Inserimento nel journal in Exchange Online

  • Articolo

Importante

Fare riferimento alla Centro sicurezza Microsoft 365 e alla Portale di conformità di Microsoft Purview per le funzionalità di sicurezza e conformità di Exchange. Non sono più disponibili nella nuova interfaccia di amministrazione di Exchange.

Quando possibile, è consigliabile usare la conservazione di Microsoft 365 per archiviare e gestire i dati sul posto per soddisfare i requisiti di conformità. Tuttavia, alcune organizzazioni potrebbero dover usare una soluzione di terze parti per ricevere una copia di messaggi di posta elettronica per l'archiviazione o altri scenari. Configurare l'inserimento nel journal per archiviare i dati all'esterno di Exchange.

Considerazioni per l'inserimento nel journal

L'inserimento nel journal è una funzionalità precedente di Exchange che sposta i dati all'esterno di Microsoft 365, quindi è necessario prendere precauzioni aggiuntive per proteggerli e risolvere anche eventuali duplicazioni che potrebbero derivare da questa soluzione. Sarà responsabilità dell'utente monitorare e completare eventuali ricevute di mancato recapito alla cassetta postale di inserimento nel journal che possono verificarsi a causa di servizi esterni e dipendenti.

Non si hanno questi costi amministrativi aggiuntivi quando si usano la conservazione di Microsoft 365 e altre soluzioni di conformità di Microsoft Purview che mantengono i dati all'interno del tenant. Come soluzione di conformità più moderna, non sono limitate solo alla posta elettronica, ma possono anche gestire l'attuale gamma di app per la comunicazione e la produttività, ad esempio Microsoft Teams.

Regole del journal

Di seguito sono riportati gli aspetti chiave delle regole del journal:

  • Ambito regola journal: definisce quali messaggi vengono inseriti nel journal dall'agente di inserimento nel journal.
  • Destinatario journal: specifica l'indirizzo SMTP del destinatario da inserire nel journal.
  • Cassetta postale di inserimento nel journal: specifica una o più cassette postali usate per raccogliere i report del journal.

In Exchange Online esiste un limite al numero di regole del journal che è possibile creare. Per informazioni dettagliate, vedere Limiti delle regole journal, trasporto e posta in arrivo.

Ambito delle regole del journal

È possibile utilizzare una regola del journal per inserire nel journal solo messaggi interni, solo messaggi esterni o entrambi. Di seguito vengono descritti questi ambiti:

  • Solo messaggi interni: regole del journal con ambito impostato su messaggi interni del journal inviati tra i destinatari all'interno dell'organizzazione di Exchange.
  • Messaggi esterni solo1: regole del journal con l'ambito impostato su messaggi esterni del journal inviati ai destinatari o ricevuti da mittenti esterni all'organizzazione di Exchange.
  • Tutti i messaggi: regole del journal con ambito impostato su journal tutti i messaggi che passano attraverso l'organizzazione indipendentemente dall'origine o dalla destinazione. In questo ambito sono inclusi i messaggi che possono essere già stati elaborati dalle regole del journal negli ambiti interno ed esterno.

1 Se il mittente e i destinatari si trovano entrambi in domini accettati della stessa organizzazione, i messaggi non vengono rispettati come esterni, anche se l'intestazione x-ms-exchange-crosstenant-authas nei messaggi ha il valore anonymous. Di conseguenza, questi messaggi non vengono inseriti nel journal come esterni.

Destinatario journal

È possibile implementare le regole di inserimento nel journal specificando l'indirizzo SMTP del destinatario journal. Il destinatario può essere una cassetta postale, un gruppo di distribuzione, un gruppo di distribuzione dinamico, un utente di posta elettronica o un contatto. Questi destinatari potrebbero essere soggetti a requisiti normativi oppure coinvolti in procedimenti legali in cui i messaggi di posta elettronica o altre comunicazioni vengono raccolti come prove. Scegliendo destinatari o gruppi di destinatari specifici, è possibile configurare facilmente un ambiente di inserimento nel journal che soddisfi i processi e i requisiti legali e normativi dell'organizzazione. Scegliendo solo i destinatari specifici che devono essere inseriti nel journal è inoltre possibile ridurre i costi di archiviazione e gli altri costi associati alla conservazione di grandi volumi di dati.

Tutti i messaggi inviati agli o dagli utenti specificati in una regola del journal vengono inseriti nel journal. Se si specifica un gruppo di distribuzione come destinatario del journal, tutti i messaggi inviati a e provenienti da membri del gruppo di distribuzione vengono inseriti nel journal. Se non si specifica un destinatario da inserire nel journal, tutti i messaggi inviati o ricevuti dai destinatari che corrispondono all'ambito della regola verranno inseriti nel journal.

Nota

L'indirizzo SMTP specificato per il destinatario del journaling non può contenere caratteri jolly. Ad esempio, l'indirizzo SMTP non può essere elencato come *@contoso.com.

