Usando o PowerShell para auditoria de relatórios em Exchange Online

Observação

O centro de administração do Exchange Clássico está em processo de preterido na implantação mundial e o suporte da interface do usuário para auditoria será descontinuado no novo centro de administração do Exchange. Em vez disso, os administradores podem utilizar os cmdlets (cmdlets) do PowerShell mencionados neste artigo para atender aos seus requisitos de auditoria.

A prevenção de perda de dados Exchange Online herdada no centro de administração do Exchange está em processo de preterida.

Use o log de auditoria para solucionar problemas de configuração acompanhando alterações específicas feitas pelos administradores e para ajudá-lo a atender aos requisitos regulatórios, de conformidade e de litígio. Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online fornece dois tipos de log de auditoria:

  • Log de auditoria de gerenciamento: registra qualquer ação, com base em um cmdlet Exchange Online PowerShell ou autônomo Proteção do Exchange Online PowerShell, executado por um administrador. Esses registros podem ajudá-lo a solucionar problemas de configuração ou identificar a causa de problemas relacionados à segurança ou à conformidade. Ações executadas por administradores de datacenter da Microsoft e administradores delegados também são registradas em Exchange Online.

  • Log de auditoria de caixa de correio (somente Exchange Online): registra quando uma caixa de correio é acessada por um administrador, um usuário delegado ou a pessoa que possui a caixa de correio. Isso pode ajudá-lo a determinar quem acessou a caixa de correio e o que a pessoa fez.

Exportar logs de auditoria

Os recursos abrangentes de auditoria serão descontinuados no novo centro de administração do Exchange, mas você ainda pode exportar o log de gerenciamento e o log de auditoria da caixa de correio usando os cmdlets do PowerShell.

Observação

O log de auditoria da caixa de correio não está disponível no EOP autônomo. A exportação de log de gerenciamento do EAC não está disponível no EOP autônomo, mas está disponível no PowerShell usando o cmdlet New-AdminAuditLogSearch . Para obter instruções, consulte Usar o PowerShell para pesquisar entradas de log de auditoria e enviar resultados para um destinatário.

  • Log de auditoria de gerenciamento de exportação: qualquer ação executada por um administrador com base em um Exchange Online PowerShell ou um cmdlet autônomo Proteção do Exchange Online PowerShell que não começa com os verbos Get, Search ou Test é registrado no log de gerenciamento. As entradas do log de auditoria incluem o cmdlet que foi executado, o parâmetro e os valores usados com o cmdlet e quando a operação foi bem-sucedida. Você pode exportar registros de alterações de configuração em sua organização de logs de gerenciamento. As entradas de log são salvas em um arquivo XML e o arquivo é enviado como um anexo para usuários especificados dentro de 24 horas por email. Para saber mais, veja:

    Para exportar o log de gerenciamento, execute o seguinte cmdlet:

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
    
  • Exportar logs de auditoria de caixa de correio: quando o log de auditoria da caixa de correio é habilitado para uma caixa de correio, Exchange Online armazena um registro de ações executadas em dados de caixa de correio por não-usuários no log de auditoria da caixa de correio, que é armazenado em uma pasta oculta na caixa de correio que está sendo auditada. As entradas neste log indicam quem acessou a caixa de correio e quando a ação foi executada e se a ação foi bem-sucedida. Você pode exportar entradas de acesso nonowner de logs de caixa de correio. As entradas de log são salvas em um arquivo XML e são anexadas a uma mensagem de email e enviadas aos usuários especificados dentro de 24 horas. Para obter mais informações, consulte Exportar logs de auditoria de caixa de correio.

    Para exportar o log de auditoria da caixa de correio, use o seguinte cmdlet:

    Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
    

Configurar Outlook na Web para permitir anexos XML

Quando você exporta o log de auditoria da caixa de correio ou o log de gerenciamento, o log é anexado como um arquivo XML em uma mensagem de email. No entanto, o Outlook na Web (anteriormente conhecido como Outlook Web App) bloqueia os anexos XML por padrão. Se você quiser usar Outlook na Web para acessar logs de auditoria exportados, você precisará configurar Outlook na Web para permitir anexos XML.

Em Exchange Online PowerShell ou Proteção do Exchange Online Autônomo do PowerShell, execute o seguinte comando para permitir anexos XML no Outlook na Web:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-OwaMailboxPolicy

Executar relatórios de auditoria

Os administradores podem gerenciar e monitorar efetivamente as atividades do sistema e garantir que as normas de conformidade e segurança sejam mantidas usando cmdlets específicos. Esses cmdlets fornecem o controle e a visibilidade necessários aos administradores, permitindo que eles acompanhem e gerenciem efetivamente as ações do usuário no sistema.

  • Execute um relatório de acesso de caixa de correio não proprietário: use este relatório para pesquisar os logs administrativos em busca de caixas de correio que foram abertas por alguém diferente do proprietário da caixa de correio. Para obter mais informações, consulte Executar um relatório de acesso de caixa de correio não habilitado.

