Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El registro de auditoría de buzones está activado de forma predeterminada en todas las organizaciones. Esta configuración registra automáticamente determinadas acciones que realizan los propietarios, delegados y administradores del buzón. Los administradores pueden buscar en el registro de auditoría del buzón los registros de auditoría de buzón correspondientes.
Algunas ventajas de la auditoría de buzones de correo en de forma predeterminada incluyen:
- La auditoría se activa automáticamente al crear un nuevo buzón. No es necesario habilitar manualmente la auditoría de buzones para los nuevos usuarios.
- No es necesario administrar las acciones de buzón que se auditan. De forma predeterminada, se audita un conjunto predefinido de acciones de buzón para cada tipo de inicio de sesión (Administración, Delegado y Propietario).
- Cuando Microsoft publica una nueva acción de buzón de correo, es posible que la acción se agregue automáticamente a la lista de acciones de buzón auditadas de forma predeterminada (sujeto a que el usuario tenga la licencia adecuada). Este resultado significa que no es necesario agregar nuevas acciones en los buzones a medida que se publican.
- Tiene una directiva de auditoría de buzones coherente en toda la organización porque está auditando las mismas acciones para todos los buzones de correo.
Comprobar que la auditoría del buzón está activada de forma predeterminada
Para comprobar que la auditoría de buzones activada de forma predeterminada está activada para su organización, ejecute el siguiente comando en Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
El valor False indica que la auditoría de buzones activada de forma predeterminada está activada para la organización. La auditoría de buzones en de forma predeterminada en la organización invalida la configuración de auditoría de buzones en buzones individuales. Por ejemplo, si la auditoría del buzón de correo está desactivada para un buzón (la propiedad AuditEnabled del buzón es False), las acciones predeterminadas del buzón de correo se siguen auditando para el buzón porque la auditoría del buzón está activada de forma predeterminada para la organización.
Para mantener deshabilitada la auditoría de buzones para buzones específicos, configure la omisión de auditoría de buzones para el propietario del buzón y otros usuarios con acceso delegado al buzón. Para obtener más información, vea la sección Omitir registro de auditoría de buzones más adelante en este artículo.
Comprobación del estado de auditoría de nivel de buzón
Importante
Cuando se ejecuta Get-Mailbox -Identity <MailboxIdentity> | Format-List AuditEnabled, la AuditEnabled propiedad siempre se muestra como True. Este valor de visualización codificado de forma rígida no refleja la configuración de auditoría real de nivel de buzón.
Para comprobar el estado de auditoría real del buzón de correo, use el Filter parámetro en el siguiente comando:
Get-Mailbox -Identity <MailboxIdentity> -Filter "AuditEnabled -eq 'True'"| Format-List
Si el comando devuelve el objeto mailbox, se habilita la auditoría de nivel de buzón. Si el comando devuelve un error que indica que no se encontró el objeto, se deshabilita la auditoría de nivel de buzón.
Para confirmar este resultado, ejecute el siguiente comando:
Get-Mailbox -Identity <MailboxIdentity> -Filter "AuditEnabled -eq 'False'"| Format-List
Si este comando devuelve el objeto mailbox, confirma que la auditoría de nivel de buzón está deshabilitada.
Nota:
Al activar la auditoría de buzones de forma predeterminada para la organización, la propiedad AuditEnabled de los buzones afectados no cambia de False a True. En otras palabras, la auditoría de buzones de correo omite de forma predeterminada la propiedad AuditEnabled en los buzones de correo.
Tipos de buzón admitidos
En la tabla siguiente se describen los tipos de buzón que admite la auditoría de buzones de forma predeterminada:
| Tipo de buzón | Auditoría admitida | Activado de forma predeterminada compatible |
|---|---|---|
| Buzones de microsoft 365 group | ✔ | ✔ |
| Buzones de carpetas públicas | ||
| Buzones de recursos | ✔ | |
| Buzones compartidos | ✔ | ✔ |
| Buzones de usuario | ✔ | ✔ |
Tipos de inicio de sesión y acciones de buzón
Los tipos de inicio de sesión clasifican quién es responsable de las acciones auditadas en el buzón. En la lista siguiente se describen los tipos de inicio de sesión que usa el registro de auditoría de buzones:
- Propietario: propietario del buzón (la cuenta asociada al buzón).