Cassetta del journaling

La cassetta del journaling viene utilizzata per raccogliere i report del journal. La modalità di configurazione della cassetta del journaling dipende dai criteri e dai requisiti legali e normativi dell'organizzazione. È possibile specificare una cassetta del journaling in cui raccogliere i messaggi per tutte le regole del journal configurate nell'organizzazione oppure utilizzare diverse cassette del journaling per regole o gruppi di regole del journal differenti.

Non è possibile designare una cassetta postale Exchange Online come cassetta postale di inserimento nel journal. È possibile recapitare i report del journal al sistema di archiviazione locale o a un servizio di archiviazione di terze parti. Se si esegue una distribuzione ibrida di Exchange con le cassette postali suddivise tra server locali e Exchange Online, è possibile designare una cassetta postale locale come cassetta postale di inserimento nel journal per le cassette postali Exchange Online e locali.

Le cassette postali di inserimento nel journal contengono informazioni riservate. È necessario proteggere le cassette postali di inserimento nel journal poiché raccolgono messaggi inviati a e da destinatari nell'organizzazione. Questi messaggi possono fare parte di procedimenti legali o possono essere soggetti a requisiti normativi. Numerose leggi richiedono che i messaggi non vengano alterati prima di essere inviati all'autorità investigativa. Si consiglia di creare all'interno dell'organizzazione dei criteri per la determinazione degli utenti autorizzati ad accedere alle cassette postali per l'inserimento nel journal, limitando l'accesso solo agli utenti che ne abbiano effettiva necessità. Inoltre, si consiglia di rivolgersi ai propri rappresentanti legali per assicurarsi che la soluzione di inserimento nel journal adottata sia conforme alle leggi e alle normative applicabili all'organizzazione.

Importante

Se è stata configurata una regola di inserimento nel journal per inviare i report del journal a una cassetta postale di inserimento nel journal che non esiste o è una destinazione non valida, il report del journal rimane nella coda di trasporto nei server del data center Microsoft. In questo caso, il personale di datacenter Microsoft tenterà di contattare l'organizzazione e richiedere di risolvere il problema, in modo che i rapporti del journal possono correttamente recapitati alla cassetta postale di inserimento nel journal. Se si non risolto il problema dopo due giorni di contattato, Microsoft disabiliterà la regola di Journal problematico.

Cassetta del journaling alternativa

Quando la cassetta del journaling non è disponibile, è possibile impedire che i rapporti del journal non recapitati vengano raccolti in code di posta elettronica nei server Cassette postali. configurare una cassetta postale per l'inserimento nel journal alternativa per la memorizzazione di tali rapporti. La cassetta postale di inserimento nel journal alternativa riceve i report del journal come allegati nei report di mancato recapito (noti anche come NDR o messaggi di mancato recapito) generati quando la cassetta postale di inserimento nel journal o il server in cui si trova rifiuta il recapito del report journal o diventa non disponibile. Come per la cassetta postale di inserimento nel journal, non è possibile designare una cassetta postale di Exchange Online come cassetta postale di journaling alternativa.

Quando la cassetta postale di inserimento nel journal diventa nuovamente disponibile, è possibile utilizzare la funzionalità Invia di nuovo in Outlook per inviare i report del journal per il recapito alla cassetta postale di inserimento nel journal.

Quando si configura una cassetta postale di inserimento nel journal alternativa, tutti i report del journal che vengono rifiutati o non possono essere recapitati nell'intera organizzazione di Exchange vengono recapitati alla cassetta postale di journaling alternativa. Di conseguenza, è importante assicurarsi che la cassetta postale per l'inserimento nel journal alternativa e il server Cassette postali che la contiene possano supportare molti rapporti del journal.

Attenzione

Una volta configurata una cassetta del journaling alternativa, è necessario monitorare la cassetta postale per assicurarsi che sia sempre disponibile contemporaneamente alle cassette del journaling. Se la cassetta postale per l'inserimento nel journal alternativa diventa non disponibile o nello stesso tempo rifiuta i rapporti del journal, tali rapporti andranno persi e non potranno essere recuperati. A causa dei limiti esistenti per la ricezione della posta elettronica per le cassette postali Exchange Online, la configurazione della cassetta postale di inserimento nel journal alternativa come cassetta postale di Exchange Online non è supportata.

Poiché la cassetta postale di inserimento nel journal alternativa raccoglie tutti i report del journal rifiutati per l'intera organizzazione Exchange Online, è necessario assicurarsi che non violi le leggi o le normative applicabili all'organizzazione. Se determinate legge o normative vietano all'organizzazione di archiviare rapporti del journal inviati a cassette postali per l'inserimento nel journal diverse nella stessa cassetta postale alternativa, la configurazione di una cassetta postale per l'inserimento nel journal alternativa potrebbe non essere consentita. Rivolgersi ai propri rappresentanti legali per sapere se è possibile utilizzare una cassetta postale per l'inserimento nel journal alternativa.

