Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer

Exchange 2013
 

Gilt für:Exchange Online, Exchange Server 2013

Letztes Änderungsdatum des Themas:2016-12-09

Im Bericht zum Postfachzugriff durch Nichtbesitzer werden in der Exchange-Verwaltungskonsole die Postfächer aufgeführt, auf die von irgendeiner Person zugegriffen wurde, die nicht der Besitzer des Postfachs ist. Wenn auf ein Postfach von einem Nicht-Besitzer zugegriffen wird, werden Informationen zu dieser Aktion in einem Postfachüberwachungsprotokoll protokolliert, das als E-Mail in einem ausgeblendeten Ordner des überwachten Postfachs gespeichert wird. Die Einträge aus diesem Protokoll werden als Suchergebnisse angezeigt und enthalten eine Liste mit Postfächern, auf die von einem Nicht-Besitzer zugegriffen wurde, sowie Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage aufbewahrt.

Wenn Sie die Postfachüberwachungsprotokollierung für ein Postfach aktivieren, werden bestimmte Aktionen von Nicht-Besitzern protokolliert. Zu diesen Nicht-Besitzern zählen neben Administratoren auch so genannte delegierte Benutzer, denen Berechtigungen für ein Postfach zugewiesen wurden. Die Suche kann auch auf Benutzer innerhalb oder außerhalb der Organisation eingegrenzt werden.

TippTipp:
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Server, Exchange Online oder Exchange Online Protection..

Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, für das ein Bericht zum Postfachzugriff durch Nicht-Besitzer ausgeführt werden soll. Ist die Postfachüberwachungsprotokollierung nicht aktiviert, erhalten Sie beim Ausführen eines Berichts keine Ergebnisse.

Führen Sie den folgenden Shell-Befehl aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren.

Set-Mailbox <Identity> -AuditEnabled $true

Führen Sie beispielsweise den folgenden Befehl aus, um die Postfachüberwachung für einen Benutzer mit dem Namen Florence Flipo zu aktivieren.

Set-Mailbox "Florence Flipo" -AuditEnabled $true

Führen Sie folgende Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrer Organisation zu aktivieren.

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}

Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass Sie die Postfachüberwachungsprotokollierung erfolgreich konfiguriert haben.

Get-Mailbox | FL Name,AuditEnabled

Durch Festlegen der Eigenschaft AuditEnabled auf True wird sichergestellt, dass die Überwachungsprotokollierung aktiviert ist.

Zurück zum Seitenanfang

  1. Navigieren Sie in der Exchange-Verwaltungskonsole zu Verwaltung der Richtlinientreue > Überwachung.

  2. Klicken Sie auf Bericht für Nicht-Besitzer-Postfachzugriff ausführen.

    Standardmäßig wird der Bericht zu Nicht-Besitzer-Zugriffen auf Postfächer in der Organisation für den Zeitraum der letzten zwei Wochen ausgeführt. Für die in den Suchergebnissen aufgeführten Postfächer wurde die Postfachüberwachungsprotokollierung aktiviert.

  3. Wählen Sie zum Anzeigen von Nicht-Besitzer-Zugriffen für ein bestimmtes Postfach das Postfach in der Liste der Postfächer aus. Sehen Sie sich die Suchergebnisse im Detailbereich an.

TippTipp:
Eingrenzen der Suchergebnisse? Wählen Sie das Startdatum und/oder das Enddatum sowie bestimmte Postfächer aus, die durchsucht werden sollen. Klicken Sie auf Suchen, um den Bericht erneut auszuführen.

Sie können auch den Typ des Nicht-Besitzer-Zugriffs (auch Anmeldetyp genannt) angeben, nach dem gesucht werden soll. Sie haben folgende Möglichkeiten:

  • Alle Nicht-Besitzer   Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation. Umfasst außerdem Zugriffe durch Benutzer außerhalb Ihrer Organisation.

  • Externe Benutzer Dient zum Suchen nach Zugriffen durch Benutzer außerhalb Ihrer Organisation.

  • Administratoren und delegierte Benutzer   Dient zum Suchen nach Zugriffen durch Administratoren und delegierte Benutzer in der Organisation.

