Просмотр и экспорт журнала аудита внешнего администратора в Exchange Online
Примечание.
Классический центр администрирования Exchange находится в процессе устаревания при развертывании по всему миру. Рекомендуется выполнить поиск по журналу аудита в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделах Прекращение поддержки классического центра администрирования Exchange в службе WW и Поиск в журнале аудита на портале соответствия требованиям.
В Exchange Online действия, выполняемые корпорацией Майкрософт и делегированными администраторами, регистрируются в журнале аудита администратора. Вы можете использовать Центр администрирования Exchange (EAC) или Exchange Online PowerShell для поиска и просмотра записей журнала аудита, чтобы определить, выполняли ли внешние администраторы какие-либо действия с конфигурацией вашей Exchange Online организации или изменили ее. Вы также можете использовать Exchange Online PowerShell для экспорта этих записей журнала аудита.
Что нужно знать перед началом работы
Предполагаемое время для завершения: зависит от того, просматриваете ли вы записи журнала аудита действий администратора или экспортируете их из него. Предполагаемое время выполнения указывается для каждой процедуры.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Просмотр журнала аудита только администратора" в разделе Разрешения функций в Exchange Online.
Если вы собираетесь использовать Outlook в Интернете (прежнее название — Outlook Web App) для просмотра экспортированных записей, необходимо включить .xml вложения в Outlook в Интернете. Дополнительные сведения см. в разделе Настройка Outlook в Интернете разрешения XML-вложений.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью на форуме Exchange Online.
Просмотр отчета журнала аудита действий внешнего администратора с помощью Центра администрирования Exchange
Предполагаемое время для завершения: 3 минуты
Перейдите в раздел Аудит управления> соответствием и щелкните Просмотреть отчет журнала аудита внешнего администратора. Все изменения конфигурации, внесенные администраторами центра обработки данных Майкрософт и делегированными администраторами в течение указанного периода времени, отображаются и могут быть отсортированы с использованием следующих сведений:
Дата: дата и время изменения конфигурации. Дата и время хранятся в формате времени UTC.
Командлет: имя командлета, который использовался для изменения конфигурации.
Если выбрать отдельный результат, в области сведений отображаются следующие сведения.
Дата и время запуска командлета.
Пользователь, запустивший командлет. Во всех записях в отчете журнала аудита действий внешнего администратора пользователь определяется как администратор и представляет собой администратора центра обработки данных Майкрософт или внешнего администратора.
Использованные параметры командлета, а также их значения в формате Параметр: значение.
Чтобы распечатать определенную запись журнала аудита, выберите ее в области результатов поиска и щелкните Печать в области сведений.
Чтобы сузить поиск, выберите даты в раскрывающихся меню Дата начала и Дата окончания, а затем щелкните Поиск.
Использование Exchange Online PowerShell для просмотра записей в отчете журнала аудита внешнего администратора
Предполагаемое время для завершения: 3 минуты
Командлет Search-AdminAuditLog с параметром ExternalAccess можно использовать для просмотра записей из журнала аудита администратора для действий, выполняемых администраторами центра обработки данных Майкрософт и делегированными администраторами.
Эта команда возвращает все записи в журнале аудита администратора для командлетов, выполняемых внешними администраторами.
Search-AdminAuditLog -ExternalAccess $true
Эта команда возвращает записи в журнале аудита администратора для командлетов, выполняемых внешними администраторами в период с 17 сентября 2013 г. по 2 октября 2013 г.
Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013
Дополнительные сведения см. в разделе Search-AdminAuditLog.
Экспорт журнала аудита администратора с помощью Exchange Online PowerShell
Предполагаемое время для завершения: приблизительно 24 часа
Командлет New-AdminAuditLogSearch с параметром ExternalAccess можно использовать для экспорта записей из журнала аудита администратора для действий, выполняемых администраторами центра обработки данных Майкрософт или делегированными администраторами. Microsoft Exchange извлекает записи в журнале аудита администратора, выполненные внешними администраторами, и сохраняет их в файл с именем SearchResult.xml. Этот XML-файл вкладывается в сообщение электронной почты, которое отправляется указанным получателям в течение 24 часов.
Следующая команда возвращает записи в журнале аудита администратора для командлетов, выполняемых внешними администраторами в период с 25 сентября 2013 г. по 24 октября 2013 г. Результаты поиска отправляются на admin@contoso.com SMTP-адреса и pilarp@contoso.com , а текст "Журнал аудита внешнего администратора" добавляется в строку темы сообщения.
New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"
Примечание.
При включении параметра ExternalAccess в экспортируемый журнал аудита включаются только записи о действиях, выполняемых администратором центра обработки данных Майкрософт или делегированными администраторами. Если не включить параметр ExternalAccess , журнал аудита будет содержать записи о действиях, выполняемых администраторами в организации и внешними администраторами.
Чтобы убедиться, что команда для экспорта записей журнала аудита администратора, выполненная внешними администраторами, прошла успешно, и чтобы отобразить сведения о текущих поисках в журнале аудита администратора, выполните следующую команду:
Get-AuditLogSearch | Format-List
Дополнительные сведения
В Microsoft 365 и Office 365 вы можете делегировать возможность выполнения определенных административных задач авторизованному партнеру Корпорации Майкрософт. Среди этих административных задач — создание или редактирование пользователей, сброс их паролей и управление их лицензиями, управление доменами и назначение разрешений администратора другим пользователям в вашей организации. Когда вы разрешаете партнеру взять на себя эту роль, он называется делегированным администратором. Задачи, выполняемые делегированным администратором, регистрируются в журнале аудита администратора. Как описывалось ранее, действия, которые выполняют полномочные администраторы, можно просмотреть путем запуска отчета журнала аудита действий внешнего администратора или экспортировать с помощью командлета New-AdminAuditLogSearch с параметром ExternalAccess.
В журнале аудита администраторов записываются определенные действия на основе Exchange Online командлетов PowerShell, выполняемые администраторами и пользователями, которым назначены права администратора. В журнале также записываются действия внешних администраторов. В журнале аудита действий администраторов приведены сведения о выполненном командлете, использованных параметрах и измененных объектах.
В журнале аудита администратора не записываются действия, основанные на командлете PowerShell Exchange Online, который начинается с команд Get, Search или Test.
Записи журнала аудита хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется.