管理信箱稽核

注意

Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告

從 2019 年 1 月開始,Microsoft 預設會針對所有組織開啟信箱稽核記錄。 這表示會自動記錄信箱擁有者、代理人和系統管理員所執行的某些動作,而且當您在信箱稽核記錄中搜尋這些記錄時,將會提供對應的信箱稽核記錄。 在預設開啟信箱稽核之前,您必須為組織中的每個使用者信箱手動啟用它。

以下是信箱稽核預設的一些優點:

  • 當您建立新的信箱時,系統會自動啟用稽核。 您不需要為新使用者手動啟用它。
  • 您不需要管理已稽核的信箱動作。 系統預設會針對系統管理員、委派和擁有者) (每個登入類型稽核一組預先定義的信箱動作。
  • 當 Microsoft 發行新的信箱動作時,動作可能會自動新增至預設稽核的信箱動作清單, (受限於具有適當授權) 的使用者。 這表示您不需要監視信箱上的新增動作。
  • 您在整個組織 (都有一致的信箱稽核原則,因為您要針對所有信箱) 稽核相同的動作。

注意

  • 根據預設,信箱稽核發行時要記住的重要事項是:您不需要執行任何動作來管理信箱稽核。 不過,若要深入瞭解,請從預設設定自訂信箱稽核,或完全關閉,本文可協助您。
  • 根據預設,只有 E5 使用者的信箱稽核事件可在 Microsoft Purview 合規性入口網站或透過 Office 365 管理活動 API 的稽核記錄搜尋中使用。 For more information, see the More information section in this article.

確認信箱稽核預設為開啟

若要確認您的組織預設已開啟信箱稽核,請在Exchange Online PowerShell中執行下列命令:

Get-OrganizationConfig | Format-List AuditDisabled

False 值 表示預設會為組織啟用信箱稽核。 根據預設,此開啟的組織值會覆寫特定信箱上的信箱稽核設定。 例如,如果信箱的信箱稽核已停用, (信箱) 上的 AuditEnabled 屬性為 False ,則仍會稽核信箱的預設信箱動作,因為預設會為組織啟用信箱稽核。

若要讓特定信箱的信箱稽核保持停用,您可以為信箱擁有者和其他已委派信箱存取權的使用者設定信箱稽核略過。 如需詳細資訊,請參閱本文稍後的 略過信箱稽核記錄 一節。

注意

當組織的信箱稽核預設開啟時,受影響信箱的 AuditEnabled 屬性將不會從 False 變更為 True。 換句話說,信箱稽核預設會忽略信箱上的 AuditEnabled 屬性。

支援的信箱類型

下表顯示信箱稽核目前預設支援的信箱類型:

信箱類型 支援
使用者信箱 核取記號。
共用信箱 核取記號。
Microsoft 365群組信箱 核取記號。
資源信箱
公用資料夾信箱

登入類型和信箱動作

登入類型會分類在信箱上執行稽核動作的使用者。 下列清單描述信箱稽核記錄中使用的登入類型:

  • 擁有者:信箱擁有者 (與信箱) 相關聯的帳戶。
  • 委派
    • 已將 SendAs、SendOnBehalf 或 FullAccess 許可權指派給另一個信箱的使用者。
    • 已將 FullAccess 許可權指派給使用者信箱的系統管理員。
  • 系統管理員
    • 系統會使用下列其中一個 Microsoft 電子檔探索工具來搜尋信箱:
      • 合規性中心的內容搜尋。
      • 合規性中心的電子檔探索或電子檔探索 (進階版) 。
      • 在 Exchange Online 中In-Place電子檔探索。
    • 信箱是使用 Microsoft Exchange Server MAPI 編輯器來存取。

使用者信箱和共用信箱的信箱動作

下表描述使用者信箱和共用信箱的信箱稽核記錄中可用的信箱動作。

  • 核取記號 (核取記號。) 表示可以針對登入類型記錄信箱動作 (並非所有登入類型) 都可使用所有動作。
  • 在核取記號之後 ( * ) 的星號表示預設會記錄登入類型的信箱動作。
  • 請記住,具有信箱完整存取權限的系統管理員會被視為委派。
信箱動作 描述 系統管理員 委託 擁有者
AddFolderPermissions 雖然此值會被接受為信箱動作,但它已包含在 UpdateFolderPermissions 動作中,而且不會個別稽核。 換句話說,請勿使用此值。
ApplyRecord 專案會標示為記錄。 核取記號。* 核取記號。* 核取記號。*
Copy 郵件已複製到另一個資料夾。 核取記號。
Create 在信箱的 [行事曆]、[連絡人]、[草稿]、[附注] 或 [工作] 資料夾中建立專案 (例如,會在) 建立新的會議邀請。 建立、傳送或接收郵件的動作並不會受到稽核。 此外,建立信箱資料夾的動作也不會受到稽核。 核取記號。* 核取記號。* 核取記號。
FolderBind 已存取信箱資料夾。 系統管理員或委派開啟信箱時也會記錄此動作。

注意:會合並委派所執行之資料夾系結動作的稽核記錄。 系統會在 24 小時內為個別資料夾存取產生一筆稽核記錄。
核取記號。 核取記號。
HardDelete 已從 [可復原的專案] 資料夾清除訊息。 核取記號。* 核取記號。* 核取記號。*
MailboxLogin 使用者登入其信箱。 核取記號
MailItemsAccessed 注意:此值僅適用于具有 E5/A5/G5 授權的使用者。 如需詳細資訊,請參閱設定 Microsoft Purview Audit (進階版)

郵件資料是由郵件通訊協定和用戶端存取。
核取記號。* 核取記號。* 核取記號*
MessageBind 注意:此值僅適用于 沒有 E5/A5/G5 授權的使用者。

系統管理員已在預覽窗格中檢視或開啟訊息。
核取記號
ModifyFolderPermissions 雖然此值會被接受為信箱動作,但它已包含在 UpdateFolderPermissions 動作中,而且不會個別稽核。 換句話說,請勿使用此值。
Move 郵件已移到另一個資料夾。 核取記號。 核取記號 核取記號
MoveToDeletedItems 郵件已遭刪除並移至 [刪除的郵件] 資料夾。 核取記號。* 核取記號。* 核取記號*
RecordDelete 標示為記錄的專案已虛刪除, (移至 [可復原的專案] 資料夾) 。 標示為記錄的專案無法永久刪除, (從 [可復原的專案] 資料夾中清除) 。 核取記號。 核取記號 核取記號
RemoveFolderPermissions 雖然此值會被接受為信箱動作,但它已包含在 UpdateFolderPermissions 動作中,而且不會個別稽核。 換句話說,請勿使用此值。
SearchQueryInitiated 注意:此值僅適用于具有 E5/A5/G5 授權的使用者。 如需詳細資訊,請參閱設定 Microsoft Purview Audit (進階版)

使用者使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 網頁版) 或郵件應用程式,Windows 10在信箱中搜尋專案。
核取記號
Send 注意:此值僅適用于具有 E5/A5/G5 授權的使用者。 如需詳細資訊,請參閱設定 Microsoft Purview Audit (進階版)

使用者傳送電子郵件訊息、回復電子郵件訊息,或轉寄電子郵件訊息。
核取記號。* 核取記號*
SendAs 已使用 [傳送為] 權限傳送郵件。 這表示另一位使用者傳送郵件,就如同來自信箱擁有者一樣。 核取記號。* 核取記號*
SendOnBehalf 已使用 [代理傳送者] 權限傳送郵件。 這表示另一位使用者代表信箱擁有者傳送郵件。 此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。 核取記號。* 核取記號*
SoftDelete 郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。 虛刪除的專案會移至 [可復原的專案] 資料夾。 核取記號。* 核取記號。* 核取記號*
更新 訊息或其任何屬性已變更。 核取記號。* 核取記號。* 核取記號*
UpdateCalendarDelegation 已將行事曆委派指派給信箱。 行事曆代理可讓其他有相同組織權限的人來管理信箱擁有者的行事曆。 核取記號。* 核取記號*
UpdateComplianceTag 不同的保留標籤會套用至訊息項目, (專案只能在) 指派一個保留標籤。 核取記號。 核取記號 核取記號
UpdateFolderPermissions 資料夾權限已變更。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 核取記號。* 核取記號。* 核取記號*
UpdateInboxRules 已新增、移除或變更收件匣規則。 收件匣規則可用來根據指定的條件處理使用者收件匣中的訊息,並在符合規則的條件時採取動作,例如將訊息移至指定的資料夾或刪除郵件。 核取記號。* 核取記號* 核取記號*

