombud konsolideras.Note: Audit records for folder bind actions performed by delegates are consolidated. En granskningspost genereras för åtkomst till enskilda mappar inom en 24-timmarsperiod.One audit record is generated for individual folder access within a 24-hour period.
Bockmarkering Bockmarkering
HardDeleteHardDelete Ett meddelande togs bort från mappen återställningsbara objekt.A message was purged from the Recoverable Items folder. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
MailItemsAccessedMailItemsAccessed E-postdata används av e-postprotokoll och -klienter.Mail data is accessed by mail protocols and clients. Det här värdet är bara tillgängligt för prenumerationsanvändare av E5- eller E5-efterlevnadsprenumeration.This value is only available for E5 or E5 Compliance add-on subscription users. Mer information finns i Konfigurera avancerad granskning. For more information, see Set up Advanced Audit . Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
MailboxLoginMailboxLogin Användaren loggade in i postlådan.The user signed into their mailbox. Bockmarkering
MessageBindMessageBind Ett meddelande visades i förhandsgranskningsfönstret eller öppnades av en administratör. Obs! Även om det här värdet accepteras som en postlådeåtgärd loggas inte dessa åtgärder längre.A message was viewed in the preview pane or opened by an admin. Note: Although this value is accepted as a mailbox action, these actions are no longer logged. Bockmarkering
ModifyFolderPermissionsModifyFolderPermissions Obs! Även om det här värdet accepteras som en postlådeåtgärd ingår det redan i åtgärden UpdateFolderPermissions och granskas inte separat.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Använd med andra ord inte det här värdet.In other words, don't use this value.
MoveMove Ett meddelande flyttades till en annan mapp.A message was moved to another folder. Bockmarkering Bockmarkering Bockmarkering
MoveToDeletedItemsMoveToDeletedItems Ett meddelande togs bort och flyttades till mappen Borttaget.A message was deleted and moved to the Deleted Items folder. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
RecordDeleteRecordDelete Ett objekt som märks som en post togs bort mjukt (flyttades till mappen Återställningsbara objekt).An item that's labeled as a record was soft-deleted (moved to the Recoverable Items folder). Objekt som har etiketter som poster kan inte tas bort permanent (rensas från mappen för permanent borttagna objekt).Items labeled as records can't be permanently deleted (purged from the Recoverable Items folder). Bockmarkering Bockmarkering Bockmarkering
RemoveFolderPermissionsRemoveFolderPermissions Obs! Även om det här värdet accepteras som en postlådeåtgärd ingår det redan i åtgärden UpdateFolderPermissions och granskas inte separat.Note: Although this value is accepted as a mailbox action, it's already included in the UpdateFolderPermissions action and isn't audited separately. Använd med andra ord inte det här värdet.In other words, don't use this value.
SendSend Användaren skickar ett e-postmeddelande, svarar på ett e-postmeddelande eller vidarebefordrar ett e-postmeddelande.The user sends an email message, replies to an email message, or forwards an email message. Det här värdet är bara tillgängligt för prenumerationsanvändare av E5- eller E5-efterlevnadsprenumeration.This value is only available for E5 or E5 Compliance add-on subscription users. Mer information finns i Konfigurera avancerad granskning för användare.For more information, see Set up Advanced Audit for users. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
SendAsSendAs Ett meddelande skickades med behörigheten Skicka som.A message was sent using the SendAs permission. Det innebär att en annan användare skickade meddelandet som om det kom från postlådans ägare.This means another user sent the message as though it came from the mailbox owner. Bockmarkering*Check mark* Bockmarkering*Check mark*
SendOnBehalfSendOnBehalf Ett meddelande skickades med behörigheten Skicka för.A message was sent using the SendOnBehalf permission. Det innebär att en annan användare skickade meddelandet åt postlådans ägare.This means another user sent the message on behalf of the mailbox owner. Vem meddelandet skickades för och vem som faktiskt skickade meddelandet visas för mottagaren i meddelandet.The message indicates to the recipient who the message was sent on behalf of and who actually sent the message. Bockmarkering*Check mark* Bockmarkering*Check mark*
SoftDeleteSoftDelete Ett meddelande togs bort permanent eller togs bort från mappen Borttaget.A message was permanently deleted or deleted from the Deleted Items folder. Mjuka borttagna objekt flyttas till mappen för permanent borttagna objekt.Soft-deleted items are moved to the Recoverable Items folder. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
UppdateraUpdate Ett meddelande eller dess egenskaper har ändrats.A message or its properties was changed. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
UpdateCalendarDelegationUpdateCalendarDelegation En kalenderdelegering har tilldelats till en postlåda.A calendar delegation was assigned to a mailbox. Kalenderdelegering ger någon annan i samma organisation behörighet att hantera postlådeägarens kalender.Calendar delegation gives someone else in the same organization permissions to manage the mailbox owner's calendar. Bockmarkering*Check mark* Bockmarkering*Check mark*
UpdateComplianceTagUpdateComplianceTag En annan bevarandeetikett används på ett e-postobjekt (ett objekt kan bara ha en tilldelad bevarandeetikett).A different retention label is applied to a mail item (an item can only have one retention label assigned to it). Bockmarkering Bockmarkering Bockmarkering
UpdateFolderPermissionsUpdateFolderPermissions En mappbehörighet har ändrats.A folder permission was changed. Mappbehörigheten avgör vilka användare i organisationen som kan komma åt mappar i en postlåda och meddelanden som finns i dessa mappar.Folder permissions control which users in your organization can access folders in a mailbox and the messages located in those folders. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
UpdateInboxRulesUpdateInboxRules En inkorgsregel har lagts till, tagits bort eller ändrats.An inbox rule was added, removed, or changed. Inkorgsregler används för att bearbeta meddelanden i användarens inkorg baserat på angivna villkor och vidta åtgärder när villkoren i en regel uppfylls, till exempel flytta ett meddelande till en angiven mapp eller ta bort ett meddelande.Inbox rules are used to process messages in the user's Inbox based on the specified conditions and take actions when the conditions of a rule are met, such as moving a message to a specified folder or deleting a message. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*

Viktigt

Om du har anpassat postlådeåtgärderna som ska granskas för alla inloggningstyper innan postlådegranskning aktiverats som standard i organisationen bevaras de anpassade inställningarna för postlådan och skrivs inte över av standardåtgärderna för postlådor enligt beskrivningen i det här avsnittet.If you customized the mailbox actions to audit for any logon type before mailbox auditing on by default was enabled in your organization, the customized settings are preserved on the mailbox and aren't overwritten by the default mailbox actions as described in this section. Om du vill återställa åtgärderna i granskningspostlådan till sina standardvärden (som du kan göra när som helst) kan du gå till avsnittet Återställa standardpostlådeåtgärder längre fram i det här avsnittet.To revert the audit mailbox actions to their default values (which you can do at any time), see the Restore the default mailbox actions section later in this topic.

Postlådeåtgärder för Microsoft 365 postlådor i gruppenMailbox actions for Microsoft 365 Group mailboxes

Postlådegranskning är på som standard innebär granskningsloggning för postlådor i Microsoft 365-grupppostlådor, men du kan inte anpassa det som loggas (du kan inte lägga till eller ta bort postlådeåtgärder som loggas för någon inloggningstyp).Mailbox auditing on by default brings mailbox audit logging to Microsoft 365 Group mailboxes, but you can't customize what's being logged (you can't add or remove mailbox actions that are logged for any logon type).

I följande tabell beskrivs de postlådeåtgärder som loggas som standard på e Microsoft 365 postlådor för varje inloggningstyp.The following table describes the mailbox actions that are logged by default on Microsoft 365 Group mailboxes for each logon type.

Kom ihåg att en administratör med behörigheten Fullständig åtkomst till Microsoft 365 grupppostlådan betraktas som ombud.Remember, an admin with Full Access permission to a Microsoft 365 Group mailbox is considered a delegate.

PostlådeåtgärdMailbox action BeskrivningDescription AdministratörAdmin DelegeraDelegate ÄgareOwner
SkapaCreate Skapa ett kalenderobjekt.Creation of a calendar Item. Åtgärden att skapa, skicka eller ta emot ett meddelande granskas inte.Creating, sending, or receiving a message isn't audited. Bockmarkering*Check mark* Bockmarkering*Check mark*
HardDeleteHardDelete Ett meddelande togs bort från mappen återställningsbara objekt.A message was purged from the Recoverable Items folder. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
MoveToDeletedItemsMoveToDeletedItems Ett meddelande togs bort och flyttades till mappen Borttaget.A message was deleted and moved to the Deleted Items folder. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
SendAsSendAs Ett meddelande skickades med behörigheten Skicka som.A message was sent using the SendAs permission. Bockmarkering*Check mark* Bockmarkering*Check mark*
SendOnBehalfSendOnBehalf Ett meddelande skickades med behörigheten Skicka för.A message was sent using the SendOnBehalf permission. Bockmarkering*Check mark* Bockmarkering*Check mark*
SoftDeleteSoftDelete Ett meddelande togs bort permanent eller togs bort från mappen Borttaget.A message was permanently deleted or deleted from the Deleted Items folder. Mjuka borttagna objekt flyttas till mappen för permanent borttagna objekt.Soft-deleted items are moved to the Recoverable Items folder. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*
UppdateraUpdate Ett meddelande eller dess egenskaper har ändrats.A message or its properties was changed. Bockmarkering*Check mark* Bockmarkering*Check mark* Bockmarkering*Check mark*

Kontrollera att postlådeåtgärder loggas för varje inloggningstypVerify that default mailbox actions are being logged for each logon type

Postlådegranskning på som standard lägger till en ny DefaultAuditSet-egenskap för alla postlådor.Mailbox auditing on by defaults adds a new DefaultAuditSet property to all mailboxes. Värdet för den här egenskapen anger om standardpostlådeåtgärderna (hanteras av Microsoft) granskas för postlådan.The value of this property indicates whether the default mailbox actions (managed by Microsoft) are being audited on the mailbox.

Om du vill visa värdet för användarpostlådor eller delade postlådor ersätter du med namn, alias, e-postadress eller huvudnamn (användarnamn) för postlådan och kör följande kommando i <MailboxIdentity> Exchange Online PowerShell:To display the value on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Om du vill visa värdet Microsoft 365 postlådor i gruppen ersätter du med namn, alias eller e-postadress för den delade postlådan och kör följande kommando <MailboxIdentity> i Exchange Online PowerShell:To display the value on Microsoft 365 group mailboxes, replace <MailboxIdentity> with the name, alias, or email address of the shared mailbox and run the following command in Exchange Online PowerShell:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Värdet Admin, Delegate, Owner anger:The value Admin, Delegate, Owner indicates:

  • Postlådeåtgärderna för alla tre inloggningstyperna granskas.The default mailbox actions for all three logon types are being audited. Det här är det enda värdet som visas på Microsoft 365 postlådor i gruppen.This is the only value you'll see on Microsoft 365 Group mailboxes.

  • En administratör har inte ändrat de granskade postlådeåtgärderna för någon inloggningstyp för en användarpostlåda eller en delad postlåda.An admin has not changed the audited mailbox actions for any logon type on a user mailbox or a shared mailbox. Observera att det här är standardtillståndet när postlådegranskning är aktiverat som standard i organisationen.Note this is the default state after mailbox auditing on by default is initially turned on in your organization.

Om en administratör någon gång har ändrat postlådeåtgärder som granskas för en inloggningstyp (med hjälp av parametrarna AuditAdmin, AuditDelegate och AuditOwner i cmdleten Set-Mailbox) kommer egenskapsvärdet att vara annorlunda.If an admin has ever changed the mailbox actions that are audited for a logon type (by using the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet), the property value will be different.