    Importante

    Você deve habilitar a auditoria para cada caixa de correio para a qual deseja relatar a abertura de não proprietário. Ao executar o relatório, você não poderá ver resultados de caixas de correio que não têm log habilitado.

    Use o seguinte cmdlet para executar um relatório de acesso à caixa de correio nonowner:

    Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
    
  • Executar um relatório de grupo de funções de administrador: use este relatório para localizar alterações feitas em grupos de funções no log de administração (grupos de funções são usados para atribuir permissões administrativas aos usuários). Para obter mais informações, consulte Pesquisar as alterações do grupo de funções.

    Use o seguinte cmdlet para executar um relatório de grupo de funções de administrador:

    Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
    
  • Execute um relatório local de descoberta eletrônica e retenção: use este relatório para pesquisar no log de gerenciamento pesquisas de descoberta local e alterações no porão local. Para saber mais, veja:

    Use o seguinte cmdlet para executar um relatório de retenção e descoberta eletrônica local:

    Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
    
  • Execute um relatório de retenção de procedimento quebrado da caixa de correio:: Use este relatório para determinar se a retenção processual está habilitada ou não para a caixa de correio de um usuário no log de gerenciamento. Para obter mais informações, consulte Executar um relatório de retenção processual quebrado da caixa de correio.

    Use o seguinte cmdlet para executar um relatório de retenção processual quebrado da caixa de correio:

    Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
    
  • Execute o relatório de log de gerenciamento: use este relatório para exibir entradas no log de gerenciamento que mostram quais alterações os administradores da sua organização fizeram na configuração. Para obter mais informações, consulte Exibir o log de gerenciamento.

    Use o seguinte cmdlet para executar o relatório de log de gerenciamento:

    Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
    
  • Execute o relatório de log de gerenciamento externo: use este relatório para exibir entradas no log de administração que mostram alterações que a Microsoft ou um administrador delegado fizeram à configuração de Exchange Online serviços. Para obter mais informações, consulte Exibir e exportar o log de gerenciamento externo.

    Use o seguinte cmdlet para executar o relatório de log de gerenciamento externo:

    Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
    

* Este relatório está disponível em organizações EOP autônomas.

Configurar o log de auditoria de caixas correio

Observação

O log de auditoria da caixa de correio não está disponível no EOP autônomo.

A partir de janeiro de 2019, o logon de auditoria da caixa de correio por padrão está habilitado para todas as organizações Exchange Online. Para saber mais, consulte Gerenciar a auditoria da caixa de correio.

Fornecer, aos usuários, acesso aos Relatórios de Auditoria

Por padrão, os administradores podem acessar e executar qualquer um dos relatórios de auditoria usando os cmdlets mencionados acima . No entanto, outros usuários, como o gerente de documentação administrativa ou a equipe jurídica, precisam receber as permissões necessárias.

  • A função Logs de Auditoria permite que os usuários exibam a página Auditoria para executar qualquer um dos relatórios disponíveis, exportar o log de auditoria da caixa de correio e exportar e exibir o log de gerenciamento. Por padrão, essa função é atribuída aos grupos de funções Gerenciamento de Organização, Gerenciamento de Conformidade e Gerenciamento de Registros .
  • A função Logs de Auditoria Somente Exibição permite que o usuário execute relatórios de auditoria, mas não exporte logs de auditoria. Por padrão, essa função é atribuída aos grupos de funções Gerenciamento de Organização e Gerenciamento de Conformidade .

A maneira mais fácil de dar aos usuários acesso aos relatórios é adicioná-los ao grupo de funções gerenciamento de registros , que tem a função Logs de Auditoria atribuída.

Usar o EAC para adicionar usuários ao grupo de funções gerenciamento de registros

  1. Na nova página inicial do EAC, selecione Funções para expandir e clique em Administração Funções.

  2. Na lista de grupos de funções, clique em Gerenciamento de Registros. Isso abrirá o painel de detalhes do Gerenciamento de Registros .

  3. Clique em Atribuído e, em seguida, clique em AdicionarÍcone. para adicionar novos membros.

  4. Na caixa de diálogo Selecionar Membros, selecione o usuário. Você pode pesquisar um usuário digitando todo ou parte de um nome de exibição e clicando no ícone Pesquisar Pesquisa.. Você também pode classificar a lista clicando nos títulos de coluna Nome ou Nome de Exibição.

  5. Clique em Adicionar Ícone de Adição e clique em OK para retornar à página do grupo de funções.

  6. Clique em Salvar para salvar as alterações feitas no grupo de funções.

Usar o PowerShell para adicionar usuários ao grupo de funções gerenciamento de registros

Em Exchange Online PowerShell ou autônomo Proteção do Exchange Online PowerShell, substitua <Identidade> pelo nome, alias, endereço de email ou nome da conta do usuário ou grupo e execute o seguinte comando para atribuir a função Logs de Auditoria ao usuário:

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Add-RoleGroupMember.