Exchange Online 中的日誌記錄

可能的話，建議您使用 Microsoft 365 保留 期就地封存和管理資料，以符合您的合規性需求。 不過，某些組織可能需要使用協力廠商解決方案來接收儲存體或其他案例的電子郵件複本。 設定日誌以將該資料儲存在 Exchange 外部。

日誌記錄的考慮

日誌記錄是 Exchange 中較舊的功能，可將資料移出 Microsoft 365，因此您必須採取額外的預防措施來保護它，並解決此解決方案可能造成的任何重複。 您必須負責監視和追蹤因外部和相依服務而可能發生之日誌信箱的任何未傳遞收據。

當您使用 Microsoft 365 保留和其他將資料保留在租使用者內的 Microsoft Purview 合規性解決方案 時，不會有這些額外的系統管理額外負荷。 作為更現代化的合規性解決方案，它們不限於電子郵件，也可以管理現今的通訊和生產力應用程式陣列，例如 Microsoft Teams。

日誌規則

以下是日誌規則的關鍵要素：

• 日誌規則範圍：定義哪些訊息是由日誌代理程式記錄。
• 日誌收件者：指定您要日誌記錄之收件者的 SMTP 位址。
• 日誌信箱：指定用來收集日誌報表的一或多個信箱。

在Exchange Online中，您可以建立的日誌規則數目有限制。 如需詳細資訊，請參閱 日誌、傳輸和收件匣規則限制。

日誌規則範圍

您可以使用日誌規則只記錄內部訊息、僅限外部訊息或兩者。 下列清單描述這些範圍：

• 僅限內部訊息：將範圍設定為日誌內部訊息的日誌規則，這些訊息會在 Exchange 組織內的收件者之間傳送。
• 僅限外部郵件¹：將範圍設定為日誌外部郵件的日誌規則，這些外部郵件會傳送給收件者或從 Exchange 組織外部的寄件者接收。
• 所有訊息：日誌規則，範圍設定為日誌所有通過貴組織的訊息，不論來源或目的地為何。 其中包括內部和外部範圍中的日誌規則可能已經處理過的訊息。

¹如果寄件者和收件者都位於相同組織的可接受網域中，則即使郵件中的標頭具有 值 anonymous ，訊息也不會接受為外部 x-ms-exchange-crosstenant-authas 。 因此，這些訊息不會記錄為外部。

日誌收件者

您可以藉由指定要日誌記錄之收件者的 SMTP 位址來實作目標日誌規則。 收件者可以是信箱、通訊群組、動態通訊群組、郵件使用者或連絡人。 這些收件者可能受限於法規需求，或是參與收集電子郵件訊息或其他通訊做為辨識項的法律訴訟。 藉由以特定收件者或收件者群組為目標，您可以輕鬆地設定符合貴組織程式且符合法規和法律需求的日誌環境。 僅以需要日誌記錄的特定收件者為目標，也會將儲存體和其他與保留大量資料相關聯的成本降到最低。

您在日誌規則中指定的日誌收件者所傳送或傳送的所有訊息都會以日誌記錄。 如果您將通訊群組指定為日誌收件者，則所有傳送至通訊群組成員或來自通訊群組成員的郵件都會記錄日誌。 如果您未指定日誌收件者，則會記錄所有與日誌規則範圍相符收件者來回傳送的郵件。

日誌記錄信箱

日誌信箱用於收集日誌報告。 您設定日誌信箱的方式取決於組織的原則、法規要求及法律要求。 您可指定一個日誌信箱收集組織內設定之所有日誌規則適用的郵件，也可以針對不同日誌規則或日誌規則集，使用不同的日誌信箱。

您無法將Exchange Online信箱指定為日誌信箱。 您可以將日誌報告傳遞至內部部署封存系統或協力廠商封存服務。 如果您正在執行 Exchange 混合式部署，且信箱在內部部署伺服器和Exchange Online之間分割，您可以將內部部署信箱指定為Exchange Online和內部部署信箱的日誌信箱。

日誌信箱包含敏感性資訊。 您必須保護日誌信箱的安全，因為日誌信箱會收集組織中收件者寄出或收到的郵件。 這些郵件可能會是法律訴訟的一部分，或受到法規要求所管制。 多種法律都要求這些郵件在送到調查單位前，需未經過竄改。 建議您建立原則來管理可存取組織內日誌信箱的人員，限制僅有直接存取需求的個人才能存取日誌信箱。 與您的法律代表諮詢，確定您的日誌解決方案遵守所有您組織應當遵守的法律及法規。

替代日誌記錄信箱

當日志信箱無法使用時，您可能不希望無法傳遞的日誌報表在信箱伺服器的郵件佇列中收集。 您可以改設定替代日誌信箱來存儲這些日誌報告。 替代日誌信箱會將日誌報告接收為非傳遞報表中的附件， (也稱為 NDR 或退回的郵件，) 在日誌信箱或其所在的伺服器拒絕日誌報告傳遞或無法使用時產生。 如同日誌信箱，您無法將Exchange Online信箱指定為替代日誌信箱。

當日志信箱再次可用時，您可以使用 Outlook 中的 [ 再次傳送 ] 功能來提交日誌報告，以傳遞至日誌信箱。

當您設定替代日誌信箱時，所有被拒絕或無法在整個 Exchange 組織中傳遞的日誌報告都會傳遞至替代日誌信箱。 因此，請務必確定替代日誌信箱及其所在的信箱伺服器可以支援許多日誌報表。

因為替代日誌信箱會收集整個Exchange Online組織所有遭拒絕的日誌報告，所以您必須確定這不會違反任何適用于貴組織的法律或法規。 如果法律或法規禁止貴組織允許傳送至不同日誌信箱的日誌報表儲存在相同的替代日誌信箱中，您可能無法設定替代日誌信箱。 請與您的法律代表討論，以判斷您是否可以使用替代日誌信箱。

當您設定替代日誌信箱時，應該使用設定日誌信箱時所使用的相同準則。

日誌報告

日誌報告是日誌代理程式在郵件符合日誌規則，且要提交到日誌記錄信箱時所產生的訊息。 符合日誌規則的原始郵件會原封不動的作為附件，附加到日誌報告中。 日誌報告的內文包含原始郵件的資訊，包括寄件者電子郵件地址、郵件主旨、郵件識別碼以及收件者電子郵件地址。 這也稱為信封日誌記錄，也是 Microsoft 365 和 Office 365 唯一支援的日誌方法。

日誌報告和受 IRM 保護的郵件

執行日誌記錄時，您必須考量日誌報告和受 IRM 保護的郵件。 受 IRM 保護的訊息會影響沒有內建 RMS 支援的協力廠商封存系統的搜尋和探索功能。 在 Microsoft 365 和 Office 365 中，您可以設定日誌報表解密，以將郵件的純文字複本儲存在日誌報表中。 如果加密源自組織，則會解密訊息和附件。 日誌記錄不會解密外部組織加密的專案。

若要為組織啟用日誌報表解密，請完成下列步驟。

1. 在您的本機電腦上，使用在組織中具有全域管理員或合規性系統管理員許可權的公司或學校帳戶，連線到 Exchange Online PowerShell。

2. 執行 Cmdlet Set-IRMConfiguration 以啟用日誌報表解密。

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

JournalReportDecryptionEnabled將 參數設定為 true 以啟用解密。 將 參數設定為 false 以停用解密。

疑難排解

當訊息符合多個日誌規則的範圍時，將會觸發所有相符的規則。

• 如果使用不同的日誌信箱來設定比對規則，則會將日誌報表傳送至每個日誌信箱。
• 如果比對規則全都使用相同的日誌信箱進行設定，則只會將一份日誌報表傳送至日誌信箱。

如果 SMTP MAIL FROM命令中的電子郵件地址位於已在 Exchange Online 中設定為可接受網域的網域，則日誌記錄一律會將訊息識別為內部。 這些訊息包括來自外部來源的詐騙訊息 (訊息，其中 X-MS-Exchange-Organization-AuthAs 標頭值也是匿名) 。 因此，範圍為外部訊息的日誌規則不會由在已接受網域中使用 SMTP MAIL FROM 電子郵件地址的詐騙郵件觸發。

混合式 Exchange 環境中的重複日誌報告案例

在混合式 Exchange 環境中，已知下列案例會產生重複的日誌報表，並根據設計考慮這些報告：

1. 雲端到雲端：任何電子郵件分派的情況都會導致重複的日誌記錄，例如：

   • 郵件) 上的傳輸 (太多收件者。
   • 內部和外部收件者存在於相同的訊息上 – 兩個分叉是針對垃圾郵件/網路釣魚用途而建立的， (一個內部收件者存在，另一個外部收件者存在) 。
   • 雲端未來需要分叉訊息的任何未來需求。

2. 內部部署到雲端：一次當內部部署日誌，一次當雲端日誌時。 您可以在Exchange Online租使用者中實作 PreventDupJournaling 正式發行前小眾測試版來防止這種情況。 若要啟用此正式發行前小眾測試版，您必須向 Microsoft 開啟支援票證。

有問題嗎？ 在 Exchange 論壇中尋求協助。 請造訪論壇：Exchange Online 或 Exchange Online Protection。

如果您無法使用 JournalingReportDNRTo 信箱，請參閱 Exchange Online 中的傳輸和信箱規則未按照預期的方式運作。