  • Administratoren   Dient zum Suchen nach Zugriffen durch Administratoren in der Organisation.

Zurück zum Seitenanfang

Überprüfen Sie den Bereich mit den Suchergebnissen, um sich zu vergewissern, dass Sie erfolgreich einen Bericht für Nicht-Besitzer-Postfachzugriff ausgeführt haben. Postfächer, für die Sie den Bericht ausgeführt haben, werden in diesem Bereich angezeigt. Wenn für ein bestimmtes Postfach keine Ergebnisse angezeigt werden, liegt möglicherweise kein Zugriff durch einen Nicht-Besitzer vor, oder der Nicht-Besitzer-Zugriff hat nicht im angegebenen Datumsbereich stattgefunden. Wie zuvor beschrieben, sollten Sie sich auf jeden Fall vergewissern, dass die Überwachungsprotokollierung für die Postfächer aktiviert wurde, die Sie nach Zugriff durch Nicht-Besitzer durchsuchen möchten.

Zurück zum Seitenanfang

Wenn Sie einen Bericht für Nicht-Besitzer-Postfachzugriff ausführen, werden Einträge aus dem Postfachüberwachungsprotokoll in den Suchergebnissen der Exchange-Verwaltungskonsole angezeigt. Jeder Berichtseintrag enthält folgende Informationen:

  • Angaben zur zugreifenden Person und zur Zugriffszeit

  • Die Aktionen, die durch den Nicht-Besitzer ausgeführt wurden

  • Die betroffene Nachricht und der Speicherort des entsprechenden Ordners

  • Den Status der Aktion

In der folgenden Tabelle sind die von Nicht-Besitzern ausgeführten Aktionen aufgelistet, die mit der Postfachüberwachungsprotokollierung protokolliert werden können. Ein Ja bedeutet, dass die Aktion für diesen Anmeldetyp protokolliert werden kann. Ein Nein bedeutet, dass eine Aktion nicht protokolliert werden kann. Ein Sternchen (*) gibt an, dass die Aktion standardmäßig protokolliert wird, wenn die Überwachungsprotokollierung für das Postfach aktiviert ist. Wenn Sie Aktionen nachverfolgen möchten, die standardmäßig nicht protokolliert werden, müssen Sie die Protokollierung dieser Aktionen mit PowerShell aktivieren.

HinweisHinweis:
Ein Administrator, dem Vollzugriff für ein Benutzerpostfach gewährt wurde, gilt als delegierter Benutzer.

 

Aktion Beschreibung Administrator Delegierter Benutzer

Kopieren

Eine Nachricht wurde in einen anderen Ordner kopiert.

Ja

Nein

Erstellen

Ein Element wird im Postfachordner „Kalender“, „Kontakte“, „Aufgaben“ oder „Notizen“ erstellt. Beispielsweise wird eine neue Besprechungsanfrage erstellt. Die Erstellung von Nachrichten oder Ordnern wird nicht überwacht.

Ja*

Ja*

FolderBind

Auf einen Postfachordner wurde zugegriffen.

Ja*

Ja

Dauerhaft löschen

Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht.

Ja*

Ja*

MessageBind

Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet.

Ja

Nein

Verschieben

Eine Nachricht wurde in einen anderen Ordner verschoben.

Ja*

Ja

In Ordner "Gelöschte Objekte" verschieben

Eine Nachricht wurde in den Ordner "Gelöschte Objekte" verschoben.

Ja*

Ja

Senden als

Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint.

Ja*

Ja*

Senden im Auftrag von

Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Für den Empfänger ist in der Nachricht angegeben, in wessen Namen die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat.

Ja*

Ja

Vorläufig löschen

Eine Nachricht wurde aus dem Ordner "Gelöschte Objekte" gelöscht.

Ja*

Ja*

Aktualisieren

Eine Nachricht wurde geändert.

Ja*

Ja*

HinweisHinweis:
*  Wird standardmäßig überwacht, wenn die Überwachung für ein Postfach aktiviert wurde.

Zurück zum Seitenanfang

 
Anzeigen: