Anzeigen und Exportieren des externen Administratorüberwachungsprotokolls in Exchange Online

In Exchange Online werden aktionen, die von Microsoft und delegierten Administratoren ausgeführt werden, im Administratorüberwachungsprotokoll protokolliert. Sie können das Exchange Admin Center (EAC) oder Exchange Online PowerShell verwenden, um nach Überwachungsprotokolleinträgen zu suchen und anzuzeigen, um festzustellen, ob externe Administratoren Aktionen für Ihre Exchange Online Organisation ausgeführt oder die Konfiguration geändert haben. Sie können auch Exchange Online PowerShell verwenden, um diese Überwachungsprotokolleinträge zu exportieren.

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit bis zum Abschließen des Vorgangs: Dies hängt davon ab, ob Sie die Einträge aus dem Administratorüberwachungsprotokoll anzeigen oder exportieren. Lesen Sie für jedes Verfahren nach, wie viel Zeit für dessen Abschluss veranschlagt wird.

• Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie im Thema Featureberechtigungen in Exchange Online im Eintrag "Nur Administratorüberwachungsprotokollierung anzeigen".

• Wenn Sie Outlook im Web (früher als Outlook Web App bezeichnet) verwenden, um die exportierten Einträge anzuzeigen, müssen Sie .xml Anlagen in Outlook im Web aktivieren. Weitere Informationen finden Sie unter Konfigurieren Outlook im Web zum Zulassen von XML-Anlagen.

• Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen für das Exchange Admin Center.

In der EAC das externe Administratorüberwachungsprotokoll anzeigen

Geschätzte Zeit bis zum Abschließen des Vorgangs: 3 Minuten

1. Wechseln Sie zu Überwachung der Complianceverwaltung>, und klicken Sie auf Überwachungsprotokollbericht des externen Administrators anzeigen. Sämtliche Konfigurationsänderungen, die von Microsoft-Datencenteradministratoren und delegierten Administratoren im angegebenen Zeitraum vorgenommen wurden, werden angezeigt und können anhand der folgenden Informationen sortiert werden:

   • Datum: Das Datum und die Uhrzeit, zu dem die Konfigurationsänderung vorgenommen wurde. Datum und Uhrzeit werden im UTC-Format (Coordinated Universal Time, koordinierte Weltzeit) gespeichert.

   • Cmdlet: Der Name des Cmdlets, mit dem die Konfigurationsänderung vorgenommen wurde.

     Wenn Sie ein einzelnes Suchergebnis auswählen, werden im Detailbereich die folgenden Informationen angezeigt:

   • Datum und Uhrzeit der Cmdlet-Ausführung.

   • Der Benutzer, von dem das Cmdlet ausgeführt wurde. Bei allen Einträgen im externen Administratorüberwachungsprotokoll wird der Benutzer als Administrator angegeben, was auf einen Microsoft-Datencenteradministrator oder einen externen Administrator hinweist.

   • Die verwendeten Cmdlet-Parameter und der mit dem Parameter angegebene beliebige Wert im Format Parameter:Wert.

2. Wenn Sie einen bestimmten Eintrag im Überwachungsprotokoll drucken möchten, wählen Sie ihn im Suchergebnisbereich aus, und klicken Sie im Detailbereich auf Drucken.

3. Um die Suche einzugrenzen, legen Sie die Dropdownmenüs Anfangsdatum und Enddatum fest, und klicken Sie dann auf Suchen.

Verwenden von Exchange Online PowerShell zum Anzeigen von Einträgen im Überwachungsprotokollbericht des externen Administrators

Geschätzte Zeit bis zum Abschließen des Vorgangs: 3 Minuten

Sie können das Cmdlet Search-AdminAuditLog mit dem Parameter ExternalAccess verwenden, um Einträge aus dem Administratorüberwachungsprotokoll für Aktionen anzuzeigen, die von Microsoft-Rechenzentrumsadministratoren und delegierten Administratoren ausgeführt werden.

Dieser Befehl gibt alle Einträge im Administratorüberwachungsprotokoll für Cmdlets zurück, die von externen Administratoren ausgeführt werden.

