Использование PowerShell для аудита отчетов в Exchange Online

Устаревшие Exchange Online защиты от потери данных в Центре администрирования Exchange устарели.

Используйте ведение журнала аудита для устранения неполадок конфигурации путем отслеживания конкретных изменений, внесенных администраторами, и для обеспечения соответствия нормативным требованиям, нормативным требованиям и требованиям для судебного разбирательства. Exchange Online или автономная Exchange Online Protection (EOP) без Exchange Online почтовых ящиков предоставляет два типа ведения журнала аудита:

• Ведение журнала аудита управления. Записывает любое действие на основе Exchange Online PowerShell или автономного командлета PowerShell Exchange Online Protection, выполняемого администратором. Эти записи помогут устранить проблемы с конфигурацией или определить причину проблем, связанных с безопасностью или соответствием требованиям. Действия, выполняемые администраторами центров обработки данных Майкрософт и делегированными администраторами, также записываются в Exchange Online.

• Ведение журнала аудита почтового ящика (только Exchange Online): записывает, когда к почтовому ящику обращается администратор, делегированный пользователь или лицо, которому принадлежит почтовый ящик. Таким образом, можно определить, кто обращался к почтовому ящику, и какие действия были произведены.

Экспорт журналов аудита

Возможности комплексного аудита будут прекращены в новом Центре администрирования Exchange, но вы по-прежнему можете экспортировать журнал управления и журнал аудита почтовых ящиков с помощью командлетов PowerShell.

• Экспорт журнала аудита управления. Любое действие, выполняемое администратором на основе Exchange Online PowerShell или автономного командлета Exchange Online Protection PowerShell, которое не начинается с команд Get, Search или Test, регистрируется в журнале управления. В записях журнала аудита указывается запущенный командлет, его параметры и их значения, а также успешность выполнения. Записи об изменениях конфигурации в организации можно экспортировать из журналов управления. Записи журнала сохраняются в XML-файле, а файл отправляется в виде вложения указанным пользователям в течение 24 часов по электронной почте. Дополнительные сведения см. в разделе:

  • Поиск изменений группы ролей или журналов управления

  • Просмотр и экспорт журнала внешнего управления (только Exchange Online)

    Примечание.

    По умолчанию записи журнала управления хранятся в течение 90 дней. Когда срок хранения записи превышает 90 дней, она удаляется. Этот параметр невозможно изменить в облачной организации. Но его можно изменить в локальной организации Exchange с помощью командлета Set-AdminAuditLog.

  Чтобы экспортировать журнал управления, выполните следующий командлет:

  Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId
  

• Экспорт журналов аудита почтовых ящиков. Если ведение журнала аудита почтовых ящиков включено для почтового ящика, Exchange Online сохраняет запись действий, выполненных с данными почтовых ящиков невладельцами, в журнале аудита почтовых ящиков, который хранится в скрытой папке в проверяемом почтовом ящике. Записи в этом журнале указывают, кто получил доступ к почтовому ящику, когда было выполнено действие, а также успешно ли выполнено действие. Записи доступа, не являющиеся владельцем, можно экспортировать из журналов почтовых ящиков. Записи журнала сохраняются в XML-файле и присоединяются к сообщению электронной почты и отправляются указанным пользователям в течение 24 часов. Дополнительные сведения см. в статье Экспорт журналов аудита почтовых ящиков.

  Чтобы экспортировать журнал аудита почтового ящика, используйте следующий командлет:

  Get-MailboxRegionalConfiguration; New-MailboxAuditLogSearch -StartDate '<DateTime>' -EndDate '<dateTime>' -Mailboxes @(<MailIds of enquired mailboxes>) -LogonTypes @(<List of Strings>) -StatusMailRecipients @(<MailIds of Recipients>) -ShowDetails 'True' 
  

Настройка Outlook в Интернете разрешения XML-вложений

При экспорте журнала аудита почтового ящика или журнала управления журнал вложен в сообщение электронной почты в виде XML-файла. Однако по умолчанию XML-вложения блокируются в Outlook в Интернете (прежнее название — Outlook Web App). Если вы хотите использовать Outlook в Интернете для доступа к экспортируемым журналам аудита, необходимо настроить Outlook в Интернете, чтобы разрешить XML-вложения.

