Verwenden von PowerShell zum Überwachen von Berichten in Exchange Online
Hinweis
Das klassische Exchange Admin Center wird derzeit in der weltweiten Bereitstellung als veraltet gekennzeichnet, und die Unterstützung der Benutzeroberfläche für die Überwachung wird im neuen Exchange Admin Center eingestellt. Stattdessen können Administratoren die in diesem Artikel erwähnten PowerShell-Cmdlets verwenden, um ihre Überwachungsanforderungen zu erfüllen.
Legacy Exchange Online Verhinderung von Datenverlust im Exchange Admin Center wird derzeit als veraltet gekennzeichnet.
Verwenden Sie die Überwachungsprotokollierung, um Konfigurationsprobleme zu beheben, indem Sie bestimmte Von Administratoren vorgenommene Änderungen nachverfolgen und Ihnen dabei helfen, gesetzliche, Compliance- und Rechtsstreitigkeitsanforderungen zu erfüllen. Exchange Online oder eigenständiges Exchange Online Protection (EOP) ohne Exchange Online Postfächer bietet zwei Arten von Überwachungsprotokollierung:
Verwaltungsüberwachungsprotokollierung: Zeichnet jede Aktion auf, die auf einer Exchange Online PowerShell oder einem eigenständigen Exchange Online Protection PowerShell-Cmdlet basiert und von einem Administrator ausgeführt wird. Diese Datensätze können Ihnen helfen, Konfigurationsprobleme zu beheben oder die Ursache von sicherheits- oder compliancebezogenen Problemen zu identifizieren. Aktionen, die von Microsoft-Rechenzentrumsadministratoren und delegierten Administratoren ausgeführt werden, werden ebenfalls in Exchange Online aufgezeichnet.
Postfachüberwachungsprotokollierung (nur Exchange Online): Zeichnet auf, wenn ein Administrator, ein delegierter Benutzer oder die Person, die besitzer des Postfachs ist, auf ein Postfach zugreift. Dadurch können Sie feststellen, wer auf ein Postfach zugegriffen hat und welche Aktionen ausgeführt wurden.
Exportieren von Überwachungsprotokollen
Umfassende Überwachungsfunktionen werden im neuen Exchange Admin Center eingestellt, aber Sie können weiterhin das Verwaltungsprotokoll und das Postfachüberwachungsprotokoll mithilfe der PowerShell-Cmdlets exportieren.
Hinweis
Die Postfachüberwachungsprotokollierung ist in eigenständigem EOP nicht verfügbar. Der Export des Verwaltungsprotokolls aus dem EAC ist in eigenständigem EOP nicht verfügbar, aber in PowerShell mithilfe des Cmdlets New-AdminAuditLogSearch verfügbar. Anweisungen finden Sie unter Verwenden von PowerShell zum Suchen nach Überwachungsprotokolleinträgen und Senden von Ergebnissen an einen Empfänger.
Exportieren des Verwaltungsüberwachungsprotokolls: Jede Aktion, die von einem Administrator ausgeführt wird, die auf einem Exchange Online PowerShell oder einem eigenständigen Exchange Online Protection PowerShell-Cmdlet basiert, das nicht mit den Verben Get, Search oder Test beginnt, wird im Verwaltungsprotokoll protokolliert. Überwachungsprotokolleinträge enthalten das ausgeführte Cmdlet, den Parameter und die Werte, die zusammen mit dem Cmdlet verwendet wurden, sowie den Status des Vorgangs. Sie können Datensätze von Konfigurationsänderungen in Ihrem organization aus Verwaltungsprotokollen exportieren. Die Protokolleinträge werden in einer XML-Datei gespeichert, und die Datei wird als Anlage innerhalb von 24 Stunden per E-Mail an angegebene Benutzer gesendet. Weitere Informationen finden Sie unter:
Durchsuchen von Rollengruppenänderungen oder Verwaltungsprotokollen
Anzeigen und Exportieren des externen Verwaltungsprotokolls (nur Exchange Online)
Hinweis
Standardmäßig werden Verwaltungsprotokolleinträge 90 Tage lang aufbewahrt. Einträge, die älter als 90 Tage sind, werden gelöscht. In cloudbasierten Organisationen lässt sich diese Einstellung nicht ändern. In lokalen Exchange-Organisationen jedoch kann sie mithilfe des Cmdlets Set-AdminAuditLog geändert werden.
Führen Sie das folgende Cmdlet aus, um das Verwaltungsprotokoll zu exportieren:
Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectIdExportieren von Postfachüberwachungsprotokollen: Wenn die Postfachüberwachungsprotokollierung für ein Postfach aktiviert ist, speichert Exchange Online einen Datensatz der Aktionen, die von Nichtbesitzern für Postfachdaten ausgeführt werden, im Postfachüberwachungsprotokoll, das in einem ausgeblendeten Ordner im postfach gespeichert wird, das überwacht wird. Die Einträge in diesem Protokoll geben an, wer auf das Postfach zugegriffen hat, wann die Aktion ausgeführt wurde und ob die Aktion erfolgreich war. Sie können Nichtbesitzerzugriffseinträge aus Postfachprotokollen exportieren. Protokolleinträge werden in einer XML-Datei gespeichert und an eine E-Mail-Nachricht angefügt und innerhalb von 24 Stunden an angegebene Benutzer gesendet. Weitere Informationen finden Sie unter Exportieren von Postfachüberwachungsprotokollen.
Verwenden Sie das folgende Cmdlet, um das Postfachüberwachungsprotokoll zu exportieren:
Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True'
Konfigurieren von Outlook im Web zum Zulassen von XML-Anlagen
Wenn Sie das Postfachüberwachungsprotokoll oder das Verwaltungsprotokoll exportieren, wird das Protokoll als XML-Datei in einer E-Mail-Nachricht angefügt. XML-Anlagen werden von Outlook im Web (zuvor Outlook Web-App) jedoch standardmäßig blockiert. Wenn Sie Outlook im Web für den Zugriff auf exportierte Überwachungsprotokolle verwenden möchten, müssen Sie Outlook im Web konfigurieren, um XML-Anlagen zuzulassen.
Führen Sie in Exchange Online PowerShell oder der eigenständigen Exchange Online Protection PowerShell den folgenden Befehl aus, um XML-Anlagen in Outlook im Web zuzulassen:
Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-OwaMailboxPolicy.
Ausführen von Überwachungsberichten
Administratoren können Systemaktivitäten effektiv verwalten und überwachen und sicherstellen, dass Compliance- und Sicherheitsstandards mithilfe bestimmter Cmdlets eingehalten werden. Diese Cmdlets bieten Administratoren die erforderliche Kontrolle und Sichtbarkeit, sodass sie Benutzeraktionen im System effektiv nachverfolgen und verwalten können.
Ausführen eines Postfachzugriffsberichts ohne Besitzer: Verwenden Sie diesen Bericht, um die Administratorprotokolle nach Postfächern zu durchsuchen, die von einer anderen Person als dem Postfachbesitzer geöffnet wurden. Weitere Informationen finden Sie unter Ausführen eines Postfachzugriffsberichts ohne Besitzer.
Wichtig
Sie müssen die Überwachung für jedes Postfach aktivieren, für das Sie das Öffnen ohne Besitzer melden möchten. Wenn Sie den Bericht ausführen, werden keine Ergebnisse für Postfächer angezeigt, für die die Protokollierung nicht aktiviert ist.
Verwenden Sie das folgende Cmdlet, um einen Postfachzugriffsbericht auszuführen, der keine Besitzer ist:
Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501Ausführen eines Berichts für Administratorrollengruppen: Verwenden Sie diesen Bericht, um Änderungen zu finden, die an Rollengruppen im Verwaltungsprotokoll vorgenommen wurden (Rollengruppen werden verwendet, um Benutzern Administratorberechtigungen zuzuweisen). Weitere Informationen finden Sie unter Durchsuchen der Rollengruppenänderungen.
Verwenden Sie das folgende Cmdlet, um einen Administratorrollengruppenbericht auszuführen:
Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501Ausführen eines lokalen eDiscovery- und Aufbewahrungsberichts: Verwenden Sie diesen Bericht, um das Verwaltungsprotokoll nach lokalen Ermittlungssuchen und Änderungen am in-situ-Speicher zu durchsuchen. Weitere Informationen finden Sie unter:
Verwenden Sie das folgende Cmdlet, um einen lokalen eDiscovery- und Aufbewahrungsbericht auszuführen:
Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $trueAusführen eines Postfachberichts mit fehlerhafter prozeduraler Aufbewahrung: Verwenden Sie diesen Bericht, um zu bestimmen, ob der prozedurale Aufbewahrungsspeicher für das Postfach eines Benutzers aus dem Verwaltungsprotokoll aktiviert ist. Weitere Informationen finden Sie unter Ausführen eines berichts mit fehlerhaftem prozeduralen Aufbewahrungsverfahren für Postfächer.