Quando si configura una cassetta postale per l'inserimento nel journal alternativa, è opportuno utilizzare gli stessi criteri utilizzati per configurare la cassetta postale per l'inserimento nel journal.

Importante

La cassetta del journaling alternativa deve essere trattata come una speciale cassetta postale dedicata. Eventuali messaggi indirizzati direttamente a questa cassetta non vengono inseriti nel journal.

Rapporti del journal

Il rapporto del journal è il messaggio generato dall'agente di journaling quando un messaggio è conforme a una regola del journal e deve essere inviato alla cassetta del journal. Il messaggio originale conforme alla regola del journal viene incluso inalterato come allegato al rapporto del journal. Il corpo del rapporto del journal contiene le informazioni ricavate dal messaggio originale, quali l'indirizzo di posta elettronica del mittente, l'oggetto, l'ID messaggio e gli indirizzi di posta elettronica dei destinatari. Questo è anche definito journaling delle buste ed è l'unico metodo di inserimento nel journal supportato da Microsoft 365 e Office 365.

Rapporti del journal e messaggi protetti da IRM

Quando si implementa l'inserimento nel journal, è necessario tenere conto dei rapporti del journal e i messaggi protetti da IRM. I messaggi protetti da IRM influiranno sulle funzionalità di ricerca e individuazione dei sistemi di archiviazione di terze parti che non dispongono del supporto RMS integrato. In Microsoft 365 e Office 365 è possibile configurare la decrittografia del report journal per salvare una copia non crittografato del messaggio in un report journal. I messaggi e gli allegati vengono decrittografati se la crittografia proviene dall'organizzazione. Il journaling non decrittografa gli elementi crittografati da organizzazioni esterne.

Per abilitare la decrittografia del report del journal per l'organizzazione, completare questi passaggi.

  1. Nel computer locale, usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale o amministratore della conformità nell'organizzazione, connettersi a Exchange Online PowerShell.

  2. Eseguire il cmdlet per abilitare la Set-IRMConfiguration decrittografia del report journal.

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Impostare il JournalReportDecryptionEnabled parametro su true per abilitare la decrittografia. Impostare il parametro su false per disabilitare la decrittografia.

Importante

La decrittografia del report del journal non supporta attualmente l'uso esplicito dei modelli di personalizzazione OME. Se si usa una regola del flusso di posta (nota anche come regola di trasporto) per applicare un modello di personalizzazione OME, il report journal non conterrà una copia decrittografata del messaggio. Attualmente, la decrittografia del report del journal funziona solo con il modello di personalizzazione OME predefinito applicato senza una regola del flusso di posta Exchange Online. In altre parole, il modello di personalizzazione applicato da OME in modo implicito nei messaggi.

Risoluzione dei problemi

Quando un messaggio corrisponde all'ambito di più regole del journal, verranno attivate tutte le regole corrispondenti.

  • Se le regole corrispondenti sono configurate con cassette postali del journal diverse, verrà inviato un report journal a ogni cassetta postale del journal.
  • Se tutte le regole corrispondenti sono configurate con la stessa cassetta postale del journal, alla cassetta postale del journal viene inviato un solo report journal.

Il journaling identifica sempre i messaggi come interni se l'indirizzo di posta elettronica nel comando SMTP MAIL FROM si trova in un dominio configurato come dominio accettato in Exchange Online. Questi messaggi includono messaggi di spoofing provenienti da origini esterne (messaggi in cui anche il valore dell'intestazione X-MS-Exchange-Organization-AuthAs è Anonimo). Pertanto, le regole del journal con ambito per i messaggi esterni non verranno attivate da messaggi contraffatti con indirizzi di posta elettronica SMTP MAIL FROM nei domini accettati.

Scenari di report di journal duplicati in un ambiente exchange ibrido

In un ambiente ibrido di Exchange, gli scenari seguenti sono noti per generare report di journal duplicati e questi sono considerati dalla progettazione:

  1. Da cloud a cloud: qualsiasi situazione in cui la posta elettronica viene forkata comporterà un journaling duplicato, ad esempio:

    • Scheggiamento del trasporto (troppi destinatari nel messaggio).
    • Nello stesso messaggio sono presenti destinatari interni ed esterni: vengono creati due fork per scopi di posta indesiderata/phishing (uno in cui sono presenti destinatari interni e uno in cui sono presenti destinatari esterni).
    • Qualsiasi esigenza futura in cui il cloud deve creare il fork del messaggio.

  2. Da locale a cloud: una volta quando i journal locali e una volta quando i journal cloud. Questa operazione può essere evitata implementando il volo PreventDupJournaling in un tenant Exchange Online. Per abilitare questo volo, è necessario aprire un ticket di supporto con Microsoft.

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Online o Exchange Online Protection.

Se si verificano dei problemi con la cassetta postale JournalingReportDNRTo, vedere Le regole di cassetta postale e trasporto in Exchange Online non funzionano come previsto.