Värdet för egenskapen Owner DefaultAuditSet för en användarpostlåda eller en delad postlåda anger till exempel:For example, the value Owner for the DefaultAuditSet property on a user mailbox or shared mailbox indicates:

  • Postlådeåtgärderna för postlådans ägare granskas.The default mailbox actions for the mailbox owner are being audited.

  • De granskade postlådeåtgärderna Delegate för Admin och inloggningstyperna har ändrats från standardåtgärderna.The audited mailbox actions for the Delegate and Admin logon types have been changed from the default actions.

Ett tomt värde för egenskapen DefaultAuditSet anger att postlådeåtgärder för alla tre inloggningstyperna har ändrats för användarpostlådan eller en delad postlåda.A blank value for the DefaultAuditSet property indicates the mailbox actions for all three logon types have been changed on the user mailbox or a shared mailbox.

Mer information finns i avsnittet Ändra eller återställa postlådeåtgärder som loggats som standard i det här avsnittetFor more information, see the Change or restore mailbox actions logged by default section in this topic

Visa postlådeåtgärder som loggas på postlådorDisplay the mailbox actions that are being logged on mailboxes

Om du vill visa de postlådeåtgärder som för närvarande är inloggade på användarpostlådor eller delade postlådor ersätter du med namnet, alias, e-postadressen eller användarens huvudnamn (användarnamn) för postlådan och kör ett eller flera av följande kommandon <MailboxIdentity> i Exchange Online PowerShell.To see the mailbox actions that are currently being logged on user mailboxes or shared mailboxes, replace <MailboxIdentity> with the name, alias, email address, or user principal name (username) of the mailbox, and run one or more of the following commands in Exchange Online PowerShell.

Anteckning

Även om du kan lägga till bytet till följande -GroupMailbox Get-Mailbox-kommandon för Microsoft 365 grupppostlådor, tro inte de värden som returneras.Although you can add the -GroupMailbox switch to the following Get-Mailbox commands for Microsoft 365 Group mailboxes, don't believe the values that are returned. De standardåtgärder och statiska postlådeåtgärder som granskas för Microsoft 365-postlådor beskrivs i avsnittet Postlådeåtgärder för e Microsoft 365 postlådor tidigare i det här avsnittet.The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this topic.

ÄgaråtgärderOwner actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Delegera åtgärderDelegate actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

AdministrationsåtgärderAdmin actions

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Ändra eller återställa postlådeåtgärder som loggats som standardChange or restore mailbox actions logged by default

Som tidigare förklarats är en av de viktigaste fördelarna med att postlådegranskning är som standard: du behöver inte hantera postlådeåtgärder som granskas.As previously explained, one of the key benefits of having mailbox auditing on by default is: you don't need to manage the mailboxes actions that are audited. Microsoft gör detta åt dig och vi lägger automatiskt till åtgärder i nya postlådor som ska granskas som standard när de släpps.Microsoft does this for you and we'll automatically add new mailbox actions to be audited by default as they're released.

Organisationen kan dock behöva granska en annan uppsättning postlådeåtgärder för användarpostlådor och delade postlådor.However, your organization might be required to audit a different set of mailbox actions for user mailboxes and shared mailboxes. Procedurerna i det här avsnittet visar hur du ändrar postlådeåtgärder som granskas för varje inloggningstyp och hur du återgår till de standardåtgärder som hanteras av Microsoft.The procedures in this section show you how to change the mailbox actions that are audited for each logon type, and how to revert back to the Microsoft-managed default actions.

Viktigt

Om du använder följande procedurer för att anpassa postlådeåtgärder som loggas på användarpostlådor eller delade postlådor, granskas inte nya standardpostlådeåtgärder som släppts av Microsoft automatiskt för dessa postlådor.If you use the following procedures to customize the mailbox actions that are logged on user mailboxes or shared mailboxes, any new default mailbox actions released by Microsoft will not be automatically audited on those mailboxes. Du måste manuellt lägga till eventuella nya postlådeåtgärder i den anpassade listan med åtgärder.You'll need to manually add any new mailbox actions to your customized list of actions.

Ändra postlådeåtgärderna till granskaChange the mailbox actions to audit

Du kan använda parametrarna AuditAdmin, AuditDelegate och AuditOwner i cmdleten Set-Mailbox till att ändra postlådeåtgärder som granskas för användarpostlådor och delade postlådor (granskade åtgärder för Microsoft 365-grupppostlådor kan inte anpassas).You can use the AuditAdmin, AuditDelegate, or AuditOwner parameters on the Set-Mailbox cmdlet to change the mailbox actions that are audited for user mailboxes and shared mailboxes (audited actions for Microsoft 365 group mailboxes can't be customized).

Du kan använda två olika metoder för att ange postlådeåtgärder:You can use two different methods to specify the mailbox actions:

  • Ersätt (skriva över) befintliga postlådeåtgärder med hjälp av följande syntax: action1,action2,...actionN .Replace (overwrite) the existing mailbox actions by using this syntax: action1,action2,...actionN.

  • Lägg till eller ta bort postlådeåtgärder utan att påverka andra befintliga värden genom att använda följande syntax: @{Add="action1","action2",..."actionN"} eller @{Remove="action1","action2",..."actionN"} .Add or remove mailbox actions without affecting other existing values by using this syntax: @{Add="action1","action2",..."actionN"} or @{Remove="action1","action2",..."actionN"}.

Det här exemplet ändrar åtgärderna för administratörspostlådan för postlådan "Gabriela Laureano" genom att skriva över standardåtgärderna med SoftDelete och HardDelete.This example changes the admin mailbox actions for the mailbox named "Gabriela Laureano" by overwriting the default actions with SoftDelete and HardDelete.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

I det här exemplet läggs åtgärden MailboxLogin till i postlådans laura@contoso.onmicrosoft.com.This example adds the MailboxLogin owner action to the mailbox laura@contoso.onmicrosoft.com.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

Det här exemplet tar bort ombudsåtgärden MoveToDeletedItems för postlådan Gruppdiskussion.This example removes the MoveToDeletedItems delegate action for the Team Discussion mailbox.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Oavsett vilken metod du använder får anpassning av åtgärder i granskade postlådor för användarpostlådor eller delade postlådor följande resultat:Regardless of the method you use, customizing the audited mailbox actions on user mailboxes or shared mailboxes has the following results:

  • För den inloggningstyp som du har anpassat hanteras inte längre de granskade postlådeåtgärderna av Microsoft.For the logon type that you customized, the audited mailbox actions are no longer managed by Microsoft.

  • Inloggningstypen du har anpassat visas inte längre i egenskapsvärdet DefaultAuditSet för postlådan enligt beskrivningen ovan.The logon type that you customized is no longer displayed in the DefaultAuditSet property value for the mailbox as previously described.

Återställa standardåtgärder i postlådanRestore the default mailbox actions

Om du har anpassat postlådeåtgärder som granskas för en användarpostlåda eller en delad postlåda kan du återställa standardåtgärderna för postlådan för en eller alla inloggningstyper med hjälp av följande syntax:If you customized the mailbox actions that are audited on a user mailbox or a shared mailbox, you can restore the default mailbox actions for one or all logon types by using this syntax:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Du kan ange flera DefaultAuditSet-värden avgränsade med kommateckenYou can specify multiple DefaultAuditSet values separated by commas

Obs! Följande procedurer gäller inte för postlådor Microsoft 365 grupper (de är begränsade till standardåtgärderna som beskrivs här).Note: The following procedures don't apply to Microsoft 365 Group mailboxes (they're limited to the default actions as described here).

Det här exemplet återställer de granskade standardpostlådeåtgärderna för alla inloggningstyper på mark@contoso.onmicrosoft.com.This example restores the default audited mailbox actions for all logon types on the mailbox mark@contoso.onmicrosoft.com.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

Det här exemplet återställer de granskade standardpostlådeåtgärderna för inloggningstypen Administratör för postlådan i chris@contoso.onmicrosoft.com, men lämnar kvar de anpassade granskade postlådeåtgärderna för inloggningstyperna Ombud och Ägare.This example restores the default audited mailbox actions for the Admin logon type on the mailbox chris@contoso.onmicrosoft.com, but leaves the customized audited mailbox actions for the Delegate and Owner logon types.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Återställning av standardgranskning av postlådeåtgärder för en inloggningstyp har följande resultat:Restoring he default audited mailbox actions for a logon type has the following results:

  • Den aktuella listan med postlådeåtgärder ersätts med standardpostlådeåtgärderna för inloggningstypen.The current list of mailbox actions is replaced with the default mailbox actions for the logon type.

  • Nya postlådeåtgärder som släpps av Microsoft läggs automatiskt till i listan över granskade åtgärder för inloggningstypen.Any new mailbox actions that are released by Microsoft are automatically added to the list of audited actions for the logon type.

  • Egenskapsvärdet DefaultAuditSet för postlådan uppdateras så att det omfattar återställd inloggningstyp.The DefaultAuditSet property value for the mailbox is updated to include the restored logon type.

Inaktivera postlådegranskning som standard för din organisationTurn off mailbox auditing on by default for your organization

Du kan inaktivera postlådegranskning som standard för hela organisationen genom att köra följande kommando i Exchange Online PowerShell:You can turn off mailbox auditing on by default for your entire organization by running the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $true

Om du inaktiverar postlådegranskning som standard får du följande resultat:Turning off mailbox auditing on by default has the following results:

  • Postlådegranskning är inaktiverat för organisationen.Mailbox auditing is disabled for your organization.

  • Från det att du inaktiverade postlådegranskning som standard granskas inga postlådeåtgärder, även om granskning har aktiverats för en postlåda (egenskapen AuditEnabled för postlådan är True).From the time you disabled mailbox auditing on by default, no mailbox actions are audited, even if auditing is enabled on a mailbox (the AuditEnabled property on the mailbox is True).

  • Postlådegranskning är inte aktiverat för nya postlådor och om du anger egenskapen AuditEnabled för en ny eller befintlig postlåda till True ignoreras den.Mailbox auditing is not enabled for new mailboxes and setting the AuditEnabled property on a new or existing mailbox to True will be ignored.

  • Alla inställningar för att kringgå postlådekopplingar (konfigurerade med hjälp av cmdleten Set-MailboxAuditBypassAssociation) ignoreras.Any mailbox audit bypass association settings (configured by using the Set-MailboxAuditBypassAssociation cmdlet) are ignored.

  • Befintliga granskningsposter för postlådor behålls tills åldersgränsen för granskningsloggen för posten går ut.Existing mailbox audit records are retained until the audit log age limit for the record expires.

Aktivera postlådegranskning som standardTurn on mailbox auditing on by default

Om du vill aktivera postlådegranskning igen för organisationen kör du följande kommando i Exchange Online PowerShell:To turn mailbox auditing back on for your organization, run the following command in Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $false

Kringgå granskningsloggning för postlådorBypass mailbox audit logging

Du kan för närvarande inte inaktivera granskning av postlådor för specifika postlådor när postlådegranskning är aktiverad som standard i din organisation.Currently, you can't disable mailbox auditing for specific mailboxes when mailbox auditing on by default is turned on in your organization. Till exempel ignoreras inställningen för postlådeegenskapen AuditEnabled till False.For example, setting the AuditEnabled mailbox property to False is ignored.

Du kan dock fortfarande använda cmdleten Set-MailboxAuditBypassAssociation i Exchange Online PowerShell för att förhindra att några och alla postlådeåtgärder från angivna användare loggas, oavsett var åtgärderna sker.However, you can still use the Set-MailboxAuditBypassAssociation cmdlet in Exchange Online PowerShell to prevent any and all mailbox actions by the specified users from being logged, regardless where the actions occur. Till exempel:For example:

  • Åtgärder som utförs av de förbikopplade användarna loggas inte.Mailbox owner actions performed by the bypassed users aren't logged.

  • Ombudsåtgärder som utförts av förbikopplingsanvändare i andra användares postlådor (inklusive delade postlådor) loggas inte.Delegate actions performed by the bypassed users on other users' mailboxes (including shared mailboxes) aren't logged.

  • Administratörsåtgärder som utförs av förbikopplade användare loggas inte.Admin actions performed by the bypassed users aren't logged.

Om du vill åsidosätta granskningsloggning för postlådor för en viss användare ersätter du med användarens namn, e-postadress, alias eller huvudnamn <MailboxIdentity> (användarnamn) och kör följande kommando:To bypass mailbox audit logging for a specific user, replace <MailboxIdentity> with the name, email address, alias, or user principal name (username) of the user and run the following command:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Kör följande kommando för att kontrollera att granskning kringgås för den angivna användaren:To verify that auditing is bypassed for the specified user, run the following command:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Värdet True anger att granskningsloggning för postlådor kringgås för användaren.The value True indicates that mailbox audit logging is bypassed for the user.

Mer informationMore information

  • Även om granskningsloggning för postlådor som standard är aktiverad för alla organisationer returnerar endast användare med E & 5-licenser granskningslogghändelser för postlådor i granskningsloggsökningar i Säkerhets- och efterlevnadscenter eller via API:t för hanteringsaktivitet i Office 365 som standard.Although mailbox audit logging on by default is enabled for all organizations, only users with E5 licenses will return mailbox audit log events in audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API by default.

    Om du vill hämta granskningsloggposter för postlådor för användare utan E5-licenser kan du:To retrieve mailbox audit log entries for users without E5 licenses, you can:

    • Aktivera postlådegranskning manuellt för enskilda postlådor (kör kommandot Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true ).Manually enable mailbox auditing on individual mailboxes (run the command, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true). När du har gjort det kan du använda granskningsloggsökningar i Säkerhets- & eller via API:t Office 365 för hanteringsaktivitet.After you do this, you can use audit log searches in the Security & Compliance Center or via the Office 365 Management Activity API.

      Anteckning

      Om postlådegranskning redan verkar vara aktiverad för postlådan, men sökningarna inte returnerar några resultat, så kan du ändra värdet för parametern AuditEnabled till och $false sedan tillbaka till $true .If mailbox auditing already appears to be enabled on the mailbox, but your searches return no results, change the value of the AuditEnabled parameter to $false and then back to $true.

    • Använd följande cmdlets i Exchange Online PowerShell:Use the following cmdlets in Exchange Online PowerShell:

    • Använd Exchange (EAC) i Exchange Online för att göra följande:Use the Exchange admin center (EAC) in Exchange Online to do the following actions:

  • Som standard behålls granskningsloggposter för postlådor i 90 dagar innan de tas bort.By default, mailbox audit log records are retained for 90 days before they're deleted. Du kan ändra åldersgränsen för granskningsloggposter med hjälp av parametern AuditLogAgeLimit i cmdleten Set-Mailbox Exchange Online PowerShell.You can change the age limit for audit log records by using the AuditLogAgeLimit parameter on the Set-Mailbox cmdlet in Exchange Online PowerShell. Men om du ökar det här värdet kan du inte söka efter händelser som är äldre än 90 dagar i granskningsloggen.However, increasing this value doesn't allow you to search for events that are older than 90 days in the audit log.

    Om du ökar åldersgränsen måste du använda cmdleten Search-MailboxAuditLog i Exchange Online PowerShell för att söka i användarens granskningslogg för postlådor efter poster som är äldre än 90 dagar.If you increase the age limit, you need to use the Search-MailboxAuditLog cmdlet in Exchange Online PowerShell to search the user's mailbox audit log for records that are older than 90 days.

  • Om du har ändrat egenskapen AuditLogAgeLimit för en postlåda innan postlådegranskning aktiveras som standard för organisationen, ändras inte postlådans befintliga åldersgräns för granskningsloggen.If you've changed the AuditLogAgeLimit property for a mailbox prior to mailbox auditing on by default being turned on for organization, the mailbox's existing audit log age limit isn't changed. Med andra ord påverkar postlådegranskning som standard inte den aktuella åldersgränsen för postlådegranskningsposter.In other words, mailbox auditing on by default doesn't affect the current age limit for mailbox audit records.