Search-AdminAuditLog -ExternalAccess $true

Dieser Befehl gibt Einträge im Administratorüberwachungsprotokoll für Cmdlets zurück, die zwischen dem 17. September 2013 und dem 2. Oktober 2013 von externen Administratoren ausgeführt werden.

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

Weitere Informationen finden Sie unter Search-AdminAuditLog.

Verwenden Exchange Online PowerShell zum Exportieren des Administratorüberwachungsprotokolls

Geschätzte Zeit bis zum Abschließen des Vorgangs: Ungefähr 24 Stunden

Sie können das Cmdlet New-AdminAuditLogSearch mit dem Parameter ExternalAccess verwenden, um Einträge aus dem Administratorüberwachungsprotokoll für Aktionen zu exportieren, die von Microsoft-Rechenzentrumsadministratoren oder delegierten Administratoren ausgeführt werden. Microsoft Exchange ruft Einträge im Administratorüberwachungsprotokoll ab, die von externen Administratoren ausgeführt wurden, und speichert sie in einer Datei namens SearchResult.xml. Diese XML-Datei wird einer E-Mail-Nachricht angefügt, die innerhalb von 24 Stunden an die angegebenen Empfänger gesendet wird.

Der folgende Befehl gibt Einträge im Administratorüberwachungsprotokoll für Cmdlets zurück, die zwischen dem 25. September 2013 und dem 24. Oktober 2013 von externen Administratoren ausgeführt werden. Die Suchergebnisse werden an die admin@contoso.com SMTP-Adressen und pilarp@contoso.com gesendet, und der Text "Externes Administratorüberwachungsprotokoll" wird der Betreffzeile der Nachricht hinzugefügt.

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Befehl zum Exportieren der von externen Administratoren ausgeführten Überwachungsprotokolleinträge erfolgreich war, und um Informationen zu den aktuellen Überwachungsprotokollsuchen des Administrators anzuzeigen:

Get-AuditLogSearch | Format-List

Weitere Informationen

• In Microsoft 365 und Office 365 können Sie die Möglichkeit zum Ausführen bestimmter verwaltungstechnischer Aufgaben an einen autorisierten Partner von Microsoft delegieren. Diese Verwaltungsaufgaben umfassen das Erstellen oder Bearbeiten von Benutzern, das Zurücksetzen von Kennwörtern, das Verwalten von Benutzerlizenzen, das Verwalten von Domänen und das Zuweisen von Verwaltungsberechtigungen zu anderen Benutzern in Ihrer Organisation. Wenn Sie einen Partner zur Übernahme dieser Rolle autorisieren, wird der Partner als delegierter Administrator bezeichnet. Die von einem delegierten Administrator ausgeführten Aufgaben werden im Administratorüberwachungsprotokoll protokolliert. Wie zuvor erläutert, können die von delegierten Administratoren durchgeführten Aktionen angezeigt werden, indem das externe Administratorüberwachungsprotokoll ausgeführt wird, oder exportiert werden, indem das Cmdlet New-AdminAuditLogSearch mit dem Parameter ExternalAccess verwendet wird.

• Das Administratorüberwachungsprotokoll zeichnet bestimmte Aktionen basierend auf Exchange Online PowerShell-Cmdlets auf, die von Administratoren und Benutzern ausgeführt werden, denen Administratorrechte zugewiesen wurden. Von externen Administratoren ausgeführte Aktionen werden ebenfalls protokolliert. In Einträgen im Administratorüberwachungsprotokoll finden Sie Informationen dazu, welches Cmdlet ausgeführt wurde, welche Parameter verwendet wurden, wer das Cmdlet ausgeführt hat und welche Objekte betroffen sind.

• Das Administratorüberwachungsprotokoll zeichnet keine Aktion auf, die auf einem Exchange Online PowerShell-Cmdlet basiert, das mit den Verben Get, Search oder Test beginnt.

• Die Überwachungsprotokolleinträge werden 90 Tage lang aufbewahrt. Wenn ein Eintrag älter als 90 Tage ist, wird er gelöscht.