В Exchange Online PowerShell или автономной Exchange Online Protection PowerShell выполните следующую команду, чтобы разрешить XML-вложения в Outlook в Интернете:

Set-OwaMailboxPolicy -Identity Default -AllowedFileTypes @{Add=".xml"}

Подробные сведения о синтаксисе и параметрах см. в разделе Set-OwaMailboxPolicy.

Запуск отчетов аудита

Администраторы могут эффективно управлять и отслеживать системные действия, а также обеспечивать соответствие требованиям и стандартам безопасности с помощью определенных командлетов. Эти командлеты обеспечивают необходимый контроль и видимость для администраторов, что позволяет им эффективно отслеживать действия пользователей в системе и управлять ими.

• Запуск отчета о доступе к почтовому ящику, не являющегося владельцем. Используйте этот отчет для поиска в административных журналах почтовых ящиков, открытых кем-либо, кроме владельца почтового ящика. Дополнительные сведения см. в статье Запуск отчета о доступе к почтовому ящику, не являющихся владельцем.

  Важно!

  Необходимо включить аудит для каждого почтового ящика, для которого требуется сообщить об открытии, не являющемся владельцем. При запуске отчета вы не сможете увидеть результаты для почтовых ящиков, для которых не включено ведение журнала.

  Используйте следующий командлет для запуска отчета о доступе к почтовым ящикам, не являющихся владельцем:

  Search-MailboxAuditLog -StartDate '<DateTime>' -EndDate '<DateTime>' -LogonTypes @(<List of Types>) -identity 'sharedmailbox' -showDetails:$true -resultSize 501 
  

• Запуск отчета о группе ролей администратора. Используйте этот отчет для поиска изменений, внесенных в группы ролей, в журнале администрирования (группы ролей используются для назначения разрешений администратора пользователям). Дополнительные сведения см. в разделе Поиск изменений в группе ролей.

  Используйте следующий командлет, чтобы запустить отчет о группе ролей администратора:

  Search-AdminAuditLog -IsSuccess:$true -Cmdlets @('Add-RoleGroupMember','Remove-RoleGroupMember','Update-RoleGroupMember','New-RoleGroup','Remove-RoleGroup') -StartDate '<DateTime>' -EndDate '<DateTime>' -ObjectIds @(<ObjectIds of Role Groups>) -resultSize 501 
  

• Запуск локального отчета об обнаружении электронных данных и хранении. Используйте этот отчет для поиска в журнале управления поиска локального обнаружения и изменений в удержании на месте. Дополнительные сведения:

  • Хранение на месте и хранение для судебного разбирательства
  • Обнаружение электронных данных на месте

  Используйте следующий командлет для запуска локального отчета об обнаружении электронных данных и хранении:

  Search-AdminAuditLog -Cmdlets @('New-MailboxSearch', 'Start-MailboxSearch', 'Get-MailboxSearch', 'Stop-MailboxSearch', 'Remove-MailboxSearch', 'Set-MailboxSearch') -StartDate '<DateTime>' -EndDate '<DateTime>' -UserIds <UserIds> -IsSuccess $true
  

• Запуск отчета о неработающем процедурном удержании почтового ящика: используйте этот отчет, чтобы определить, включено ли процедурное удержание почтового ящика пользователя из журнала управления. Дополнительные сведения см. в статье Запуск отчета о неработаемом процедурном удержании почтового ящика.

  Используйте следующий командлет, чтобы запустить отчет о неработаемом процедурном удержании почтового ящика:

  Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters LitigationHoldEnabled -StartDate <DateTime> -EndDate <DateTime> -UserIds <UserIds> -IsSuccess $true 
  

• Запустите отчет журнала управления. Используйте этот отчет для просмотра записей в журнале управления, в которых показано, какие изменения администраторы организации внесли в конфигурацию. Дополнительные сведения см. в разделе Просмотр журнала управления.

  Используйте следующий командлет, чтобы запустить отчет журнала управления:

  Get-MailboxRegionalConfiguration; Get the list of configuration changes: Search-AdminAuditLog -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$false -ResultSize 500; Get details about each change: Search-AdminAuditLog -StartDate <DateTime> -Cmdlets <cmdlet Name> -ObjectIds <ObjectId>  
  

• Запуск отчета по журналу внешнего управления. Используйте этот отчет для просмотра записей в журнале администрирования, в которых отображаются изменения, внесенные корпорацией Майкрософт или делегированным администратором в конфигурацию служб Exchange Online. Дополнительные сведения см. в разделе Просмотр и экспорт журнала внешнего управления.

  Используйте следующий командлет, чтобы запустить отчет по журналу внешнего управления:

  Search-AdminAuditLog -IsSuccess:$true -StartDate <DateTime> -EndDate <DateTime> -ExternalAccess:$true -ObjectIds <ObjectId> -Cmdlets <Cmdlet Name> -resultSize 501
  

^* Этот отчет доступен в автономных организациях EOP.

Настройка ведения журнала аудита почтовых ящиков

С января 2019 г. ведение журнала аудита почтовых ящиков по умолчанию включено для всех Exchange Online организаций. Дополнительные сведения см. в статье Управление аудитом почтовых ящиков.

Предоставление пользователям доступ к отчетам аудита

По умолчанию администраторы могут получать доступ к любым отчетам аудита и запускать их с помощью указанных выше командлетов . При этом другим пользователям, например юристам или делопроизводителям, также можно назначить нужные разрешения.

• Роль Журналы аудита позволяет пользователям просматривать страницу Аудит для запуска любых доступных отчетов, экспорта журнала аудита почтовых ящиков, а также экспорта и просмотра журнала управления. По умолчанию эта роль назначается группам ролей "Управление организацией", "Управление соответствием требованиям" и "Управление записями ".
• Роль Журналы аудита только для просмотра позволяет пользователю запускать отчеты аудита, но не экспортировать журналы аудита. По умолчанию эта роль назначается группам ролей "Управление организацией " и "Управление соответствием требованиям ".

Самый простой способ предоставить пользователям доступ к отчетам — добавить их в группу ролей Управление записями , которой назначена роль Журналы аудита .

Добавление пользователей в группу ролей "Управление записями" с помощью EAC

1. На новой домашней странице EAC выберите Роли, чтобы развернуть, а затем щелкните Администратор Роли.

2. В списке групп ролей щелкните Управление записями. Откроется область сведений об управлении записями .

3. Нажмите кнопку Назначено , а затем нажмите кнопку Добавить Чтобы добавить новых участников.

4. Укажите пользователя в диалоговом окне Выбрать членов группы. Вы можете выполнить поиск пользователя, введя все или часть отображаемого имени, а затем щелкнув Можно также отсортировать список, щелкнув заголовок столбца Имя или Отображаемое имя.

5. Щелкните Добавить а затем нажмите кнопку ОК , чтобы вернуться на страницу группы ролей.

6. Нажмите кнопку Сохранить, чтобы сохранить изменения в группе ролей.

Добавление пользователей в группу ролей "Управление записями" с помощью PowerShell

В Exchange Online PowerShell или автономной Exchange Online Protection PowerShell замените <Identity> именем, псевдонимом, адресом электронной почты или именем учетной записи пользователя или группы, а затем выполните следующую команду, чтобы назначить пользователю роль журналов аудита:

Add-RoleGroupMember -Identity "Records Management" -Member <Identity>

Дополнительные сведения о синтаксисе и параметрах см. в разделе Add-RoleGroupMember.