在 Exchange Online 中使用 PowerShell 來稽核報告

Exchange 系統管理中心的舊版Exchange Online資料外泄防護正在被取代。

使用稽核記錄來針對設定問題進行疑難排解，方法是追蹤系統管理員所做的特定變更，並協助您符合法規、合規性和訴訟需求。 Exchange Online或獨立Exchange Online Protection (不含Exchange Online信箱的 EOP) 提供兩種類型的稽核記錄：

• 管理稽核記錄：根據系統管理員所執行的 Exchange Online PowerShell 或獨立Exchange Online Protection PowerShell Cmdlet，記錄任何動作。這些記錄可協助您針對設定問題進行疑難排解，或找出安全性相關或合規性相關問題的原因。 Microsoft 資料中心系統管理員和委派系統管理員所執行的動作也會記錄在Exchange Online中。

• 信箱稽核記錄 (Exchange Online僅) ：記錄當系統管理員、委派的使用者或擁有信箱的人員存取信箱時。 這種記錄可以協助您判斷存取信箱的人員以及他們進行的動作。

匯出稽核記錄檔

新的 Exchange 系統管理中心將會停止完整的稽核功能，但您仍然可以使用 PowerShell Cmdlet 來匯出記錄管理和信箱稽核記錄。

• 匯出管理稽核記錄：系統管理員根據Exchange Online PowerShell 或獨立Exchange Online Protection PowerShell Cmdlet 執行的任何動作，不會以動詞動詞Get、Search或Test開頭，都會記錄在記錄管理中。 稽核記錄項目包括所執行的指令程式、搭配指令程式使用的參數和值，以及作業成功完成的時間。 您可以從記錄管理匯出組織中組態變更的記錄。 記錄專案會儲存在 XML 檔案中，而檔案會在 24 小時內透過電子郵件以附件傳送給指定的使用者。 如需詳細資訊，請參閱：

  • 搜尋角色群組變更或記錄管理

  • 僅檢視和匯出外部記錄管理 (Exchange Online)

    注意事項

    根據預設，記錄管理專案會保留 90 天。 超過 90 天的項目就會遭到刪除。 在雲端組之中不可變更此設定。 不過，您可以使用 Set-AdminAuditLog Cmdlet，在內部部署 Exchange 組織中加以變更。

  若要匯出記錄管理檔，請執行下列 Cmdlet：

  Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
  

• 匯出信箱稽核記錄：針對信箱啟用信箱稽核記錄時，Exchange Online將非擁有者對信箱資料執行的動作記錄儲存在信箱稽核記錄中，該記錄會儲存在要稽核之信箱的隱藏資料夾中。 此記錄中的專案會指出誰存取信箱，以及何時執行動作，以及動作是否成功。 您可以從信箱記錄匯出非擁有者存取專案。 記錄專案會儲存在 XML 檔案中，並附加至電子郵件訊息，並在 24 小時內傳送給指定的使用者。 如需詳細資訊，請參閱 匯出信箱稽核記錄。

  若要匯出信箱稽核記錄，請使用下列 Cmdlet：

  Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
  

設定Outlook 網頁版以允許 XML 附件

當您匯出信箱稽核記錄或記錄管理時，記錄會附加為電子郵件訊息中的 XML 檔案。 但是，Outlook 網頁版 (先前稱為 Outlook Web App) 依預設會封鎖 XML 附件。 如果您想要使用Outlook 網頁版存取匯出的稽核記錄，您必須設定Outlook 網頁版以允許 XML 附件。

在Exchange Online PowerShell或獨立Exchange Online Protection PowerShell中，執行下列命令以允許Outlook 網頁版中的 XML 附件：

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

如需詳細的語法和參數資訊，請參閱 Set-OwaMailboxPolicy

執行稽核報告

系統管理員可以有效地管理和監視系統活動，並使用特定 Cmdlet 來確保合規性和安全性標準。 這些 Cmdlet 可為系統管理員提供必要的控制和可見度，讓他們能夠有效地追蹤和管理系統內的使用者動作。