-
Delegado:
- Un usuario asignó el permiso SendAs, SendOnBehalf o FullAccess a otro buzón.
- Un administrador asignó el permiso FullAccess al buzón de un usuario.
-
Administración:
- El buzón de correo se busca con una de las siguientes herramientas de Exhibición de documentos electrónicos de Microsoft:
- eDiscovery en el portal de Microsoft Purview.
- In-Place eDiscovery en Exchange Online.
- Se obtiene acceso al buzón mediante el editor de MAPI de Microsoft Exchange Server.
- Se accede al buzón mediante una cuenta que suplanta a otro usuario. Este acceso se produce cuando el rol ApplicationImpersonation se asigna a una cuenta, como una aplicación, que ahora accede activamente a los datos. Para obtener más información, vea Configurar la suplantación.
- El buzón de correo se busca con una de las siguientes herramientas de Exhibición de documentos electrónicos de Microsoft:
Acciones de buzón para buzones de usuario y buzones compartidos
En la tabla siguiente se describen las acciones de buzón que puede usar en el registro de auditoría de buzones de correo para buzones de usuario y buzones compartidos.
- Una marca de verificación (✔) indica la acción de buzón que puede registrar para el tipo de inicio de sesión (no todas las acciones están disponibles para todos los tipos de inicio de sesión).
- Un asterisco ( * ) después de la marca de verificación indica que la acción del buzón se registra de forma predeterminada para el tipo de inicio de sesión.
- Recuerde que un administrador con permiso de acceso completo a un buzón se considera un delegado.
| Acción buzón | Descripción | Admin | Delegado | Owner |
|---|---|---|---|---|
| AddFolderPermissions | Aunque este valor se acepta como una acción de buzón de correo, ya se incluye en la acción UpdateFolderPermissions y no se audita por separado. En otras palabras, no use este valor. | |||
| ApplyRecord | Un elemento se etiqueta como un registro. | ✔* | ✔* | ✔* |
| AttachmentAccess | Se ha accedido a los datos adjuntos de un mensaje. | ✔ | ✔ | ✔ |
| Copy | Se ha copiado un mensaje a otra carpeta. | ✔ | ||
| Crear | Se creó un elemento en la carpeta Calendario, Contactos, Borrador, Notas o Tareas del buzón (por ejemplo, se crea una nueva convocatoria de reunión). No se audita la creación, el envío ni la recepción de un mensaje. Además, no se audita la creación de una carpeta de buzón de correo. | ✔* | ✔* | ✔ |
| FolderBind | Se tuvo acceso a una carpeta de buzón de correo. Esta acción también se registra cuando el administrador o un delegado abren el buzón de correo. Nota: Se consolidan los registros de auditoría de las acciones de enlace de carpeta realizadas por los delegados. Se genera un registro de auditoría para el acceso a carpetas individuales en un período de 24 horas. |
✔ | ✔ | |
| HardDelete | Mensaje purgado de la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
| MailboxLogin | El usuario ha iniciado sesión en su buzón de correo. | ✔ | ||
| MailItemsAccessed | Se produce cuando los clientes y protocolos de correo acceden a los datos de correo. | ✔* | ✔* | ✔* |
| MessageBind |
Nota: Este valor solo está disponible para los usuarios sin licencias E5/A5/G5. Un administrador ha visto un mensaje en el panel de vista previa o lo ha abierto. |
✔ | ||
| ModifyFolderPermissions | Aunque este valor se acepta como una acción de buzón de correo, ya se incluye en la acción UpdateFolderPermissions y no se audita por separado. En otras palabras, no use este valor. | |||
| Move | Se ha movido un mensaje a otra carpeta. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Mensaje eliminado y movido a la carpeta Elementos eliminados. | ✔* | ✔* | ✔* |
| RecordDelete | Un elemento etiquetado como registro se eliminó temporalmente (se movió a la carpeta Elementos recuperables). Los elementos etiquetados como registros no se pueden eliminar permanentemente (purgados de la carpeta Elementos recuperables). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Aunque este valor se acepta como una acción de buzón de correo, ya se incluye en la acción UpdateFolderPermissions y no se audita por separado. En otras palabras, no use este valor. | |||
| SearchQueryInitiated | Una persona usa Outlook (Windows, Mac, iOS, Android o Outlook en la Web) o la aplicación Correo para Windows 10 para buscar elementos en un buzón. | ✔ | ||
| Send | El usuario envía un mensaje de correo electrónico, responde a un mensaje de correo electrónico o reenvía un mensaje de correo electrónico. | ✔* | ✔* | |
| SendAs | Un mensaje se ha enviado con el permiso Enviar como. Este permiso permite a otro usuario enviar el mensaje como si procediera del propietario del buzón. | ✔* | ✔* | |
| SendOnBehalf | Un mensaje se ha enviado con el permiso SendOnBehalf. Este permiso permite que otro usuario envíe el mensaje en nombre del propietario del buzón. El mensaje indica al destinatario a nombre de quién se ha enviado el mensaje y quién lo ha enviado realmente. | ✔* | ✔* | |
| SoftDelete | Mensaje eliminado o eliminado permanentemente de la carpeta Elementos eliminados. Los elementos eliminados de forma temporal se mueven a la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
| Actualizar | Se ha cambiado un mensaje o cualquiera de sus propiedades. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Se asignó una delegación de calendario a un buzón de correo. La delegación de calendario otorga a otra persona en la misma organización permisos para administrar el calendario del propietario del buzón. | ✔* | ✔* | |
| UpdateFolderPermissions | Un permiso de la carpeta se ha cambiado. Los permisos de carpeta controlan qué usuarios de su organización pueden tener acceso las carpetas de un buzón de correo y los mensajes que contienen. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Se agregó, quitó o cambió una regla de bandeja de entrada. Las reglas de bandeja de entrada procesan los mensajes en la Bandeja de entrada del usuario en función de las condiciones. Las acciones especifican qué hacer en los mensajes que coinciden con las condiciones de la regla. Por ejemplo, mueva el mensaje a una carpeta especificada o elimine el mensaje. | ✔* | ✔* | ✔* |
Importante
Si personaliza las acciones del buzón para auditar antes de que la auditoría del buzón de correo esté activada de forma predeterminada en su organización, la configuración de auditoría de buzones personalizada se conserva en el buzón y no se sobrescribe mediante las acciones predeterminadas del buzón descritas en esta sección. Para revertir las acciones del buzón de auditoría a sus valores predeterminados (que puede hacer en cualquier momento), consulte la sección Restaurar las acciones predeterminadas del buzón más adelante en este artículo.
Acciones de buzón para buzones de Microsoft 365 Group
Al activar la auditoría de buzones, los buzones de grupo de Microsoft 365 inician el registro de datos de auditoría de buzones. Sin embargo, no puede personalizar los datos registrados ni agregar ni quitar acciones de buzón para ningún tipo de inicio de sesión.
En la tabla siguiente se describen las acciones de buzón que registran los buzones de Microsoft 365 Group de forma predeterminada para cada tipo de inicio de sesión.
Recuerde que un administrador con permiso de acceso completo para un buzón de correo de grupo de Microsoft 365 se considera un delegado.
| Acción buzón | Descripción | Admin | Delegado | Owner |
|---|---|---|---|---|
| Crear | Creación de un elemento de calendario. No se audita la creación, el envío ni la recepción de un mensaje. | ✔* | ✔* | |
| HardDelete | Mensaje purgado de la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Mensaje eliminado y movido a la carpeta Elementos eliminados. | ✔* | ✔* | ✔* |
| SendAs | Mensaje enviado mediante el permiso SendAs. | ✔* | ✔* | |
| SendOnBehalf | Mensaje enviado mediante el permiso SendOnBehalf. | ✔* | ✔* | |
| SoftDelete | Mensaje eliminado o eliminado permanentemente de la carpeta Elementos eliminados. Los elementos eliminados de forma temporal se mueven a la carpeta Elementos recuperables. | ✔* | ✔* | ✔* |
| Actualizar | Se ha cambiado un mensaje o cualquiera de sus propiedades. | ✔* | ✔* | ✔* |
Compruebe que las acciones predeterminadas del buzón de correo se registran para cada tipo de inicio de sesión.