重要

如果您在組織中啟用信箱稽核 之前 ,已自訂信箱動作來稽核任何登入類型,則自訂的設定會保留在信箱上,而且不會被本節所述的預設信箱動作覆寫。 若要將稽核信箱動作還原為其預設值 (您可以隨時) 執行,請參閱本文稍後 的還原預設信箱動作 一節。

Microsoft 365群組信箱的信箱動作

信箱稽核預設會將信箱稽核記錄帶入Microsoft 365群組信箱,但您無法自訂記錄的內容 (您無法新增或移除針對任何登入類型) 所記錄的信箱動作。

下表描述每個登入類型的Microsoft 365群組信箱上預設記錄的信箱動作。

請記住,具有Microsoft 365群組信箱完整存取權的系統管理員會被視為委派。

信箱動作 描述 系統管理員 委託 擁有者
Create 建立行事曆專案。 建立、傳送或接收郵件的動作並不會受到稽核。 核取記號* 核取記號*
HardDelete 已從 [可復原的專案] 資料夾清除訊息。 核取記號。* 核取記號* 核取記號*
MoveToDeletedItems 郵件已遭刪除並移至 [刪除的郵件] 資料夾。 核取記號。* 核取記號* 核取記號*
SendAs 已使用 [傳送為] 權限傳送郵件。 核取記號* 核取記號*
SendOnBehalf 已使用 [代理傳送者] 權限傳送郵件。 核取記號* 核取記號*
SoftDelete 郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。 虛刪除的專案會移至 [可復原的專案] 資料夾。 核取記號。* 核取記號* 核取記號*
更新 訊息或其任何屬性已變更。 核取記號。* 核取記號* 核取記號*

確認每個登入類型都已記錄預設信箱動作

信箱稽核預設會將新的 DefaultAuditSet 屬性新增至所有信箱。 這個屬性的值會指出信箱上是否要稽核由 Microsoft) 管理的預設信箱動作 (。

若要在使用者信箱或共用信箱上顯示值,請將 取代 <MailboxIdentity> 為信箱的名稱、別名、電子郵件地址或使用者主體名稱, (信箱的使用者名稱) ,然後在 Exchange Online PowerShell 中執行下列命令:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

若要在Microsoft 365群組信箱上顯示值,請將 取代 <MailboxIdentity> 為共用信箱的名稱、別名或電子郵件地址,然後在 Exchange Online PowerShell 中執行下列命令:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner 表示:

  • 系統會稽核這三種登入類型的預設信箱動作。 這是您在群組信箱Microsoft 365看到的唯一值。
  • 系統管理員 尚未 變更使用者信箱或共用信箱上任何登入類型的稽核信箱動作。 請注意,這是組織中一開始開啟信箱稽核預設開啟之後的預設狀態。

如果系統管理員曾使用 Set-Mailbox Cmdlet 上的 AuditAdminAuditDelegateAuditOwner 參數,變更針對登入類型稽核的信箱動作 () ,則屬性值會不同。

例如,使用者信箱或共用信箱上 DefaultAuditSet 屬性的值 Owner 表示:

  • 系統會稽核信箱擁有者的預設信箱動作。
  • 和 登入類型的稽核信箱動作 Delegate Admin 已從預設動作變更。

DefaultAuditSet 屬性的空白值表示這三種登入類型的信箱動作已在使用者信箱或共用信箱上變更。

如需詳細資訊,請參閱本文中的 變更或還原預設記錄的信箱動作 一節

顯示信箱上正在記錄的信箱動作

若要查看目前登入使用者信箱或共用信箱的信箱動作,請將 取代 <MailboxIdentity> 為名稱、別名、電子郵件地址或使用者主體名稱, (信箱的使用者名稱) ,然後在 Exchange Online PowerShell 中執行下列一或多個命令。

注意

雖然您可以將 參數新 -GroupMailbox 增至下列 Get-Mailbox 命令,Microsoft 365群組信箱,但不要相信傳回的值。 The default and static mailbox actions that are audited for Microsoft 365 Group mailboxes are described in the Mailbox actions for Microsoft 365 Group mailboxes section earlier in this article.

