Uso di PowerShell per il controllo dei report in Exchange Online

La prevenzione della perdita di dati Exchange Online legacy nell'interfaccia di amministrazione di Exchange è in fase di deprecazione.

Usare la registrazione di controllo per risolvere i problemi di configurazione tenendo traccia delle modifiche specifiche apportate dagli amministratori e per soddisfare i requisiti normativi, di conformità e di controversia legale. Exchange Online o Exchange Online Protection autonomo (EOP) senza cassette postali Exchange Online offre due tipi di registrazione di controllo:

• Registrazione del controllo di gestione: registra qualsiasi azione eseguita da un amministratore in base a un Exchange Online PowerShell o al cmdlet di PowerShell Exchange Online Protection autonomo. Questi record consentono di risolvere i problemi di configurazione o identificare la causa dei problemi correlati alla sicurezza o alla conformità. Anche le azioni eseguite dagli amministratori dei data center Microsoft e dagli amministratori delegati vengono registrate in Exchange Online.

• Registrazione di controllo delle cassette postali (solo Exchange Online):registra quando un amministratore, un utente delegato o la persona proprietaria della cassetta postale accede a una cassetta postale. In questo modo è possibile stabilire chi ha effettuato l'accesso a una cassetta postale e quali operazioni ha eseguito.

Esportare i log di audit

Le funzionalità di controllo complete non saranno più disponibili nella nuova interfaccia di amministrazione di Exchange, ma è comunque possibile esportare il log di gestione e il log di controllo delle cassette postali usando i cmdlet di PowerShell.

• Log di controllo di gestione dell'esportazione: qualsiasi azione eseguita da un amministratore basato su un Exchange Online PowerShell o autonomo Exchange Online Protection cmdlet di PowerShell che non inizia con i verbi Get, Search o Test viene registrato nel log di gestione. Le voci del registro di controllo includono il cmdlet eseguito, il parametro e i valori utilizzati con il cmdlet e l'esito positivo dell'operazione. È possibile esportare i record delle modifiche di configurazione nell'organizzazione dai log di gestione. Le voci di log vengono salvate in un file XML e il file viene inviato come allegato agli utenti specificati entro 24 ore tramite posta elettronica. Per ulteriori informazioni consulta:

  • Cercare le modifiche al gruppo di ruoli o i log di gestione

  • Visualizzare ed esportare il log di gestione esterno (solo Exchange Online)

    Nota

    Per impostazione predefinita, le voci del log di gestione vengono mantenute per 90 giorni. Dopo 90 giorni, la voce viene eliminata. Non è possibile modificare questa impostazione in un'organizzazione basata su cloud. È invece possibile modificarla in un'organizzazione Exchange locale utilizzando il cmdlet Set-AdminAuditLog.

  Per esportare il log di gestione, eseguire il cmdlet seguente:

  Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
  

• Esportare i log di controllo delle cassette postali: quando la registrazione di controllo delle cassette postali è abilitata per una cassetta postale, Exchange Online archivia un record di azioni eseguite sui dati delle cassette postali dai non proprietari nel log di controllo delle cassette postali, archiviato in una cartella nascosta nella cassetta postale da controllare. Le voci in questo log indicano chi ha eseguito l'accesso alla cassetta postale e quando è stata eseguita l'azione e se l'azione ha avuto esito positivo. È possibile esportare voci di accesso non proprietario dai log delle cassette postali. Le voci di log vengono salvate in un file XML e vengono allegate a un messaggio di posta elettronica e inviate agli utenti specificati entro 24 ore. Per altre informazioni, vedere Esportare i log di controllo delle cassette postali.

  Per esportare il log di controllo delle cassette postali, usare il cmdlet seguente:

  Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
  

Configurare Outlook sul web per consentire gli allegati XML

Quando si esporta il log di controllo della cassetta postale o il log di gestione, il log viene allegato come file XML in un messaggio di posta elettronica. Tuttavia, per impostazione predefinita Outlook sul web (precedentemente noto come Outlook Web App) blocca gli allegati XML. Se si vuole usare Outlook sul web per accedere ai log di controllo esportati, è necessario configurare Outlook sul web per consentire gli allegati XML.

In Exchange Online PowerShell o in PowerShell autonomo Exchange Online Protection eseguire il comando seguente per consentire gli allegati XML in Outlook sul web:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-OwaMailboxPolicy

Eseguire rapporti di controllo

Gli amministratori possono gestire e monitorare in modo efficace le attività di sistema e garantire il rispetto degli standard di conformità e sicurezza usando cmdlet specifici. Questi cmdlet forniscono il controllo e la visibilità necessari agli amministratori consentendo loro di tenere traccia e gestire in modo efficace le azioni degli utenti all'interno del sistema.

• Eseguire un report di accesso alle cassette postali non proprietario: usare questo report per cercare nei log amministrativi le cassette postali aperte da un altro utente diverso dal proprietario della cassetta postale. Per altre informazioni, vedere Eseguire un report di accesso alle cassette postali non proprietario.