Al habilitar la auditoría de buzones de forma predeterminada, el sistema agrega una propiedad DefaultAuditSet a todos los buzones. El valor de esta propiedad muestra si las acciones de buzón predeterminadas (administradas por Microsoft) se auditan en el buzón.
Para ver el valor de los buzones de usuario o los buzones compartidos, reemplace <MailboxIdentity> por el nombre, alias, dirección de correo electrónico o nombre principal de usuario (nombre de usuario) del buzón y ejecute el siguiente comando en Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Para ver el valor de los buzones de grupo de Microsoft 365, reemplace <MailboxIdentity> por el nombre, alias o dirección de correo electrónico del buzón compartido y ejecute el siguiente comando en Exchange Online PowerShell:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
El valor Admin, Delegate, Owner significa:
- El sistema audita las acciones predeterminadas del buzón de correo para los tres tipos de inicio de sesión. Este valor es el único valor que se ve en los buzones de Microsoft 365 Group.
- Un administrador no cambió las acciones del buzón auditado para ningún tipo de inicio de sesión en un buzón de usuario o en un buzón compartido.
Si un administrador cambia las acciones de buzón que se auditan para un tipo de inicio de sesión (mediante los parámetros AuditAdmin, AuditDelegate o AuditOwner en el cmdlet Set-Mailbox ), el valor de la propiedad es diferente.
Por ejemplo, el valor Owner de la propiedad DefaultAuditSet en un buzón de usuario o buzón compartido significa:
- Se auditan las acciones predeterminadas del buzón de correo para el propietario del buzón.
- Las acciones de buzón auditadas para los
Delegatetipos de inicio de sesión yAdminse cambian de las acciones predeterminadas.
Un valor en blanco para la propiedad DefaultAuditSet significa que las acciones de buzón de los tres tipos de inicio de sesión se cambian en el buzón de usuario o en un buzón compartido.
Para obtener más información, consulte la sección Cambiar o restaurar acciones de buzón de correo registradas de forma predeterminada en este artículo.
Mostrar las acciones de buzón que han iniciado sesión en los buzones
Para ver las acciones de buzón que han iniciado sesión actualmente en buzones de usuario o buzones compartidos, reemplace <MailboxIdentity> por el nombre, alias, dirección de correo electrónico o nombre principal de usuario (nombre de usuario) del buzón. A continuación, ejecute uno o varios de los siguientes comandos en Exchange Online PowerShell.
Nota:
Aunque puede agregar el -GroupMailbox modificador a los siguientes comandos Get-Mailbox para buzones de Microsoft 365 Group, no confíe en los valores que se devuelven. Las acciones predeterminadas y estáticas de buzón de correo que se auditan para los buzones de microsoft 365 group se describen en la sección Acciones de buzón de correo para buzones de grupo de Microsoft 365 anteriormente en este artículo.
Acciones de propietario
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Acciones de delegación
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
acciones de Administración
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Cambiar o restaurar acciones de buzón registradas de forma predeterminada
Como se explicó anteriormente, una de las principales ventajas de tener la auditoría de buzones activada de forma predeterminada es que no es necesario administrar las acciones de buzón que se auditan. Microsoft administra las acciones automáticamente y agrega automáticamente nuevas acciones de buzón que se auditarán de forma predeterminada a medida que se publiquen.
Sin embargo, es posible que sea necesario que su organización audite un conjunto diferente de acciones de buzón de correo para buzones de usuario y buzones compartidos. Los procedimientos de esta sección muestran cómo cambiar las acciones de buzón que se auditan para cada tipo de inicio de sesión y cómo revertir a las acciones predeterminadas administradas por Microsoft.
Importante
Si usa los procedimientos siguientes para personalizar las acciones de buzón que han iniciado sesión en buzones de usuario o buzones compartidos, las nuevas acciones predeterminadas de buzón publicadas por Microsoft no se auditarán automáticamente en esos buzones. Debe agregar manualmente las nuevas acciones de buzón a la lista personalizada de acciones.
Cambiar las acciones del buzón de correo para auditar
Use los parámetros AuditAdmin, AuditDelegate o AuditOwner en el cmdlet Set-Mailbox para cambiar las acciones de buzón que Microsoft audita para los buzones de usuario y los buzones compartidos. No puede personalizar las acciones auditadas para los buzones de grupo de Microsoft 365.