擁有者動作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委派動作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

系統管理員動作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

變更或還原預設記錄的信箱動作

如先前所述,預設開啟信箱稽核的其中一個主要優點是:您不需要管理已稽核的信箱動作。 Microsoft 會為您執行此動作,我們會自動新增新信箱動作,以在發行時依預設進行稽核。

不過,您的組織可能需要針對使用者信箱和共用信箱稽核一組不同的信箱動作。 本節中的程式說明如何變更針對每個登入類型稽核的信箱動作,以及如何還原回 Microsoft 管理的預設動作。

重要

如果您使用下列程式來自訂登入使用者信箱或共用信箱的信箱動作,則 Microsoft 發行的任何新預設信箱動作都不會在這些信箱上自動稽核。 您必須手動將任何新的信箱動作新增至自訂的動作清單。

變更要稽核的信箱動作

您可以在 Set-Mailbox Cmdlet 上使用 AuditAdminAuditDelegateAuditOwner 參數,變更針對使用者信箱和共用信箱稽核的信箱動作, (無法自訂Microsoft 365群組信箱的稽核動作) 。

您可以使用兩種不同的方法來指定信箱動作:

  • 使用 下列語 法取代 (覆寫) 現有的信箱動作: action1,action2,...actionN
  • 使用下列語法新增 或移除 信箱動作,而不會影響其他現有的值: @{Add="action1","action2",..."actionN"}@{Remove="action1","action2",..."actionN"}

此範例會使用 SoftDelete 和 HardDelete 覆寫預設動作,以變更名為 「然後 Laureano」 的信箱管理信箱動作。

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

本範例會將 MailboxLogin 擁有者動作新增至信箱 laura@contoso.onmicrosoft.com。

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

此範例會移除 Team Discussion 信箱的 MoveToDeletedItems 委派動作。

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

不論您使用何種方法,在使用者信箱或共用信箱上自訂稽核的信箱動作都有下列結果:

  • 針對您自訂的登入類型,已稽核的信箱動作不再由 Microsoft 管理。
  • 您自訂的登入類型不會再顯示在信箱的 DefaultAuditSet 屬性值中,如 先前所述

還原預設信箱動作

注意

下列程式不適用於Microsoft 365群組信箱, (它們受限於預設動作,如這裡所述) 。

如果您自訂了在使用者信箱或共用信箱上稽核的信箱動作,您可以使用下列語法還原一或所有登入類型的預設信箱動作:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

您可以指定多個以逗號分隔的 DefaultAuditSet

此範例會還原信箱 mark@contoso.onmicrosoft.com 上所有登入類型的預設稽核信箱動作。

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

本範例會還原信箱 chris@contoso.onmicrosoft.com 上系統管理員登入類型的預設稽核信箱動作,但會保留委派和擁有者登入類型的自訂稽核信箱動作。

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

還原登入類型的預設稽核信箱動作有下列結果:

  • 目前的信箱動作清單會取代為登入類型的預設信箱動作。
  • Microsoft 發行的任何新信箱動作都會自動新增至登入類型的稽核動作清單。
  • 信箱的 DefaultAuditSet 屬性值會更新為包含還原的登入類型。

根據預設,為您的組織關閉信箱稽核

您可以在 Exchange Online PowerShell 中執行下列命令,以針對整個組織預設關閉信箱稽核:

Set-OrganizationConfig -AuditDisabled $true

根據預設,關閉信箱稽核會產生下列結果:

  • 您的組織已停用信箱稽核。
  • 從您停用信箱稽核時起,預設不會稽核任何信箱動作,即使信箱上已啟用稽核, (信箱上的 AuditEnabled 屬性為 True) 。
  • 新信箱未啟用信箱稽核,而且會忽略將新信箱或現有信箱上的 AuditEnabled 屬性設定為 True
  • 系統會忽略使用 Set-MailboxAuditBypassAssociation Cmdlet (設定的任何信箱稽核略過關聯設定) 。
  • 現有的信箱稽核記錄會保留到記錄的稽核記錄存留期限制到期為止。

預設會開啟信箱稽核

若要為您的組織重新開啟信箱稽核,請在 Exchange Online PowerShell 中執行下列命令:

Set-OrganizationConfig -AuditDisabled $false

略過信箱稽核記錄

目前,當貴組織預設開啟信箱稽核時,您無法停用特定信箱的信箱稽核。 例如,會忽略將 AuditEnabled 信箱屬性設定為 False

不過,您仍然可以在 powerShell Exchange Online中使用 Set-MailboxAuditBypassAssociation Cmdlet 來防止記錄指定使用者 的任何和所有 信箱動作,無論動作發生的位置為何。 例如:

  • 不會記錄略過的使用者所執行的信箱擁有者動作。
  • 略過的使用者在其他使用者信箱上執行的委派動作 (包括未記錄共用信箱) 。
  • 不會記錄略過的使用者所執行的系統管理動作。