  • Om du vill ändra värdet i AuditLogAgeLimit Microsoft 365 en grupppostlåda måste du ta med växeln -GroupMailbox i kommandot Set-Mailbox.To change the AuditLogAgeLimit value on a Microsoft 365 Group mailbox, you need to include the -GroupMailbox switch in the Set-Mailbox command.

  • Granskningsloggposter för postlådor lagras i en undermapp (med namnet Granskningar) i mappen Återställningsbara objekt i varje användares postlåda.Mailbox audit log records are stored in a subfolder (named Audits) in the Recoverable Items folder in each user's mailbox. Tänk på följande om granskningsposter för postlådor och mappen Återställningsbara objekt:Keep the following things in mind about mailbox audit records and the Recoverable Items folder:

    • Granskningsposter för postlådor räknas in i lagringskvoten för mappen återställningsbara objekt, som är 30 GB som standard (varningskvoten är 20 GB).Mailbox audit records count against the storage quota of the Recoverable Items folder, which is 30 GB by default (the warning quota is 20 GB). Lagringskvoten ökas automatiskt till 100 GB (med en varningskvot på 90 GB) när:The storage quota is automatically increased to 100 GB (with a 90 GB warning quota) when:

      • Ett is hold is placed on a mailbox.A hold is placed on a mailbox.

      • Postlådan har tilldelats en bevarandeprincip i efterlevnadscentret.The mailbox is assigned to a retention policy in the Compliance Center.

    • Granskningsposter för postlådor räknas också mot mappgränsen för mappen Återställningsbara objekt.Mailbox audit records also count against the folder limit for the Recoverable Items folder. Högst 3 miljoner objekt (granskningsposter) kan lagras i undermappen Granskningar.A maximum of 3 million items (audit records) can be stored in the Audits subfolder.

      Anteckning

      Det är inte troligt att postlådegranskning som standard påverkar lagringskvoten eller mappgränsen för mappen återställningsbara objekt.It's unlikely that mailbox auditing on by default will impact the storage quota or the folder limit for the Recoverable Items folder.

      • Du kan köra följande kommando i Exchange Online PowerShell för att visa storlek och antal objekt i undermappen Granskningar i mappen Återställningsbara objekt:You can run the following command in Exchange Online PowerShell to display the size and number of items in the Audits subfolder in the Recoverable Items folder:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Du kan inte direkt komma åt en granskningsloggpost i mappen Återställningsbara objekt. I stället använder du cmdleten Search-MailboxAuditLog eller söker i granskningsloggen för att hitta och visa granskningsposter för postlådor.You can't directly access an audit log record in the Recoverable Items folder; instead, you use the Search-MailboxAuditLog cmdlet or search the audit log to find and view mailbox audit records.

  • Om en postlåda sätts på bevarande eller tilldelas till en bevarandeprincip i efterlevnadscentret behålls granskningsloggposter fortfarande under den tid som anges av postlådans AuditLogAgeLimit-egenskap (90 dagar som standard).If a mailbox is placed on hold or assigned to a retention policy in the Compliance Center, audit log records are still retained for the duration that's defined by the mailbox's AuditLogAgeLimit property (90 days by default). Om du vill behålla granskningsloggposter längre för postlådor som är på plats måste du öka postlådans AuditLogAgeLimit-värde.To retain audit log records longer for mailboxes on hold, you need to increase mailbox's AuditLogAgeLimit value.

  • I en multigeomiljö stöds inte granskning av flera geopostlådor.In a multi-geo environment, cross-geo mailbox auditing is not supported. Om en användare till exempel har tilldelats behörigheter för att komma åt en delad postlåda på en annan geo plats loggas inte postlådeåtgärder som utförs av den användaren i granskningsloggen för postlådan för den delade postlådan.For example, if a user is assigned permissions to access a shared mailbox in a different geo location, mailbox actions performed by that user are not logged in the mailbox audit log of the shared mailbox.