本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

啟用 Office 365中的信箱稽核

 

適用版本:Exchange Online

上次修改主題的時間:2017-10-02

在 Office 365 中,您可以開啟信箱稽核記錄,以記錄信箱擁有者、代理人及系統管理員的信箱存取情況。根據預設,Office 365 不會開啟信箱稽核。當您啟用信箱的信箱稽核記錄之後,預設會記錄系統管理員和委派執行的一些動作。若要記錄信箱擁有者執行的動作,您必須指定要稽核的擁有者動作。 若要深入了解,請參閱信箱稽核記錄

步驟 1:使用遠端 PowerShell 連線到 Exchange Online

步驟 2:啟用信箱稽核記錄

指步驟 3:指定要稽核的擁有者動作

(選用) 步驟 4: 變更信箱稽核記錄中項目的保留天數

如何知道這是否正常運作?

信箱稽核記錄所記錄的信箱動作

其他資訊

  • 啟用信箱的信箱稽核記錄時,預設會記錄信箱的存取和某些系統管理員與代理人動作。若要記錄信箱擁有者執行的動作,您必須指定要稽核的擁有者動作。請參閱信箱稽核記錄所記錄的信箱動作章節,以查看信箱在啟用信箱稽核記錄後所記錄的動作清單、各個使用者登入類型可用的動作,以及信箱稽核記錄啟用後必須指定的動作。

  • 啟用信箱稽核記錄之後,您可以搜尋 Office 365 稽核記錄以查看信箱相關的活動。如需詳細資訊,請參閱搜尋 Office 365 安全與規範中心的稽核記錄

  • 根據預設,信箱稽核記錄中的項目會保留期為 90 天。請參閱步驟 4至變更項目的保留期限。

  • 您必須使用遠端 PowerShell 連線至您 Exchange Online 組織以啟用信箱稽核記錄。您無法使用 Exchange 系統管理中心 (EAC)。

  • 獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

  1. 在本機電腦上開啟 Windows PowerShell 並執行下列命令。

    $UserCredential = Get-Credential
    

    [Windows PowerShell 認證要求] 對話方塊中,輸入 Office 365 全域管理員帳戶的使用者名稱和密碼,然後按一下 [確定]。

  2. 執行下列命令。

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
    
  3. 執行下列命令。

    Import-PSSession $Session
    
  4. 若要確認您已連線至 Exchange Online 組織,執行下列命令以取得貴組織中所有信箱的清單:

    Get-Mailbox
    

如需詳細資訊或如果您有連線至Exchange Online組織的問題,請參閱 < Connect to Exchange Online PowerShell

回到頁首

連線到您的 Exchange Online 組織之後,使用 PowerShell 來啟用信箱的信箱稽核記錄。或者,您可以對組織中的所有信箱啟用信箱稽核。

這個範例會啟用 Pilar Pinilla 信箱的信箱稽核記錄。

Set-Mailbox -Identity "Pilar Pinilla" -AuditEnabled $true

此範例會啟用組織中所有使用者信箱的信箱稽核記錄。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

回到頁首

如先前所述,當您啟用信箱的稽核功能時,預設不會稽核信箱擁有者所執行的動作。您必須指定要稽核的擁有者動作。請參閱信箱稽核記錄所記錄的信箱動作一節中的表格,瞭解可以稽核擁有者動作的清單和說明。

本範例指定會針對 Pilar Pinilla 的信箱記錄信箱擁有者所執行的 MailboxLogin 和 HardDelete 動作。本範例假設此信箱已啟用信箱稽核記錄。

Set-Mailbox "Pilar Pinilla" -AuditOwner MailboxLogin,HardDelete

本範例會為 Don Hall 的信箱啟用信箱稽核記錄,並指定將會記錄信箱擁有者所執行的 HardDelete 動作。

Set-Mailbox "Don Hall" -AuditEnabled $true -AuditOwner HardDelete

本範例指定會針對組織中所有信箱的信箱記錄信箱擁有者所執行的 MailboxLogin、HardDelete 和 SoftDelete 動作。本範例假設所有信箱皆已啟用信箱稽核記錄。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner MailboxLogin,HardDelete,SoftDelete

回到頁首

信箱稽核記錄中的項目預設會保留 90 天。超過 90 天的項目就會遭到刪除。您可以使用 Set-Mailbox Cmdlet 來變更此設定,讓項目保留較長 (或較短) 的一段時間。

本範例會將 Pilar Pinilla 信箱中的信箱稽核記錄項目保留天數增加為 180 天。

Set-Mailbox -Identity "Pilar Pinilla" -AuditLogAgeLimit 180

本範例會將組織中所有使用者信箱的信箱稽核記錄項目保留天數減少為 60 天。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditLogAgeLimit 60