  Importante

  È necessario abilitare il controllo per ogni cassetta postale per cui si vuole segnalare l'apertura non proprietaria. Quando si esegue il report, non sarà possibile visualizzare i risultati per le cassette postali per cui la registrazione non è abilitata.

  Usare il cmdlet seguente per eseguire un report di accesso alle cassette postali non proprietario:

  Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
  

• Eseguire un report del gruppo di ruoli amministratore: usare questo report per trovare le modifiche apportate ai gruppi di ruoli nel log di amministrazione (i gruppi di ruoli vengono usati per assegnare autorizzazioni amministrative agli utenti). Per altre informazioni, vedere Cercare le modifiche al gruppo di ruoli.

  Usare il cmdlet seguente per eseguire un report del gruppo di ruoli amministratore:

  Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
  

• Eseguire un report di eDiscovery e conservazione locale: usare questo report per cercare nel log di gestione le ricerche di individuazione locale e le modifiche apportate al blocco sul posto. Per ulteriori informazioni consulta:

  • Conservazione in locale e per controversia legale
  • l'articolo relativo a eDiscovery sul posto

  Usare il cmdlet seguente per eseguire un report locale di eDiscovery e conservazione:

  Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
  

• Eseguire un report di blocco procedurale della cassetta postale interrotta:: usare questo report per determinare se il blocco procedurale è abilitato o meno per la cassetta postale di un utente dal log di gestione. Per altre informazioni, vedere Eseguire un report di blocco procedurale della cassetta postale interrotta.

  Usare il cmdlet seguente per eseguire un report di blocco procedurale della cassetta postale interrotta:

  Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
  

• Eseguire il report del log di gestione: usare questo report per visualizzare le voci nel log di gestione che mostrano le modifiche apportate alla configurazione dagli amministratori dell'organizzazione. Per altre informazioni, vedere Visualizzare il log di gestione.

  Usare il cmdlet seguente per eseguire il report del log di gestione:

  Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
  

• Eseguire il report del log di gestione esterno: usare questo report per visualizzare le voci nel log di amministrazione che mostrano le modifiche apportate da Microsoft o da un amministratore delegato alla configurazione dei servizi Exchange Online. Per altre informazioni, vedere Visualizzare ed esportare il log di gestione esterno.

  Usare il cmdlet seguente per eseguire il report del log di gestione esterno:

  Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
  

^* Questo report è disponibile nelle organizzazioni EOP autonome.

Configurare la registrazione di controllo della cassetta postale

A partire da gennaio 2019, l'accesso di controllo delle cassette postali è abilitato per impostazione predefinita per tutte le organizzazioni Exchange Online. Per altre informazioni, vedere Gestire il controllo delle cassette postali.

Concessione agli utenti dell'accesso ai rapporti di controllo

Per impostazione predefinita, gli amministratori possono accedere ed eseguire uno qualsiasi dei report di controllo usando i cmdlet indicati in precedenza. Agli altri utenti, quali i responsabili record o il personale legale, occorre invece assegnare le autorizzazioni necessarie.

• Il ruolo Log di controllo consente agli utenti di visualizzare la pagina Controllo per eseguire uno dei report disponibili, esportare il log di controllo della cassetta postale ed esportare e visualizzare il log di gestione. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Gestione organizzazione, Gestione conformità e Gestione record .
• Il ruolo Log di controllo di sola visualizzazione consente all'utente di eseguire report di controllo, ma non di esportare i log di controllo. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Gestione organizzazione e Gestione conformità .

Il modo più semplice per concedere agli utenti l'accesso ai report consiste nell'aggiungerli al gruppo di ruoli Gestione record , a cui è assegnato il ruolo Log di controllo .

Usare EAC per aggiungere utenti al gruppo di ruoli Gestione record

1. Nella nuova home page di EAC selezionare Ruoli da espandere e quindi fare clic su Amministrazione Ruoli.

2. Nell'elenco dei gruppi di ruoli fare clic su Gestione record. Verrà aperto il riquadro dei dettagli di Gestione record .

3. Fare clic su Assegnato e quindi su Per aggiungere nuovi membri.

4. Nella finestra di dialogo Seleziona membri, scegliere l'utente. È possibile cercare un utente digitando tutto o parte di un nome visualizzato e quindi facendo clic È inoltre possibile ordinare l'elenco facendo clic sull'intestazione di colonna Nome o Nome visualizzato.

5. Fare clic su e quindi su OK per tornare alla pagina del gruppo di ruoli.

6. Fare clic su Salva per salvare la modifica al gruppo di ruoli.

Usare PowerShell per aggiungere utenti al gruppo di ruoli Gestione record

In Exchange Online PowerShell o autonomo Exchange Online Protection PowerShell sostituire <Identity> con il nome, l'alias, l'indirizzo di posta elettronica o il nome dell'account dell'utente o del gruppo e quindi eseguire il comando seguente per assegnare il ruolo Log di controllo all'utente:

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Add-RoleGroupMember.