在 Exchange Online 中搜尋角色群組變更或系統管理員稽核記錄

注意事項

傳統 Exchange 系統管理中心正在全球部署中淘汰。 建議您在Microsoft Purview 合規性入口網站中搜尋稽核記錄。 如需詳細資訊,請參閱在 WW 服務中淘汰傳統 Exchange 系統管理中心在合規性入口網站中搜尋稽核記錄

在Exchange Online組織或獨立Exchange Online Protection (EOP) 沒有Exchange Online信箱的組織中,您可以使用下列選項來搜尋系統管理員稽核記錄,以探索對組織和收件者設定進行變更的人員:

  • 在 Exchange 系統管理中心 (EAC) 中執行系統管理員角色群組報告。
  • 使用 PowerShell 來搜尋系統管理員稽核記錄專案,並將結果傳送給收件者。

當您嘗試追蹤非預期行為的原因、識別惡意系統管理員,或確認符合合規性需求時,這些選項會很有説明。 本文將說明這兩個選項。

提示

您也可以使用 EAC 來檢視系統管理員稽核記錄中的專案。 如需詳細資訊, 請參閱檢視系統管理員稽核記錄

開始之前有哪些須知?

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇:Exchange OnlineExchange Online Protection

使用 EAC 執行系統管理員角色群組報告

使用系統管理員角色群組報告來查看已對管理角色進行的成員資格變更。

  1. 在 EAC 中,移至 [合規性管理>稽核],然後選擇 [執行系統管理員角色群組報告]

  2. 在開啟 的 [搜尋系統管理員角色群組的變更 ] 頁面中,設定下列設定:

    • 開始日期結束日期:輸入日期範圍。 依預設,報告會搜尋過去兩週以來對系統管理員角色群組所做的變更。

    • 選取角色群組:預設會搜尋所有角色群組。 若要依特定角色群組篩選結果,請按一下 [選取角色群組]。 在出現的對話方塊中,選取角色群組,然後按一下[新增] - >。 視需要重複此步驟多次,然後在完成時按一下 [ 確定 ]。

  3. 完成後,按一下 [搜尋]

如果使用指定的準則找到任何變更,它們會出現在結果窗格中。 按一下搜尋結果中的角色群組,即可在詳細資料窗格中查看變更。

監視角色群組成員資格的變更

在角色群組中新增或移除成員時,搜尋結果會顯示在詳細資料窗格中,指出角色群組成員資格已經更新,並列出目前的成員。 結果不會明確表示已新增或移除哪一位使用者。

若要判斷是否已新增或移除某位使用者,您必須比較報告中的兩個個別項目。 例如,以下是 HelpDesk 角色群組的記錄項目:

2021 年 1 月 27 日下午 4:43
系統管理員
Updated members:Administrator;annb,florencef;pilarp
2018/2/06 上午 10:09
系統管理員
Updated members:Administrator;annb;florencef;pilarp;tonip
2021/2/19 下午 2:12
系統管理員
Updated members:Administrator;annb;florencef;tonip

在此範例中,系統管理員使用者帳戶做了以下變更:

  • 在 2021 年 2 月 6 日,他們新增了使用者動畫。
  • 在 2021 年 2 月 19 日,他們移除了使用者的堆迭。

使用 EAC 匯出系統管理員稽核記錄

注意事項

在獨立 EOP 中,您無法從 EAC 匯出系統管理員稽核記錄。 但是,您可以 使用 PowerShell 來搜尋稽核記錄專案,並將結果傳送給收件者

如果您要使用先前稱為 Outlook Web App) 的Outlook 網頁版 (來檢視匯出的專案,您必須在 Outlook 網頁版 中啟用.xml附件。 如需詳細資訊,請參閱設定Outlook 網頁版以允許 XML 附件

匯出系統管理員稽核記錄會將資訊寫入 XML 檔案,並以電子郵件訊息中的附件傳送給您。 XML 檔案的大小上限為 10 MB。

  1. 在 EAC 中,選取 [合規性管理>稽核],然後按一下 [匯出系統管理員稽核記錄]
  2. Select a date range using the Start date and End date fields.
  3. In the Send the auditing report to field, click Select users and then select the recipient you want to send the report to.
  4. Click Export.

如果使用您指定的準則找到任何記錄項目,將會建立 XML 檔案,並以電子郵件附件形式傳送給您指定的收件者。

使用 PowerShell 搜尋稽核記錄專案

您可以使用 Exchange Online 或獨立Exchange Online Protection PowerShell 來搜尋符合您指定準則的稽核記錄專案。 如需搜尋準則的清單,請 參閱 Search-AdminAuditLog Cmdlet。 此程式會使用 Search-AdminAuditLog Cmdlet,並在 PowerShell 中顯示搜尋結果。 當您需要傳回超過 New-AdminAuditLogSearch Cmdlet 或 EAC 稽核報告中所定義限制的一組結果時,可以使用此 Cmdlet。