回到頁首

若要確認您已成功啟用信箱的信箱稽核記錄,請使用 Get-Mailbox Cmdlet 來擷取該信箱的稽核設定。

此範例會擷取 Pilar Pinilla 的稽核設定。

Get-Mailbox "Pilar Pinilla"| FL Audit*

此範例會擷取您組織中所有使用者信箱的稽核設定。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

AuditEnabled 屬性的值為 True 即可確認稽核記錄已啟用。

回到頁首

下表列出可以信箱所記錄的動作稽核記錄。表格包含可針對不同的使用者登入類型記錄的動作。

附註:

  • 此值會指出巨集指令不會記錄以登入類型。

  • 星號 (*) 會指出動作會記錄的信箱啟用信箱稽核記錄時的預設值。

  • 先前所述,供依預設稽核沒有擁有者動作啟用信箱稽核記錄時。若要記錄信箱擁有者所採取的動作,您必須指定所要稽核的擁有者動作。請參閱步驟 3

  • 獲指派使用者信箱「完整存取」權限的系統管理員會被視為委派使用者。

 

動作 描述 管理員 代理人 擁有者

Copy

郵件已複製到另一個資料夾。

Create

在信箱的 [行事曆]、[連絡人]、[記事] 或 [工作] 資料夾中建立了項目,例如,建立了新的會議邀請。請注意,郵件或資料夾建立將不予稽核。

是*

是*

FolderBind

已存取信箱資料夾。系統管理員或代理人開啟信箱時也會記錄此動作。

是*

是**

HardDelete

郵件已經從 [可復原的項目] 資料夾清除。

是*

是*

MailboxLogin

使用者已登入其信箱。

是 * * *

MessageBind

在預覽窗格中檢視郵件或將它開啟。

Move

郵件已移到另一個資料夾。

是*

MoveToDeletedItems

郵件已遭刪除並移至 [刪除的郵件] 資料夾。

是*

SendAs

已使用 SendAs 權限傳送郵件。這表示,另一個使用者已傳送郵件,就像此郵件是來自信箱擁有者一樣。

是*

是*

SendOnBehalf

已使用 SendOnBehalf 權限傳送郵件。這表示,另一個使用者已代表信箱擁有者傳送郵件。此郵件會向收件者指示,此郵件是代表誰傳送,以及實際傳送郵件的人是誰。

是*

SoftDelete

郵件已永久刪除或從 [刪除的郵件] 資料夾刪除。虛刪除的項目會移至 [可復原的項目] 資料夾。

是*

是*

Update

郵件或其屬性已變更。

是*

是*

註記注意事項:
*  在啟用信箱的稽核時依預設稽核。
**  合併代理人執行的資料夾繫結動作項目。針對 24 小時時間範圍內的個別資料夾存取產生一個記錄項目。
*** 擁有者登入至信箱的稽核僅適用於 POP3、 IMAP4、 或 OAuth 登入。它不適 NTLM 或 Kerberos 登入至信箱。

如果您不再需要稽核某些信箱動作類型,您應修改信箱的稽核記錄組態以停用這些動作。在達到稽核記錄項目的保留天數之前,不會清除現有的記錄項目。

回到頁首

  • 若要查看信箱稽核記錄中的項目,最簡單的方法是使用 Office 365 安全規範中心 內的 Office 365 活動報告。如需詳細資訊,請參閱搜尋 Office 365 安全與規範中心的稽核記錄

  • 在下列案例中,信箱會被視為只能由系統管理員存取:

  • 啟用信箱的稽核記錄時,也可指定針對各個登入類型 (系統管理員、代理人或擁有者) 將記錄哪些使用者動作 (例如存取、移動或刪除郵件)。

  • 若要停用信箱稽核記錄,請執行下列命令:

    Set-Mailbox -Identity <identity of mailbox> -AuditEnabled $false
    
  • 您也可以匯出信箱稽核記錄,並指定要為一或多個使用者包含項目。報告和稽核記錄中的每個項目都包含有關動作執行者、執行時間、所執行動作,以及動作是否成功的資訊。如需詳細資訊,請參閱匯出信箱稽核記錄

  • 當您執行 Get-Mailbox Cmdlet 時,不會顯示針對各個使用者類型所稽核的所有動作。但是,您可以執行下列命令,以顯示特定使用者登入類型的所有稽核動作。

    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditAdmin
    
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditDelegate
    
    
    Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
    
    

回到頁首

 

LinkedIn Learning 的短圖示 初次使用 Office 365?
探索 LinkedIn Learning 提供的 Office 365 admins and IT pros 免費影片課程。

 
顯示: