在 Exchange Online 中檢視和匯出外部系統管理員稽核記錄

  • 發行項

注意事項

傳統 Exchange 系統管理中心正在全球部署中淘汰。 建議您在Microsoft Purview 合規性入口網站中搜尋稽核記錄。 如需詳細資訊,請參閱在 WW 服務中淘汰傳統 Exchange 系統管理中心在合規性入口網站中搜尋稽核記錄

在Exchange Online中,由 Microsoft 和委派的系統管理員所執行的動作會記錄在系統管理員稽核記錄中。 您可以使用 Exchange 系統管理中心 (EAC) 或Exchange Online PowerShell 來搜尋和檢視稽核記錄專案,以判斷外部系統管理員是否對Exchange Online組織的組態執行任何動作。 您也可以使用 Exchange Online PowerShell 來匯出這些稽核記錄專案。

開始之前有哪些須知?

  • 預估完成時間:這會根據您檢視或匯出系統管理員稽核記錄中的專案而有所不同。 查看每個程式的預估完成時間。

  • 您必須已獲指派權限,才能執行此程序或這些程序。 To see what permissions you need, see the "View-only administrator audit logging" entry in the Feature permissions in Exchange Online topic.

  • 如果您要使用先前稱為 Outlook Web App) 的Outlook 網頁版 (來檢視匯出的專案,您必須在 Outlook 網頁版 中啟用.xml附件。 如需詳細資訊,請參閱設定Outlook 網頁版以允許 XML 附件

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在Exchange Online論壇中尋求協助。

使用 EAC 檢視外部系統管理員稽核記錄報告

預估完成時間:3 分鐘

  1. 移至[合規性管理>稽核],然後按一下[檢視外部系統管理員稽核記錄報告]。 Microsoft 資料中心系統管理員和委派系統管理員在指定的期間內所做的所有設定變更都會顯示,並可使用下列資訊進行排序:

    • 日期:進行組態變更的日期和時間。 日期和時間會以格林威治標準時間 (UTC) 格式儲存。

    • Cmdlet:用來變更組態的 Cmdlet 名稱。

      如果您選取個別的搜尋結果,詳細資料窗格中會顯示下列資訊:

    • 執行 Cmdlet 的日期和時間。

    • 執行 Cmdlet 的使用者。 對於外部系統管理員稽核記錄報告中的所有專案,使用者會識別為系統 管理員,這表示 Microsoft 資料中心系統管理員或外部系統管理員。

    • 所使用的 Cmdlet 參數,以及以 Parameter:Value格式指定的任何值。

  2. 如果您想要列印特定的稽核記錄專案,請在搜尋結果窗格中選取它,然後按一下詳細資料窗格中的 [ 列印 ]。

  3. 若要縮小搜尋範圍,請選擇 [ 開始日期 ] 和 [ 結束日期 ] 下拉式功能表中的日期,然後按一下 [ 搜尋]

使用 Exchange Online PowerShell 檢視外部系統管理員稽核記錄報告中的專案

預估完成時間:3 分鐘

您可以使用 Search-AdminAuditLog Cmdlet 搭配 ExternalAccess 參數,檢視系統管理員稽核記錄中的專案,以取得 Microsoft 資料中心系統管理員和委派系統管理員所執行的動作。

此命令會針對外部系統管理員所執行的 Cmdlet,傳回管理稽核記錄中的所有專案。

Search-AdminAuditLog -ExternalAccess $true

此命令會針對外部系統管理員在 2013 年 9 月 17 日到 2013 年 10 月 2 日之間執行的 Cmdlet,傳回管理稽核記錄中的專案。

Search-AdminAuditLog -ExternalAccess $true -StartDate 09/17/2013 -EndDate 10/02/2013

如需詳細資訊,請 參閱 Search-AdminAuditLog

使用 Exchange Online PowerShell 匯出系統管理員稽核記錄

預估完成時間:大約 24 小時

您可以使用 New-AdminAuditLogSearch Cmdlet 搭配 ExternalAccess 參數,從系統管理員稽核記錄匯出專案,以執行 Microsoft 資料中心系統管理員或委派的系統管理員所執行的動作。 Microsoft Exchange 會擷取系統管理員稽核記錄中由外部系統管理員執行的專案,並將它們儲存到名為 SearchResult.xml 的檔案。 此 XML 檔案會附加至在 24 小時內傳送給指定收件者的電子郵件訊息。

下列命令會針對外部系統管理員在 2013 年 9 月 25 日到 2013 年 10 月 24 日之間執行的 Cmdlet,傳回管理稽核記錄中的專案。 搜尋結果會傳送至 admin@contoso.com 和 pilarp@contoso.com SMTP 位址,並將「外部系統管理員稽核記錄」文字新增至訊息的主旨行。

New-AdminAuditLogSearch -ExternalAccess $true -EndDate 10/24/2013 -StartDate 07/25/2013 -StatusMailRecipients admin@contoso.com,pilarp@contoso.com -Name "External admin audit log"

注意事項

當您包含 ExternalAccess 參數時,匯出的稽核記錄中只會包含 Microsoft 資料中心系統管理員或委派系統管理員所執行動作的專案。 如果您未包含 ExternalAccess 參數,稽核記錄會包含組織中系統管理員和外部系統管理員所執行動作的專案。

若要確認匯出外部系統管理員所執行之系統管理員稽核記錄專案的命令是否成功,並顯示目前系統管理員稽核記錄搜尋的相關資訊,請執行下列命令:

Get-AuditLogSearch | Format-List

其他資訊

  • 在 Microsoft 365 和 Office 365 中,您可以將執行特定系統管理工作的能力委派給 Microsoft 授權的合作夥伴。 這些系統管理員工作包括建立或編輯使用者、重設使用者密碼、管理使用者授權、管理網域,以及將系統管理員許可權指派給組織中的其他使用者。 當您授權合作夥伴擔任此角色時,合作夥伴稱為委派的系統管理員。委派的系統管理員所執行的工作會記錄在系統管理員稽核記錄中。 如先前所述,您可以執行外部系統管理員稽核記錄報告,或使用 New-AdminAuditLogSearch Cmdlet 搭配 ExternalAccess 參數來匯出,來檢視委派系統管理員所執行的動作。

  • 系統管理員稽核記錄會根據Exchange Online PowerShell Cmdlet 記錄特定動作,這些動作是由系統管理員和已獲指派系統管理許可權的使用者所執行。 也會記錄外部系統管理員所執行的動作。 系統管理員稽核記錄中的專案會提供執行的 Cmdlet、使用的參數,以及受影響物件的相關資訊。

  • 系統管理員稽核記錄檔不會記錄以動詞動詞GetSearchTest開頭的 Exchange Online PowerShell Cmdlet 為基礎的任何動作。

  • 稽核記錄項目會保留 90 天的時間。 超過 90 天的項目就會遭到刪除。