Ausführen eines Berichts zum Postfachzugriff durch Nicht-Besitzer
Der Nicht-Besitzer-Postfachzugriffsbericht im Exchange Admin Center (EAC) listet die Postfächer auf, auf die von einer anderen Person als der Person zugegriffen wird, die das Postfach besitzt. Wenn auf ein Postfach von einem Nicht-Besitzer zugegriffen wird, protokolliert Exchange Informationen zu dieser Aktion. Exchange speichert dieses Postfachüberwachungsprotokoll als eine E-Mail-Nachricht in einem ausgeblendeten Ordner im überwachten Postfach. Der Bericht zeigt Einträge aus diesem Protokoll als Suchergebnisse an und enthält alle Postfächer, auf die von einem Nicht-Besitzer zugegriffen wurde, sowie Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie dazu, ob die Aktionen erfolgreich waren.
Exchange protokolliert bestimmte Aktionen von Nicht-Besitzern, einschließlich Administratoren und Benutzern, denen Berechtigungen für ein Postfach zugewiesen sind (die als delegierte Benutzer bezeichnet werden). Die Suche kann auch auf Benutzer innerhalb oder außerhalb der Organisation eingegrenzt werden. Einträge im Postfachüberwachungsprotokoll werden von Exchange standardmäßig 90 Tage lang aufbewahrt.
Sie aktivieren Postfachüberwachungsprotokollierung in der Exchange-Verwaltungsshell.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten.
Informationen zum Öffnen des EAC finden Sie unter Exchange Admin Center in Exchange Server. Informationen zum Öffnen der Exchange-Verwaltungsshell finden Sie unter Öffnen der Exchange-Verwaltungsshell.
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Um zu sehen, welche Berechtigungen Sie benötigen, lesen Sie den Eintrag "Postfachüberwachungsprotokollierung" im Artikel Messagingrichtlinie und Konformitätsberechtigungen in Exchange Server.
Informationen zu Tastenkombinationen, die für die Verfahren in diesem Artikel gelten, finden Sie unter Tastenkombinationen im Exchange Admin Center.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Schritt 1: Aktivieren der Postfachüberwachungsprotokollierung mithilfe der Exchange-Verwaltungsshell
Die Postfachüberwachungsprotokollierung muss für jedes Postfach aktiviert werden, das in einen Bericht zum Postfachzugriff durch Nicht-Besitzer eingeschlossen werden soll. Ist die Postfachüberwachungsprotokollierung nicht aktiviert, erhalten Sie beim Ausführen eines Berichts keine Ergebnisse.
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die Postfachüberwachungsprotokollierung für ein einzelnes Postfach zu aktivieren:
Set-Mailbox <Identity> -AuditEnabled $true
Führen Sie beispielsweise den folgenden Befehl aus, um die Postfachüberwachung für einen Benutzer mit dem Namen Florence Flipo zu aktivieren.
Set-Mailbox "Florence Flipo" -AuditEnabled $true
Führen Sie die folgenden Befehle aus, um die Postfachüberwachung für alle Benutzerpostfächer in Ihrem organization zu aktivieren:
$UserMailboxes = Get-mailbox -Filter "RecipientTypeDetails -eq 'UserMailbox'"
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Sie die Postfachüberwachungsprotokollierung erfolgreich konfiguriert haben.
Get-Mailbox | Format-List Name,AuditEnabled
Der Wert für True die AuditEnabled-Eigenschaft überprüft, ob die Überwachungsprotokollierung aktiviert ist.
Schritt 2: Verwenden des EAC zum Ausführen eines Postfachzugriffsberichts ohne Besitzer
Navigieren Sie im EAC zu Überwachung der Complianceverwaltung>.
Wählen Sie Run a non-owner mailbox access report (Bericht zum Postfachzugriff ohne Besitzer ausführen) aus.
Standardmäßig fürt Exchange den Bericht zu Nicht-Besitzer-Zugriffen auf Postfächer in der Organisation für den Zeitraum der letzten zwei Wochen aus. Überwachungsprotokollierung wurde für die in den Suchergebnissen aufgeführten Postfächer aktiviert.
Wählen Sie zum Anzeigen von Nicht-Besitzer-Zugriffen für ein bestimmtes Postfach das Postfach in der Liste der Postfächer aus. Sehen Sie sich die Suchergebnisse im Detailbereich an.
Hinweise:
Eingrenzen der Suchergebnisse? Wählen Sie das Startdatum und/oder das Enddatum sowie bestimmte Postfächer aus, die durchsucht werden sollen. Wählen Sie Suchen aus, um den Bericht erneut durchzuführen.
Sie können angeben, dass nach dem Typ des Nicht-Besitzer-Zugriffs (auch Anmeldetyp genannt) gesucht werden soll. Sie haben folgende Möglichkeiten:
Alle Nicht-Besitzer: Suchen Sie in Ihrem organization nach Zugriff durch Administratoren und delegierte Benutzer. Umfasst außerdem Zugriffe durch Benutzer außerhalb Ihrer Organisation.
Externe Benutzer: Suchen Sie nach Dem Zugriff durch Benutzer außerhalb Ihrer organization.
Administratoren und delegierte Benutzer: Suchen Sie innerhalb Ihrer organization nach Zugriff durch Administratoren und delegierte Benutzer.
Administratoren: Suchen Sie in Ihrem organization nach Zugriff durch Administratoren.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Überprüfen Sie den Suchergebnisbereich, um zu überprüfen, ob Sie erfolgreich einen Postfachzugriffsbericht ohne Besitzer ausgeführt haben. Im Ergebnisbereich werden die Postfächer angezeigt, für die Sie den Bericht ausgeführt haben, unabhängig davon, ob es sich um einen einzelnen Benutzer oder eine Gruppe von Postfächern handelt. Wenn es keine Ergebnisse für ein bestimmtes Postfach gibt, war möglicherweise kein Zugriff ohne Besitzer vorhanden, oder es gab keinen Zugriff ohne Besitzer im angegebenen Datumsbereich. Stellen Sie wie zuvor empfohlen sicher, dass Sie die Überwachungsprotokollierung für die Postfächer aktiviert haben, die Sie nach Dem Zugriff durch Nicht-Besitzer suchen möchten.
Was wird im Postfachüberwachungsprotokoll protokolliert?
Wenn Sie einen Postfachzugriffsbericht ohne Besitzer ausführen, werden in den EAC-Suchergebnissen Einträge aus dem Postfachüberwachungsprotokoll angezeigt. Jeder Berichtseintrag enthält folgende Informationen:
Angaben zur zugreifenden Person und zur Zugriffszeit
Die Aktionen, die durch den Nicht-Besitzer ausgeführt wurden
Die betroffene Nachricht und der Speicherort des entsprechenden Ordners
Ob die Aktion erfolgreich war
Die folgende Tabelle enthält Beschreibungen der Typen von protokollierten Aktionen sowie Informationen dazu, ob der Zugriff durch Administratoren und der Zugriff durch delegierte Benutzer für diese Aktionen standardmäßig protokolliert wird. Wenn Sie Aktionen nachverfolgen möchten, die standardmäßig nicht protokolliert werden, müssen Sie die Protokollierung dieser Aktionen in der Exchange-Verwaltungsshell aktivieren.
| Aktion | Beschreibung | Administratoren | Delegierte Benutzer |
|---|---|---|---|
| Update | Eine Nachricht wurde geändert. | Ja | Ja |
| Kopieren | Eine Nachricht wurde in einen anderen Ordner kopiert. | Nein | Nein |
| Verschieben | Eine Nachricht wurde in einen anderen Ordner verschoben. | Ja | Nein |
| In Ordner "Gelöschte Objekte" verschieben | Eine Nachricht wurde in den Ordner "Gelöschte Objekte" verschoben. | Ja | Nein |
| Vorläufig löschen | Eine Nachricht wurde aus dem Ordner "Gelöschte Objekte" gelöscht. | Ja | Ja |
| Dauerhaft löschen | Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. | Ja | Ja |
| FolderBind | Auf einen Postfachordner wurde zugegriffen. | Ja | Nein |
| Senden als | Eine Nachricht wurde mithilfe der SendAs-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht so gesendet hat, dass sie vom Postfachbesitzer zu kommen scheint. | Ja | Ja |
| Senden im Auftrag von | Eine Nachricht wurde mithilfe der SendOnBehalf-Berechtigung gesendet. Das bedeutet, dass ein anderer Benutzer die Nachricht im Namen des Postfachbesitzers gesendet hat. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. | Ja | Nein |
| MessageBind | Eine Nachricht wurde im Vorschaufenster angezeigt oder geöffnet. | Nein | Nein |