若要搜尋指定準則的稽核記錄,請使用下列語法。

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

注意事項

根據預設, Search-AdminAuditLog 指令程式最多會傳回 1,000 個記錄項目。 使用 ResultSize 參數最多可指定 250,000 個記錄專案。 或者,使用 值 Unlimited 傳回所有專案。

此範例使用下列準則,執行所有稽核記錄項目的搜尋:

  • 開始日期:08/04/2020
  • 結束日期:2020/10/03
  • 使用者識別碼davidschrisdkima
  • CmdletSet-Mailbox
  • 參數ProhibitSendQuotaProhibitSendReceiveQuotaIssueWarningQuotaMaxSendSizeMaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima

此範例搜尋特定信箱的變更。 如果您在進行疑難排解或需要提供調查的資訊,這會很有用。 使用下列準則:

  • 開始日期:2020/05/01
  • 結束日期:2020/10/03
  • 物件標識符:contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2020 -EndDate 10/03/2020 -ObjectID contoso.com/Users/DavidS

如果您的搜尋傳回許多記錄專案,建議您使用 使用 PowerShell 來搜尋稽核記錄專案中提供的程式,並將結果傳送給本文稍後的收件者 。 該章節中的程序會以電子郵件附件形式將 XML 檔案傳送給您指定的收件者,讓您更輕鬆擷取感興趣的資料。

如需詳細的語法及參數資訊,請參閱 Search-AdminAuditLog

檢視稽核記錄項目的詳細資料

Search-AdminAuditLog Cmdlet 會傳回稽核記錄內容中所述的欄位。 在此指令程式傳回的欄位中, CmdletParametersModifiedProperties 兩個欄位包含依預設無法檢視的其他資訊。

若要檢視 CmdletParametersModifiedProperties 欄位的內容,請使用下列步驟。 或者,您可以使用 使用 PowerShell 來搜尋稽核記錄專案中的程式,並將結果傳送給本文稍後的收件者 ,以建立 XML 檔案。

此程序採用下列概念:

  1. 決定您要搜尋的準則、執行 Search-AdminAuditLog 指令程式,然後使用下列命令將結果儲存在變數中。

    $Results = Search-AdminAuditLog <search criteria>
    
  2. 每個稽核記錄專案都會儲存為變數 中的陣列 $Results 專案。 您可以指定陣列項目索引來選取陣列元素。 陣列元素索引從零 (0) 開始,表示第一個陣列元素。 例如,若要擷取第 5 個陣列元素,其索引為 4,請使用下列命令。

    $Results[4]
    
  3. 上一個命令會傳回儲存在陣列元素 4 中的記錄項目。 若要查看此記錄項目的 CmdletParametersModifiedProperties 欄位的內容,請使用下列命令。

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. 若要檢視另一個記錄項目的 CmdletParametersModifiedParameters 欄位,請變更陣列元素索引。

使用 PowerShell 搜尋稽核記錄專案,並將結果傳送給收件者

注意事項

New-AdminAuditLogSearch 指令程式產生的報告以 10 MB 為大小上限。 如果您的搜尋傳回大於 10 MB 的報表,請變更您指定的搜尋準則。 例如,減少日期範圍並執行多個報表以涵蓋原始日期範圍。

如果您要使用先前稱為 Outlook Web App) 的Outlook 網頁版 (來檢視匯出的專案,您必須在 Outlook 網頁版 中啟用.xml附件。 如需詳細資訊,請參閱設定Outlook 網頁版以允許 XML 附件

您可以使用 Exchange Online PowerShell 或獨立Exchange Online Protection PowerShell 來搜尋符合您指定準則的稽核記錄專案,然後將這些結果傳送給您指定為 XML 檔案附件的收件者。 結果會在 15 分鐘內傳送給收件者。 如需搜尋準則的清單,請 參閱 Search-AdminAuditLog Cmdlet 準則

若要搜尋指定準則的稽核記錄,請使用下列語法。

New-AdminAuditLogSearch -Cmdlets <cmdlet1, cmdlet2, ...> -Parameters <parameter1, parameter2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$true | $false > -StatusMailRecipients <recipient1, recipient2, ...> -Name <string to include in subject>

此範例使用下列準則,執行所有稽核記錄項目的搜尋:

  • 開始日期:08/04/2020
  • 結束日期:2020/10/03
  • 使用者識別碼 davids、chrisd、kima
  • CmdletSet-Mailbox
  • 參數ProhibitSendQuotaProhibitSendReceiveQuotaIssueWarningQuotaMaxSendSizeMaxReceiveSize

命令會將結果傳送至 SMTP 位址, davids@contoso.com 並在郵件的主旨行中包含「信箱限制變更」。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2020 -EndDate 10/03/2020 -UserIds davids,chrisd,kima -StatusMailRecipients davids@contoso.com -Name "Mailbox limit changes"

如需 XML 檔案格式的詳細資訊,請參閱 管理稽核記錄結構

如需詳細的語法及參數資訊,請參閱 New-AdminAuditLogSearch