管理信箱稽核

  • 發行項

預設會在所有組織中開啟信箱稽核記錄。 這表示會自動記錄信箱擁有者、委派和系統管理員所執行的特定動作。 對應的信箱稽核記錄可供系統管理員在信箱稽核記錄中搜尋。

信箱稽核的一些默認優點如下:

  • 當您建立新的信箱時,系統會自動開啟稽核。 您不需要為新用戶手動啟用信箱稽核。
  • 您不需要管理已稽核的信箱動作。 默認會針對每個登入類型 (管理員、委派和擁有者) 稽核一組預先定義的信箱動作。
  • 當 Microsoft 發行新的信箱動作時,動作可能會自動新增至預設稽核的信箱動作清單, (受限於具有適當授權) 的使用者。 此結果表示您不需要在信箱發行時新增動作。
  • 您在整個組織 (都有一致的信箱稽核原則,因為您要針對所有信箱) 稽核相同的動作。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

確認信箱稽核預設為開啟

若要確認您的組織預設已開啟信箱稽核,請在 Exchange Online PowerShell 中執行下列命令:

Get-OrganizationConfig | Format-List AuditDisabled

False 值表示預設會針對組織開啟信箱稽核。 根據預設,組織中的信箱稽核會覆寫個別信箱的信箱稽核設定。 例如,如果信箱的信箱稽核已關閉, (信箱上的 AuditEnabled 屬性為 False) ,則仍會稽核信箱的預設信箱動作,因為預設會為組織開啟信箱稽核。

若要讓特定信箱的信箱稽核保持停用,您可以為信箱擁有者和其他具有信箱委派存取權的用戶設定信 箱稽核略 過。 如需詳細資訊,請參閱本文稍後的 略過信箱稽核記錄 一節。

注意事項

當組織的信箱稽核默認開啟時,受影響信箱的 AuditEnabled 屬性將不會從 False 變更為 True。 換句話說,信箱稽核預設會忽略信箱上的 AuditEnabled 屬性。

支援的信箱類型

信箱稽核預設支援的信箱類型如下表所述:

信箱類型 支援
使用者信箱
共用信箱
Microsoft 365 群組信箱
資源信箱
公用資料夾信箱

登入類型和信箱動作

登入類型會分類負責信箱上稽核動作的人員。 下列清單描述信箱稽核記錄中使用的登入類型:

  • 擁有者:信箱擁有者 (與信箱) 相關聯的帳戶。
  • 委派
    • 已將 SendAs、SendOnBehalf 或 FullAccess 許可權指派給另一個信箱的使用者。
    • 已將 FullAccess 許可權指派給使用者信箱的系統管理員。
  • 管理員
    • 系統會使用下列其中一個 Microsoft 電子檔案探索工具來搜尋信箱:
      • Microsoft Purview 入口網站或合規性入口網站中的電子檔探索。
      • 在 Exchange Online 中 In-Place 電子檔探索。
    • 信箱是使用 Microsoft Exchange Server MAPI 編輯器 來存取。
    • 信箱是由模擬另一個用戶的帳戶存取。 當 ApplicationImpersonation 角色指派給帳戶,例如應用程式,而應用程式現在正在主動存取數據時,就會發生這種情況。 如需詳細資訊, 請參閱設定模擬

使用者信箱和共用信箱的信箱動作

下表描述使用者信箱和共用信箱的信箱稽核記錄中可用的信箱動作。

  • 複選標記 (✔) 表示可以針對登入類型記錄信箱動作 (並非所有登入類型) 都可使用所有動作。
  • 在複選標記之後 ( * ) 星號表示預設會記錄登入類型的信箱動作。
  • 請記住,具有信箱完整訪問許可權的系統管理員會被視為委派。
信箱動作 描述 系統管理員 委託 擁有者
AddFolderPermissions 雖然此值會被接受為信箱動作,但它已包含在 UpdateFolderPermissions 動作中,而且不會個別稽核。 換句話說,請勿使用此值。
ApplyRecord 項目會標示為記錄。 * * *
Copy 郵件已複製到另一個資料夾。
Create 在信箱的 [行事歷]、[聯繫人]、[草稿]、[附注] 或 [工作] 資料夾中建立專案 (例如,會在) 建立新的會議邀請。 建立、傳送或接收郵件的動作並不會受到稽核。 此外,不會稽核建立信箱資料夾。 * *
FolderBind 已存取信箱資料夾。 系統管理員或委派開啟信箱時也會記錄此動作。

注意:會合併委派所執行之資料夾系結動作的稽核記錄。 系統會在24小時內為個別資料夾存取產生一筆稽核記錄。
HardDelete 已從 [可復原的專案] 資料夾清除訊息。 * * *
MailboxLogin 使用者登入其信箱。
MailItemsAccessed 注意:此值僅適用於具有 E5/A5/G5 授權的使用者。 如需詳細資訊,請參閱設定 Microsoft Purview 稽核 (Premium)

發生於郵件通訊協定和用戶端存取郵件數據時。		 * * *
MessageBind 注意:此值僅適用於 沒有 E5/A5/G5 授權的使用者。

系統管理員已在預覽窗格中檢視或開啟訊息。
ModifyFolderPermissions 雖然此值會被接受為信箱動作,但它已包含在 UpdateFolderPermissions 動作中,而且不會個別稽核。 換句話說,請勿使用此值。
Move 郵件已移到另一個資料夾。
MoveToDeletedItems 郵件已遭刪除並移至 [刪除的郵件] 資料夾。 * * *
RecordDelete 標示為記錄的專案已虛刪除, (移至 [可復原的專案] 資料夾) 。 標示為記錄的項目無法永久刪除, (從 [可復原的專案] 資料夾中清除) 。
RemoveFolderPermissions 雖然此值會被接受為信箱動作,但它已包含在 UpdateFolderPermissions 動作中,而且不會個別稽核。 換句話說,請勿使用此值。
SearchQueryInitiated 注意:此值僅適用於具有 E5/A5/G5 授權的使用者。 如需詳細資訊,請參閱設定 Microsoft Purview 稽核 (Premium)

使用者使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 網頁版) 或郵件應用程式,Windows 10 在信箱中搜尋專案。
Send 注意:此值僅適用於具有 E5/A5/G5 授權的使用者。 如需詳細資訊,請參閱設定 Microsoft Purview 稽核 (Premium)

使用者傳送電子郵件訊息、回復電子郵件訊息,或轉寄電子郵件訊息。		 * *
SendAs 已使用 [傳送為] 權限傳送郵件。 此許可權可讓另一位使用者傳送郵件,就像來自信箱擁有者一樣。 * *
SendOnBehalf 已使用 [代理傳送者] 權限傳送郵件。 此許可權可讓其他使用者代表信箱擁有者傳送郵件。 此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。 * *
SoftDelete 郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。 虛刪除的專案會移至 [可復原的專案] 資料夾。 * * *
更新 訊息或其任何屬性已變更。 * * *
UpdateCalendarDelegation 已將行事歷委派指派給信箱。 行事曆代理可讓其他有相同組織權限的人來管理信箱擁有者的行事曆。 * *
UpdateFolderPermissions 資料夾權限已變更。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 * * *
UpdateInboxRules 已新增、移除或變更收件匣規則。 收件匣規則會根據條件來處理使用者收件匣中的訊息。 動作會指定要如何處理符合規則條件的訊息。 例如,將訊息移至指定的資料夾或刪除訊息。 * * *

重要事項

如果您在組織中默認開啟信箱稽核 之前 自定義要稽核的信箱動作,自定義的信箱稽核設定會保留在信箱上,而且不會被本節所述的預設信箱動作覆寫。 若要將稽核信箱動作還原為其預設值 (您可以隨時) 執行,請參閱本文稍後 的還原預設信箱動作 一節。

Microsoft 365 群組信箱的信箱動作

信箱稽核預設會將信箱稽核記錄帶入 Microsoft 365 群組信箱,但您無法自定義記錄的內容 (您無法新增或移除針對任何登入類型) 所記錄的信箱動作。

下表描述每個登入類型的 Microsoft 365 群組信箱上預設記錄的信箱動作。

請記住,具有 Microsoft 365 群組信箱完整存取權的系統管理員會被視為委派。

信箱動作 描述 系統管理員 委託 擁有者
Create 建立行事曆專案。 建立、傳送或接收郵件的動作並不會受到稽核。 * *
HardDelete 已從 [可復原的專案] 資料夾清除訊息。 * * *
MoveToDeletedItems 郵件已遭刪除並移至 [刪除的郵件] 資料夾。 * * *
SendAs 已使用 [傳送為] 權限傳送郵件。 * *
SendOnBehalf 已使用 [代理傳送者] 權限傳送郵件。 * *
SoftDelete 郵件已永久刪除或從 [刪除的郵件] 資料夾中刪除。 虛刪除的專案會移至 [可復原的專案] 資料夾。 * * *
更新 訊息或其任何屬性已變更。 * * *

確認每個登入類型都已記錄預設信箱動作

信箱稽核預設會將新的 DefaultAuditSet 屬性新增至所有信箱。 這個屬性的值會指出信箱上是否要稽核由 Microsoft) 管理 (預設信箱動作。

若要在使用者信箱或共用信箱上顯示值,請將MailboxIdentity>取代<為信箱的名稱、別名、電子郵件地址或用戶主體名稱 (信箱的用戶名稱) ,然後在 Exchange Online PowerShell 中執行下列命令:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

若要在 Microsoft 365 群組信箱上顯示值,請將 MailboxIdentity> 取代<為共用信箱的名稱、別名或電子郵件地址,然後在 Exchange Online PowerShell 中執行下列命令:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Admin, Delegate, Owner 表示:

  • 系統會稽核這三種登入類型的預設信箱動作。 此值是您在 Microsoft 365 群組信箱上看到的唯一值。
  • 系統管理員 尚未 變更使用者信箱或共用信箱上任何登入類型的稽核信箱動作。

如果系統管理員曾使用 Set-Mailbox Cmdlet) 上的 AuditAdminAuditDelegateAuditOwner 參數,變更針對登入類型稽核的信箱動作 (,則屬性值會不同。

例如,使用者信箱或共用信箱上 DefaultAuditSet 屬性的值Owner表示:

  • 系統會稽核信箱擁有者的預設信箱動作。
  • 和登入類型的稽核信箱動作DelegateAdmin已從預設動作變更。

DefaultAuditSet 屬性的空白值表示這三種登入類型的信箱動作已在使用者信箱或共用信箱上變更。

如需詳細資訊,請參閱本文中的 變更或還原默認記錄的信箱動作 一節。

顯示信箱上正在記錄的信箱動作

若要查看目前登入使用者信箱或共用信箱的信箱動作,請將MailboxIdentity>取代<為信箱的名稱、別名、電子郵件地址或用戶主體名稱 (信箱的使用者名稱) ,然後在 Exchange Online PowerShell 中執行下列一或多個命令。

注意事項

雖然您可以將 參數新 -GroupMailbox 增至下列適用於 Microsoft 365 群組信 箱的 Get-Mailbox 命令,但請勿相信傳回的值。 本文稍早的 Microsoft 365 群組信箱信箱動作一節說明針對 Microsoft 365 群組信箱 稽核的預設和靜態信箱動作。

擁有者動作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

委派動作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

管理員 動作

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

變更或還原默認記錄的信箱動作

如先前所述,預設開啟信箱稽核的其中一個主要優點是:您不需要管理已稽核的信箱動作。 Microsoft 會為您管理動作,而且我們會自動新增新信箱動作,以在發行時依預設進行稽核。

不過,您的組織可能需要針對使用者信箱和共用信箱稽核一組不同的信箱動作。 本節中的程序說明如何變更針對每個登入類型稽核的信箱動作,以及如何還原回 Microsoft 管理的默認動作。

重要事項

如果您使用下列程式來自定義登入使用者信箱或共用信箱的信箱動作,則 Microsoft 發行的任何新預設信箱動作都不會在這些信箱上自動稽核。 您必須手動將任何新的信箱動作新增至自訂的動作清單。

變更要稽核的信箱動作

您可以在 Set-Mailbox Cmdlet 上使用 AuditAdminAuditDelegateAuditOwner 參數來變更針對使用者信箱和共用信箱稽核的信箱動作, (無法自定義 microsoft 365 群組信箱的稽核動作) 。

您可以使用兩種不同的方法來指定信箱動作:

  • 使用下列語法取代 (覆寫) 現有的信箱動作:action1,action2,...actionN
  • 使用下列語法新增或移除信箱動作,而不會影響其他現有的值: @{Add="action1","action2",..."actionN"}@{Remove="action1","action2",..."actionN"}

此範例會使用 SoftDelete 和 HardDelete 覆寫預設動作,以變更名為 「然後 Laureano」 的信箱管理信箱動作。

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

此範例會將 MailboxLogin 擁有者動作新增至信箱 laura@contoso.onmicrosoft.com。

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

本範例會移除 Team Discussion 信箱的 MoveToDeletedItems 委派動作。

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

不論您使用何種方法,在使用者信箱或共用信箱上自定義稽核的信箱動作都有下列結果:

  • 針對您自定義的登入類型,已稽核的信箱動作不再由 Microsoft 管理。
  • 您自定義的登入類型不會再顯示在信箱的 DefaultAuditSet 屬性值中,如 先前所述

還原預設信箱動作

注意事項

下列程式不適用於 Microsoft 365 群組信箱, (它們受限於此處 所述的 默認動作) 。

如果您自定義了在使用者信箱或共用信箱上稽核的信箱動作,您可以使用下列語法來還原一或所有登入類型的預設信箱動作:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

您可以指定多個以逗號分隔的 DefaultAuditSet 值。

此範例會還原信箱 上所有登入類型的預設稽核信箱 mark@contoso.onmicrosoft.com動作。

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

本範例會還原信箱chris@contoso.onmicrosoft.com上 管理員 登入類型的預設稽核信箱動作,但會保留委派和擁有者登入類型的自定義稽核信箱動作。

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

還原登入類型的預設稽核信箱動作具有下列結果:

  • 目前的信箱動作清單會取代為登入類型的預設信箱動作。
  • Microsoft 發行的任何新信箱動作都會自動新增至登入類型的稽核動作清單。
  • 信箱的 DefaultAuditSet 屬性值會更新為包含還原的登入類型。

根據預設,為您的組織關閉信箱稽核

您可以在 Exchange Online PowerShell 中執行下列命令,以針對整個組織預設關閉信箱稽核:

Set-OrganizationConfig -AuditDisabled $true

根據預設,關閉信箱稽核會產生下列結果:

  • 貴組織的信箱稽核已關閉。
  • 從您默認關閉信箱稽核開始,不會稽核任何信箱動作,即使信箱上已啟用信箱稽核, (信箱上的 AuditEnabled 屬性為 True) 。
  • 新信箱的信箱稽核並未開啟,而且會忽略將新信箱或現有信箱上的 AuditEnabled 屬性設定為 True
  • 系統會忽略使用 Set-MailboxAuditBypassAssociation Cmdlet (設定的任何信箱稽核略過關聯設定) 。
  • 現有的信箱稽核記錄會保留到記錄的稽核記錄存留期限制到期為止。

默認會開啟信箱稽核

若要為您的組織重新開啟信箱稽核,請在 Exchange Online PowerShell 中執行下列命令:

Set-OrganizationConfig -AuditDisabled $false

略過信箱稽核記錄

目前,當貴組織預設開啟信箱稽核時,您無法停用特定信箱的信箱稽核。 例如,會忽略將 AuditEnabled 信箱屬性設定為 False

不過,您仍然可以在 PowerShell Exchange Online 中使用 Set-MailboxAuditBypassAssociation Cmdlet 來防止記錄指定使用者的任何和所有信箱動作,無論動作發生的位置為何。 例如:

  • 不會記錄略過的使用者所執行的信箱擁有者動作。
  • 略過的使用者在其他使用者信箱上執行的委派動作 (包括未記錄共用信箱) 。
  • 管理員 不會記錄略過的使用者所執行的動作。

若要略過特定使用者的信箱稽核記錄,請將 <MailboxIdentity> 取代為使用者的名稱、電子郵件地址、別名或使用者主體名稱 (使用者名稱),然後執行下列命令:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

若要驗證已針對指定的使用者略過稽核,請執行下列命令:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

值 True 表示已略過使用者的信箱稽核記錄。

其他相關資訊

  • 根據預設,信箱稽核記錄會在刪除前保留 90 天。 您可以使用 PowerShell 中 Set-Mailbox Cmdlet 上的 AuditLogAgeLimit 參數來變更稽核記錄的存留期限制 Exchange Online。 不過,增加此值並不允許您在稽核記錄中搜尋超過90天的事件。

    如果您增加存留期限制,您必須使用 Exchange Online PowerShell 中的 搜尋-MailboxAuditLog Cmdlet 來搜尋使用者的信箱稽核記錄,以尋找超過 90 天的記錄。

  • 如果您在為組織開啟信箱稽核之前,已變更信箱的 AuditLogAgeLimit 屬性,信箱的現有稽核記錄存留期限制不會變更。 換句話說,信箱稽核預設不會影響信箱稽核記錄的目前存留期限制。

  • 若要變更 Microsoft 365 群組信箱上的 AuditLogAgeLimit 值,您必須在 Set-Mailbox 命令中包含 -GroupMailbox 參數。

  • 信箱稽核記錄會儲存在子資料夾中, (名為 Audits) 在每個使用者信箱的 [可復原的專案] 資料夾中。 請記住信箱稽核記錄和 [可復原的專案] 資料夾的下列事項:

    • 信箱稽核記錄會根據 [可復原的專案] 資料夾的記憶體配額計算, (警告配額為 20 GB) ,預設為 30 GB。 當下列情況時,記憶體配額會自動增加到 100 GB (,並) 90 GB 的警告配額:

      • 保留會放在信箱上。
      • 信箱會指派給 Microsoft Purview 入口網站或合規性入口網站中的保留原則。

    • 信箱稽核記錄也會根據 [可復原的專案] 資料夾的資料夾限制計算。 稽核記錄 (最多可儲存在 Audits 子資料夾中) 3 百萬個專案。

      注意事項

      信箱稽核預設不太可能會影響記憶體配額或 [可復原的專案] 資料夾的資料夾限制。

      • 您可以在 Exchange Online PowerShell 中執行下列命令,以在 [可復原的專案] 資料夾的 [稽核] 子資料夾中顯示專案大小和數目:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder

      • 您無法直接存取 [可復原的專案] 資料夾中的稽核記錄;相反地,您會使用 搜尋-MailboxAuditLog Cmdlet 或搜尋稽核記錄來尋找和檢視信箱稽核記錄。

  • 如果信箱被保留或指派給保留原則,稽核記錄仍會保留信箱的 AuditLogAgeLimit 屬性所定義的持續時間,預設 (90 天) 。 若要保留信箱的稽核記錄較長的時間,您需要增加信箱的 AuditLogAgeLimit 值。

  • 在多地理位置環境中,不支援跨地理位置信箱稽核。 例如,如果用戶獲指派存取不同地理位置中共用信箱的許可權,該使用者所執行的信箱動作就不會記錄在共用信箱的信箱稽核記錄中。 Exchange 系統管理員稽核事件可透過 Microsoft Purview搜尋-UnifiedAuditLog Cmdlet 提供給所有位置使用。