Verwenden Sie das folgende Cmdlet, um einen Fehlerhaften prozeduralen Aufbewahrungsbericht eines Postfachs auszuführen:
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $trueAusführen des Verwaltungsprotokollberichts: Verwenden Sie diesen Bericht, um Einträge im Verwaltungsprotokoll anzuzeigen, in denen angezeigt wird, welche Änderungen die Administratoren ihrer organization an der Konfiguration vorgenommen haben. Weitere Informationen finden Sie unter Anzeigen des Verwaltungsprotokolls.
Verwenden Sie das folgende Cmdlet, um den Verwaltungsprotokollbericht auszuführen:
Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>Ausführen des externen Verwaltungsprotokollberichts: Verwenden Sie diesen Bericht, um Einträge im Verwaltungsprotokoll anzuzeigen, die Änderungen anzeigen, die Microsoft oder ein delegierter Administrator an der Konfiguration Exchange Online-Dienste vorgenommen haben. Weitere Informationen finden Sie unter Anzeigen und Exportieren des externen Verwaltungsprotokolls.
Verwenden Sie das folgende Cmdlet, um den externen Verwaltungsprotokollbericht auszuführen:
Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
* Dieser Bericht ist in eigenständigen EOP-Organisationen verfügbar.
Konfigurieren der Postfachüberwachungsprotokollierung
Hinweis
Die Postfachüberwachungsprotokollierung ist in eigenständigem EOP nicht verfügbar.
Ab Januar 2019 ist die Postfachüberwachungsanmeldung standardmäßig für alle Exchange Online Organisationen aktiviert. Weitere Informationen finden Sie unter Postfachüberwachungen verwalten.
Gewähren des Benutzerzugriffs auf Überwachungsberichte
Standardmäßig können Administratoren mithilfe der oben genannten Cmdlets auf jeden der Überwachungsberichte zugreifen und diese ausführen. Anderen Benutzern (beispielsweise aus der Datensatzverwaltung oder aus der Rechtsabteilung) müssen die notwendigen Berechtigungen jedoch erst zugewiesen werden.
- Mit der Rolle Überwachungsprotokolle können Benutzer die Seite Überwachung anzeigen, um alle verfügbaren Berichte auszuführen, das Postfachüberwachungsprotokoll zu exportieren und das Verwaltungsprotokoll zu exportieren und anzuzeigen. Standardmäßig wird diese Rolle den Rollengruppen Organisationsverwaltung, Complianceverwaltung und Datensatzverwaltung zugewiesen.
- Mit der Rolle "Nur anzeigende Überwachungsprotokolle " können Benutzer Überwachungsberichte ausführen, aber keine Überwachungsprotokolle exportieren. Standardmäßig wird diese Rolle den Rollengruppen Organisationsverwaltung und Complianceverwaltung zugewiesen.
Die einfachste Möglichkeit, Benutzern Zugriff auf die Berichte zu gewähren, besteht darin, sie der Rollengruppe Datensatzverwaltung hinzuzufügen, der die Rolle Überwachungsprotokolle zugewiesen ist.
Verwenden des EAC zum Hinzufügen von Benutzern zur Rollengruppe "Datensatzverwaltung"
Wählen Sie auf der neuen EAC-Startseite die Option Rollen aus, um sie zu erweitern, und klicken Sie dann auf Admin Rollen.
Klicken Sie in der Liste der Rollengruppen auf Datensatzverwaltung. Dadurch wird der Detailbereich "Datensatzverwaltung " geöffnet.
Klicken Sie auf Zugewiesen und dann auf Symbol hinzufügen
. , um neue Mitglieder hinzuzufügen.Wählen Sie im Dialogfeld Mitglieder auswählen den Benutzer aus. Sie können nach einem Benutzer suchen, indem Sie einen Anzeigenamen oder einen Teil des Anzeigenamens eingeben und dann auf
suchen klicken. Sie können die Liste auch sortieren, indem Sie auf die Spaltenüberschriften Name oder Anzeigename klicken.Klicken Sie auf
Klicken Sie dann auf OK, um zur Seite der Rollengruppe zurückzukehren.Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.
Hinzufügen von Benutzern zur Rollengruppe "Datensatzverwaltung" mithilfe von PowerShell
Ersetzen <Sie in Exchange Online PowerShell oder eigenständigen Exchange Online Protection PowerShell Identity> durch den Namen, alias, die E-Mail-Adresse oder den Kontonamen des Benutzers oder der Gruppe, und führen Sie dann den folgenden Befehl aus, um dem Benutzer die Rolle Überwachungsprotokolle zuzuweisen:
Add-RoleGroupMember -Identity "Records Management" -Member <Identity>
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-RoleGroupMember.