• 執行非擁有者信箱存取報告：使用此報表來搜尋信箱擁有者以外的人所開啟信箱的系統管理記錄。 如需詳細資訊，請 參閱執行非擁有者信箱存取報告。

  重要事項

  您必須為每個要回報非擁有者開啟的信箱啟用稽核。 當您執行報表時，將無法看到未啟用記錄之信箱的結果。

  使用下列 Cmdlet 來執行非擁有者信箱存取報告：

  Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
  

• 執行系統管理員角色群組報告：使用此報告來尋找在系統管理記錄檔中對角色群組所做的變更， (角色群組用來將系統管理許可權指派給使用者) 。 如需詳細資訊，請 參閱搜尋角色群組變更。

  使用下列 Cmdlet 來執行系統管理員角色群組報告：

  Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
  

• 執行本機電子檔探索和保留報告：使用此報表來搜尋記錄管理，以搜尋本機探索搜尋和就地保留的變更。 如需詳細資訊，請參閱：

  • 就地保留和訴訟資料暫留
  • 就地 eDiscovery

  使用下列 Cmdlet 來執行本機電子檔探索和保留報告：

  Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
  

• 執行信箱中斷的程式性保留報告：：使用此報告可判斷是否已從記錄管理啟用使用者信箱的程式性保留。 如需詳細資訊，請 參閱執行信箱中斷的程式性保留報告。

  使用下列 Cmdlet 來執行信箱中斷的程式性保留報告：

  Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
  

• 執行記錄管理報表：使用此報表來檢視記錄管理中的專案，以顯示貴組織的系統管理員對設定所做的變更。 如需詳細資訊，請 參閱檢視記錄管理。

  使用下列 Cmdlet 來執行記錄管理報表：

  Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
  

• 執行外部記錄管理報表：使用此報表來檢視系統管理記錄中的專案，其中顯示 Microsoft 或委派的系統管理員對Exchange Online服務設定所做的變更。 如需詳細資訊，請 參閱檢視和匯出外部記錄管理。

  使用下列 Cmdlet 來執行外部記錄管理報表：

  Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
  

^* 此報告可在獨立 EOP 組織中取得。

設定信箱稽核記錄

自 2019 年 1 月起，預設會為所有Exchange Online組織啟用信箱稽核記錄。 如需詳細資訊，請參閱管理信箱稽核。

讓使用者能夠存取稽核報告

根據預設，系統管理員可以使用上述 Cmdlet 來存取及執行任何稽核報告。 不過，其他使用者 (例如記錄管理員或法律人員) 則必須被指派必要的權限。

• 稽 核記錄 角色可讓使用者檢視 [稽 核] 頁面，以執行任何可用的報告、匯出信箱稽核記錄，以及匯出和檢視記錄管理。 根據預設，此角色會指派給組織管理、合規性管理和記錄管理角色群組。
• 僅限檢視稽核記錄角色可讓使用者執行稽核報告，但不允許匯出稽核記錄。 根據預設，此角色會指派給 組織管理 與 合規性管理 角色群組。

授與使用者報表存取權的最簡單方式是將報表新增至已指派稽核記錄角色的記錄管理角色群組。

使用 EAC 將使用者新增至記錄管理角色群組

1. 在新的 EAC 首頁上，選取 [要展開的角色]，然後按一下[管理員 角色]。

2. 在角色群組清單中，按一下 [ 記錄管理]。 這會開啟 [記錄管理 詳細資料] 窗格。

3. 按一下 [指派 ]，然後按一下 [ 新增 以新增成員。

4. 在 [選取成員] 對話方塊中，選取使用者。 您可以輸入顯示名稱的全部或部分，然後按一下搜尋，來搜尋使用者。 您也可以透過按一下 [名稱] 或 [顯示名稱] 欄位標題來排序清單。

5. 按一下 [新增 然後按一下 [ 確定 ] 返回角色群組頁面。

6. 按一下 [儲存]，將變更儲存到角色群組。

使用 PowerShell 將使用者新增至記錄管理角色群組

在Exchange Online PowerShell或獨立Exchange Online Protection PowerShell中，以使用者或群組的名稱、別名、電子郵件地址或帳戶名稱取代 <> Identity，然後執行下列命令將稽核記錄角色指派給使用者：

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

如需詳細的語法及參數資訊，請參閱 Add-RoleGroupMember。