執行非擁有者信箱存取報告
Exchange 系統管理中心的 [非擁有者信箱存取報告 ] (EAC) 列出擁有信箱的人以外的人所存取的信箱。 當非擁有者存取信箱時,Exchange 會記錄此動作的相關信息。 Exchange 將此信箱稽核記錄儲存為已稽核信箱的隱藏資料夾中的電子郵件訊息。 報表會將此記錄中的項目顯示為搜尋結果,並包含非擁有者存取的任何信箱、存取每個信箱的人員、何時、非擁有者所執行的動作,以及動作是否成功。
Exchange 會記錄非擁有者的特定動作,其中包括系統管理員和被指派許可權給信箱 (被呼叫委 派使用者) 的使用者 。 您也可以將搜尋範圍縮小為組織內部或外部的使用者。 根據預設,Exchange 會將信箱稽核記錄中的專案保留 90 天。
您可以在 Exchange 管理命令介面中啟用信箱稽核記錄。
開始之前有哪些須知?
預估完成時間:5 分鐘。
若要開啟 EAC,請參閱 Exchange Server 中的 Exchange 系統管理中心。 若要開啟 Exchange 管理命令介面,請參閱 開啟 Exchange 管理命令介面。
您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要哪些許可權,請參閱 Exchange Server 文章中傳訊原則和合規性許可權中的「信箱稽核記錄」專案。
如需本文中適用於程序的鍵盤快捷方式相關信息,請參閱 Exchange 系統管理中心的鍵盤快捷方式。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange Server、Exchange Online 或 Exchange Online Protection。
步驟 1:使用 Exchange 管理命令介面來啟用信箱稽核記錄
您必須為想要包含在非擁有者信箱存取報告中的每個信箱啟用信箱稽核記錄。 如果您未啟用信箱稽核記錄,則在執行報表時不會取得任何結果。
若要啟用單一信箱的信箱稽核記錄,請在 Exchange 管理命令介面中執行下列命令:
Set-Mailbox <Identity> -AuditEnabled $true
例如,若要啟用名稱為 Flipo 之使用者的信箱稽核,請執行下列命令。
Set-Mailbox "Florence Flipo" -AuditEnabled $true
若要為組織中的所有使用者信箱啟用信箱稽核,請執行下列命令:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
如何知道這是否正常運作?
執行下列命令,確認您已成功設定信箱稽核記錄。
Get-Mailbox | Format-List Name,AuditEnabled
AuditEnabled 屬性的 True 值會驗證已啟用稽核記錄。
步驟 2:使用 EAC 執行非擁有者信箱存取報告
在 EAC 中,流覽至 [ 合規性管理>稽核]。
選 取 [執行非擁有者信箱存取報告]。
根據預設,Exchange 會執行報告,以取得過去兩周內組織中任何信箱的非擁有者存取權。 已針對搜尋結果中列出的信箱啟用稽核記錄。
若要檢視特定信箱的非擁有者存取權,請從信箱清單中選取信箱。 在詳細數據窗格中檢視搜尋結果。
附註:
想要縮小搜尋結果嗎? 選取開始日期、結束日期或兩者,然後選取要搜尋的特定信箱。 選 取 [搜尋 ] 以重新執行報表。
您也可以指定要搜尋非擁有者存取類型,也稱為登入類型。 您的選項如下:
所有非擁有者:搜尋組織內系統管理員和委派使用者的存取權。 也包括組織外部的存取使用者。
外部使用者:搜尋組織外部使用者的存取權。
系統管理員和委派的使用者:搜尋組織內系統管理員和委派使用者的存取權。
系統管理員:搜尋組織中系統管理員的存取權。
如何知道這是否正常運作?
若要確認您已成功執行非擁有者信箱存取報告,請檢查搜尋結果窗格。 結果窗格會顯示您執行報表的信箱,不論是個別使用者或信箱群組。 如果特定信箱沒有任何結果,則可能沒有非擁有者存取權,或指定的日期範圍中沒有非擁有者存取權。 如先前建議,請務必確認您已針對想要搜尋非擁有者存取權的信箱啟用稽核記錄。
哪些項目會記錄在信箱稽核記錄中?
當您執行非擁有者信箱存取報告時,EAC 搜尋結果會顯示信箱稽核記錄中的專案。 每個報表專案都包含此資訊:
存取信箱的人員和存取時機。
非擁有者所執行的動作。
受影響的訊息及其資料夾位置。
動作是否成功
下表描述記錄的動作類型,以及系統管理員是否預設會記錄這些動作以供系統管理員存取,以及委派的使用者是否存取這些動作。 如果您想要追蹤預設未記錄的動作,您必須使用 Exchange 管理命令介面來啟用這些動作的記錄。
| 動作 | 描述 | 系統管理員 | 委派的使用者 |
|---|---|---|---|
| 更新 | 訊息已變更。 | 是 | 是 |
| Copy | 郵件已複製到另一個資料夾。 | 否 | 否 |
| Move | 郵件已移到另一個資料夾。 | 是 | 否 |
| 移至已刪除的專案 | 郵件已移至 [已刪除的郵件] 資料夾。 | 是 | 否 |
| 虛刪除 | 已從 [刪除的郵件] 資料夾中刪除訊息。 | 是 | 是 |
| 硬式刪除 | 已從 [可復原的專案] 資料夾清除訊息。 | 是 | 是 |
| FolderBind | 已存取信箱資料夾。 | 是 | 否 |
| 傳送為 | 已使用 SendAs 許可權傳送訊息。 這表示另一位使用者傳送郵件,就如同來自信箱擁有者一樣。 | 是 | 是 |
| 代表傳送 | 使用 SendOnBehalf 許可權傳送訊息。 這表示另一位使用者代表信箱擁有者傳送郵件。 此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。 | 是 | 否 |
| MessageBind | 已在預覽窗格中檢視或開啟訊息。 | 否 | 否 |