若要略過特定使用者的信箱稽核記錄,請將 <MailboxIdentity> 取代為使用者的名稱、電子郵件地址、別名或使用者主體名稱 (使用者名稱),然後執行下列命令:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

若要驗證已針對指定的使用者略過稽核,請執行下列命令:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

值 True 表示已略過使用者的信箱稽核記錄。

其他資訊

  • 雖然預設會為所有組織啟用信箱稽核記錄,但根據 預設,只有具有 E5 授權的使用者才會在 Microsoft Purview 合規性入口網站或 透過 Office 365 管理活動 API的稽核記錄搜尋中傳回信箱稽核記錄事件。

    若要為沒有 E5/A5/G5 授權的使用者擷取信箱稽核記錄專案,您可以使用下列任何因應措施:

    • 在個別信箱上手動啟用信箱稽核 (執行命令, Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true) 。 執行此動作之後,您可以在 Microsoft Purview 合規性入口網站或透過 Office 365 管理活動 API 使用稽核記錄搜尋。

      注意

      如果信箱稽核已在信箱上啟用,但您的搜尋未傳回任何結果,請將 AuditEnabled 參數的值變更為 $false ,然後再變更回 $true

    • 在 Exchange Online PowerShell 中使用下列 Cmdlet:

    • 在 Exchange Online 中使用 Exchange 系統管理中心 (EAC) 來執行下列動作:

  • 根據預設,信箱稽核記錄會在刪除前保留 90 天。 您可以使用 PowerShell 中 Set-Mailbox Cmdlet 上的 AuditLogAgeLimit 參數來變更稽核記錄的存留期限制Exchange Online。 不過,增加此值並不允許您在稽核記錄中搜尋超過 90 天的事件。

    如果您增加存留期限制,您必須使用 Exchange Online PowerShell 中的Search-MailboxAuditLog Cmdlet 來搜尋使用者的信箱稽核記錄,以尋找超過 90 天的記錄。

  • 如果您在為組織開啟信箱稽核之前,已變更信箱的 AuditLogAgeLimit 屬性,信箱的現有稽核記錄存留期限制不會變更。 換句話說,信箱稽核預設不會影響信箱稽核記錄的目前存留期限制。

  • 若要變更Microsoft 365群組信箱上的 AuditLogAgeLimit 值,您必須在 Set-Mailbox 命令中包含 -GroupMailbox 參數。

  • 信箱稽核記錄會儲存在子資料夾中, (名為 Audits) 在每個使用者信箱的 [可復原的專案] 資料夾中。 請記住信箱稽核記錄和 [可復原的專案] 資料夾的下列事項:

    • 信箱稽核記錄會根據 [可復原的專案] 資料夾的儲存體配額計算, (警告配額為 20 GB) ,預設為 30 GB。 當下列情況時,儲存體配額會自動增加到 100 GB (,並) 90 GB 的警告配額:

      • 保留會放在信箱上。
      • 信箱會指派給合規性中心的保留原則。
    • 信箱稽核記錄也會根據 [可復原的專案] 資料夾的資料夾限制計算。 稽核記錄 (最多可儲存在 Audits 子資料夾中) 3 百萬個專案。

      注意

      信箱稽核預設不太可能會影響 [可復原的專案] 資料夾的儲存配額或資料夾限制。

      • 您可以在 Exchange Online PowerShell 中執行下列命令,以在 [可復原的專案] 資料夾的 [稽核] 子資料夾中顯示專案大小和數目:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • 您無法直接存取 [可復原的專案] 資料夾中的稽核記錄;相反地,您會使用 Search-MailboxAuditLog Cmdlet 或搜尋稽核記錄來尋找和檢視信箱稽核記錄。

  • 如果信箱被保留或指派給合規性中心的保留原則,稽核記錄仍會在信箱的 AuditLogAgeLimit 屬性所定義的持續時間內保留 (預設) 90 天。 若要保留信箱的稽核記錄較長的時間,您需要增加信箱的 AuditLogAgeLimit 值。

  • 在地理位置環境中,不支援跨地理位置信箱稽核。 例如,如果指派給使用者的權限可以存取不同地理位置的共用信箱,則該使用者執行的信箱動作不會記錄在共用信箱的信箱稽核記錄中。 Exchange系統管理員稽核事件目前僅適用于預設位置。