Use dos métodos diferentes para especificar las acciones del buzón:
-
Reemplace (sobrescriba) las acciones de buzón existentes mediante esta sintaxis:
action1,action2,...actionN. -
Agregue o quite acciones de buzón sin afectar a otros valores existentes mediante esta sintaxis:
@{Add="action1","action2",..."actionN"}o@{Remove="action1","action2",..."actionN"}.
En el ejemplo siguiente se cambian las acciones de buzón de administración para el buzón denominado "Gabriela Laureano" al sobrescribir las acciones predeterminadas con SoftDelete y HardDelete.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
En el ejemplo siguiente se agrega la acción de propietario MailboxLogin al buzón de correo laura@contoso.onmicrosoft.com.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
En el ejemplo siguiente se quita la acción de delegado MoveToDeletedItems para el buzón de team discussion.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Independientemente del método que use, la personalización de las acciones de buzón auditadas en buzones de usuario o buzones compartidos tiene los siguientes resultados:
- Microsoft ya no administra las acciones del buzón auditado para el tipo de inicio de sesión que ha personalizado.
- El tipo de inicio de sesión que ha personalizado ya no aparece en el valor de la propiedad DefaultAuditSet del buzón, como se describió anteriormente.
Restauración de las acciones predeterminadas del buzón
Nota:
Los procedimientos siguientes no se aplican a los buzones de Microsoft 365 Group. Esos buzones están limitados a las acciones predeterminadas que se describen aquí.
Si personaliza las acciones de buzón que se auditan en un buzón de usuario o un buzón compartido, puede restaurar las acciones predeterminadas de buzón de correo para uno o todos los tipos de inicio de sesión mediante esta sintaxis:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Puede especificar varios valores DefaultAuditSet separados por comas.
En este ejemplo se restauran las acciones predeterminadas del buzón auditado para todos los tipos de inicio de sesión en el buzón mark@contoso.onmicrosoft.com.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
En este ejemplo se restauran las acciones de buzón auditadas predeterminadas para el tipo de inicio de sesión Administración en el buzón de correo chris@contoso.onmicrosoft.com, pero se mantienen las acciones de buzón auditadas personalizadas para los tipos de inicio de sesión Delegado y Propietario.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
La restauración de las acciones predeterminadas del buzón auditado para un tipo de inicio de sesión da como resultado los resultados siguientes:
- La lista actual de acciones de buzón se reemplaza por las acciones predeterminadas de buzón para el tipo de inicio de sesión.
- Las nuevas acciones de buzón que Microsoft publique se agregan automáticamente a la lista de acciones auditadas para el tipo de inicio de sesión.
- El valor de la propiedad DefaultAuditSet del buzón de correo se actualiza para incluir el tipo de inicio de sesión restaurado.
Desactivar la auditoría de buzones de correo activada de forma predeterminada para la organización
Para desactivar la auditoría de buzones de correo activada de forma predeterminada para toda la organización, ejecute el siguiente comando en Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $true
Al desactivar la auditoría del buzón de correo activada de forma predeterminada, realiza los siguientes cambios:
- La auditoría de buzones está desactivada para su organización.
- Desde el momento en que desactiva la auditoría de buzones de correo de forma predeterminada, no se audita ninguna acción de buzón, incluso si la auditoría de buzones está habilitada en un buzón (la propiedad AuditEnabled del buzón es True).
- La auditoría de buzones no está activada para los buzones nuevos y se omite la configuración de la propiedad AuditEnabled en un buzón nuevo o existente en True .
- Cualquier configuración de asociación de omisión de auditoría de buzón (configurada mediante el cmdlet Set-MailboxAuditBypassAssociation ) se omite.
- Los registros de auditoría de buzones existentes se conservan hasta que expire el límite de antigüedad del registro de auditoría para el registro.
Activar la auditoría del buzón de correo de forma predeterminada
Para volver a activar la auditoría de buzones para su organización, ejecute el siguiente comando en Exchange Online PowerShell:
Set-OrganizationConfig -AuditDisabled $false
Omita el registro de auditoría de buzones de correo
Actualmente, no puede deshabilitar la auditoría de buzones de correo para buzones específicos cuando la auditoría de buzones está activada de forma predeterminada en la organización. Por ejemplo, el sistema omite la configuración de la propiedad de buzón AuditEnabled en False.
Sin embargo, puede usar el cmdlet Set-MailboxAuditBypassAssociation en Exchange Online PowerShell para evitar que se registren todas las acciones de buzón de correo de los usuarios especificados, independientemente de dónde se produzcan las acciones. Por ejemplo:
- Las acciones de propietario del buzón que realizan los usuarios omitidos no se registran.
- Las acciones de delegación que los usuarios omitidos realizan en los buzones de otros usuarios (incluidos los buzones compartidos) no se registran.
- Administración acciones que realizan los usuarios omitidos no se registran.
Para omitir el registro de auditoría del buzón de un usuario específico, reemplace <MailboxIdentity> por el nombre, la dirección de correo electrónico, el alias o el nombre principal de usuario (nombre de usuario) del usuario y ejecute el siguiente comando:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Para comprobar que se omite la auditoría para el usuario especificado, ejecute el siguiente comando:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
El valor True indica que el registro de auditoría del buzón se omite para el usuario.
Más información
De forma predeterminada, los registros de auditoría de buzones se conservan durante 90 días antes de que se eliminen. Puede cambiar el límite de edad de los registros de auditoría mediante el parámetro AuditLogAgeLimit en el cmdlet Set-Mailbox en Exchange Online PowerShell. Sin embargo, aumentar este valor no permite buscar eventos que tengan más de 90 días en el registro de auditoría.
Si cambia la propiedad AuditLogAgeLimit de un buzón antes de activar la auditoría de buzones de forma predeterminada para la organización, el límite de antigüedad del registro de auditoría existente del buzón permanece sin cambios. En otras palabras, la auditoría de buzones de correo de forma predeterminada no afecta al límite de antigüedad actual de los registros de auditoría de buzones.
Para cambiar el valor AuditLogAgeLimit en un buzón de Microsoft 365 Group, incluya el
-GroupMailboxmodificador en el comando Set-Mailbox .Los registros de auditoría de buzones se almacenan en una subcarpeta (denominada Auditorías) en la carpeta Elementos recuperables del buzón de cada usuario. Tenga en cuenta lo siguiente sobre los registros de auditoría del buzón y la carpeta Elementos recuperables:
Los registros de auditoría de buzones cuentan con la cuota de almacenamiento de la carpeta Elementos recuperables, que es de 30 GB de forma predeterminada (la cuota de advertencia es de 20 GB). La cuota de almacenamiento aumenta automáticamente a 100 GB (con una cuota de advertencia de 90 GB) cuando:
- Colocas una retención en un buzón.
- El buzón se asigna a una directiva de retención en el portal de Microsoft Purview.
Los registros de auditoría de buzones también cuentan con el límite de carpetas de la carpeta Elementos recuperables. Se puede almacenar un máximo de 3 millones de elementos (registros de auditoría) en la subcarpeta Auditorías.
Nota:
Es poco probable que la auditoría del buzón de correo afecte de forma predeterminada a la cuota de almacenamiento o al límite de carpetas de la carpeta Elementos recuperables.
Puede ejecutar el siguiente comando en Exchange Online PowerShell para mostrar el tamaño y el número de elementos en la subcarpeta Auditorías de la carpeta Elementos recuperables:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderNo puede acceder directamente a un registro de auditoría en la carpeta Elementos recuperables. En su lugar, use el cmdlet Search-UnifiedAuditLog o busque en el registro de auditoría para buscar y ver los registros de auditoría del buzón.
Si coloca un buzón en espera o lo asigna a una directiva de retención, los registros de auditoría se conservan durante la duración definida por la propiedad AuditLogAgeLimit del buzón (90 días de forma predeterminada). Para conservar los registros de auditoría durante más tiempo para los buzones en espera, aumente el valor AuditLogAgeLimit del buzón.
En un entorno multigeográfico, no se admite la auditoría entre buzones de correo. Por ejemplo, si asigna permisos de usuario para acceder a un buzón compartido en otra ubicación geográfica, las acciones de buzón que realiza el usuario no se registran en el registro de auditoría de buzones del buzón compartido. Los eventos de auditoría del administrador de Exchange están disponibles para todas las ubicaciones a través de Microsoft Purview y el cmdlet Search-UnifiedAuditLog .