所有組織預設都會開啟信箱審計日誌功能。 此設定會自動記錄信箱擁有者、委託人及管理員執行的特定操作。 管理員可以在信箱稽核日誌中搜尋對應的信箱稽核紀錄。
預設郵箱稽核的一些好處包括:
- 審核功能會在你建立新信箱時自動開啟。 你不需要為新用戶手動啟用信箱審計。
- 你不需要管理被稽核的信箱操作。 預設每個登入類型 (管理員、委託人(Delegate)和擁有者(Owner) )都會審核一組預先定義的信箱動作。
- 當Microsoft釋出新的信箱動作時,該動作可能會自動加入預設審核的信箱行動清單, (須使用者擁有適當的授權) 。 這個結果代表你不需要在信箱釋出時新增動作。
- 你在整個組織中都有一致的信箱稽核政策,因為你對所有信箱都稽核相同的操作。
確認信箱稽核預設為開啟
要確認您的組織預設開啟信箱稽核功能,請在 Exchange Online PowerShell 執行以下指令:
Get-OrganizationConfig | Format-List AuditDisabled
False 表示該組織預設開啟了信箱稽核功能。 組織中預設開啟的信箱稽核會覆蓋個別信箱的稽核設定。 例如,如果某信箱的 AuditEnabled 屬性為 False) , (AuditEnabled 屬性為 False ,該信箱的預設操作仍會被稽核,因為該組織預設開啟了信箱稽核功能。
為了讓特定信箱的信箱稽核功能被關閉,請為信箱擁有者及其他有授權存取權的使用者設定 信箱審計繞過 功能。 欲了解更多資訊,請參閱本文後面的 繞過信箱稽核日誌 章節。
驗證郵箱層級的稽核狀態
重要事項
當你執行 Get-Mailbox -Identity <MailboxIdentity> | Format-List AuditEnabled時,屬性 AuditEnabled 總是顯示為 True。 這個硬編碼的顯示值並不反映實際的郵箱層級稽核設定。
要驗證實際的信箱稽核狀態,請使用 Filter 以下指令中的參數:
Get-Mailbox -Identity <MailboxIdentity> -Filter "AuditEnabled -eq 'True'"| Format-List
若指令回傳該信箱物件,則啟用信箱層級稽核。 如果指令回傳錯誤表示找不到該物件,則封箱層級的審核將被關閉。
你可以透過執行以下指令來確認這個結果:
Get-Mailbox -Identity <MailboxIdentity> -Filter "AuditEnabled -eq 'False'"| Format-List
如果此指令回傳信箱物件,則確認信箱層級的審計已被停用。
注意事項
當你預設為組織啟用信箱稽核時,受影響信箱的 AuditEnabled 屬性不會從 False 變成 True。 換句話說,郵箱稽核預設會忽略信箱上的 AuditEnabled 屬性。
支援的信箱類型
下表說明信箱稽核預設支援的信箱類型:
| 信箱類型 | 支援審計 | 預設支援開啟 |
|---|---|---|
| Microsoft 365 群組郵箱 | ✔ | ✔ |
| 公用資料夾信箱 | ||
| 資源信箱 | ✔ | |
| 共用信箱 | ✔ | ✔ |
| 使用者信箱 | ✔ | ✔ |
登入類型與信箱操作
登入類型分類了誰負責信箱上經過稽核的操作。 以下列表描述信箱稽核日誌所使用的登入類型:
- 擁有者:信箱擁有者 (與該信箱) 相關聯的帳號。
-
委託人:
- 使用者將 SendAs、SendOnBehalf 或 FullAccess 權限分配給另一個信箱。
- 一位管理員將 FullAccess 權限分配給使用者的信箱。
-
管理員:
- 信箱會使用以下 Microsoft 電子發現工具之一進行搜尋:
- Microsoft Purview 入口網站中的 eDiscovery。
- In-Place Exchange Online 年的電子發現。
- 信箱可透過 Microsoft Exchange Server MAPI 編輯器存取。
- 該信箱是由冒充其他使用者的帳號存取。 當 ApplicationImpersonation 角色被指派給帳號(例如應用程式)時,該帳戶開始主動存取資料,就會發生這種存取。 欲了解更多資訊,請參閱「設定模擬」。
- 信箱會使用以下 Microsoft 電子發現工具之一進行搜尋:
使用者信箱與共享信箱的信箱動作
下表說明了可用於使用者信箱及共用信箱的信箱稽核記錄的信箱操作。
- ) 勾勾 (✔ 表示你可以登入的信箱操作 (並非所有登入類型都) 所有登入方式都可用。
- 勾選後 ( * 星號 ) 表示該登入類型預設已記錄信箱操作。
- 請記住,擁有信箱完全存取權限的管理員被視為委派。
| 郵箱操作 | 描述 | 系統管理員 | 代表 | 擁有者 |
|---|---|---|---|---|
| AddFolderPermissions | 雖然這個值會被接受為信箱動作,但它已經包含在 UpdateFolderPermissions 動作中,且不會被單獨審核。 換句話說,不要使用這個數值。 | |||
| ApplyRecord | 項目會被標註為紀錄。 | ✔* | ✔* | ✔* |
| 附件存取 | 存取了一個訊息附件。 | ✔ | ✔ | ✔ |
| Copy | 郵件已複製到另一個資料夾。 | ✔ | ||
| Create | 例如,在信箱的行事曆、聯絡人、草稿、備忘錄或任務資料夾中建立了一個項目, () 建立了新的會議請求。 建立、傳送或接收郵件的動作並不會受到稽核。 另外,建立信箱資料夾不會被稽核。 | ✔* | ✔* | ✔ |
| 資料夾綁定 | 一個信箱資料夾被存取。 當管理員或委託人打開信箱時,這個動作也會被記錄下來。 注意:代表執行資料夾綁定行動的審計紀錄已合併。 在24小時內,會產生一份審計紀錄,供個別資料夾存取。 |
✔ | ✔ | |
| HardDelete | 一則訊息從可恢復物品資料夾中被清除。 | ✔* | ✔* | ✔* |
| MailboxLogin | 使用者登入了他們的信箱。 | ✔ | ||
| MailItemsAccessed | 當郵件資料被郵件協定和用戶端存取時,會發生這種情況。 | ✔* | ✔* | ✔* |
| 訊息綁定 |
注意:此數值僅適用於 未 持有 E5/A5/G5 授權的使用者。 訊息會在預覽窗格中被查看或由管理員開啟。 |
✔ | ||
| ModifyFolderPermissions | 雖然這個值會被接受為信箱動作,但它已經包含在 UpdateFolderPermissions 動作中,且不會被單獨審核。 換句話說,不要使用這個數值。 | |||
| Move | 郵件已移到另一個資料夾。 | ✔ | ✔ | ✔ |
| MoveToDeletedItems | 一則訊息被刪除並移到已刪除的物品資料夾。 | ✔* | ✔* | ✔* |
| RecordDelete | 標示為紀錄的項目被軟刪除 (移到可恢復項目資料夾) 。 標示為紀錄的項目無法永久刪除 (從可恢復物品資料夾) 中清除。 | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | 雖然這個值會被接受為信箱動作,但它已經包含在 UpdateFolderPermissions 動作中,且不會被單獨審核。 換句話說,不要使用這個數值。 | |||
| 搜尋查詢啟動 | 使用者使用 Outlook (Windows、Mac、iOS、Android 或 Outlook 網頁版) 或郵件應用程式,Windows 10來搜尋信箱中的項目。 | ✔ | ||
| Send | 使用者發送電子郵件、回覆電子郵件或轉寄電子郵件。 | ✔* | ✔* | |
| SendAs | 已使用 [傳送為] 權限傳送郵件。 此權限允許其他使用者將訊息當作來自信箱擁有者發送。 | ✔* | ✔* | |
| SendOnBehalf | 已使用 [代理傳送者] 權限傳送郵件。 此權限允許其他使用者代表信箱擁有者發送訊息。 此郵件會向收件者指出誰代理傳送郵件,以及實際上是誰傳送郵件。 | ✔* | ✔* | |
| SoftDelete | 一則訊息已被永久刪除或從已刪除的項目資料夾中刪除。 軟刪除的項目會移至可恢復項目資料夾。 | ✔* | ✔* | ✔* |
| 更新 | 訊息或其任何屬性改變了。 | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | 一個日曆代表被分配到一個信箱。 行事曆代理可讓其他有相同組織權限的人來管理信箱擁有者的行事曆。 | ✔* | ✔* | |
| UpdateFolderPermissions | 資料夾權限已變更。 資料夾權限可控制組織中的哪些使用者可以存取信箱中的資料夾,以及這些資料夾中的郵件。 | ✔* | ✔* | ✔* |
| UpdateInboxRules | 收件匣規則被新增、移除或更改。 收件匣規則會根據條件處理使用者收件匣中的訊息。 動作則指定對符合規則條件的訊息應如何處理。 例如,將訊息移到指定的資料夾或刪除該訊息。 | ✔* | ✔* | ✔* |
重要事項
如果你自訂信箱操作以在組織預設開啟信箱稽核前進行稽核,自訂的信箱稽核設定會保留在信箱上,且不會被本節所述的預設信箱動作覆蓋。 要將稽核信箱操作恢復為預設值 (可) 隨時進行,請參見本文後面的 「恢復預設信箱操作 」章節。
Microsoft 365 群組信箱的信箱動作
當你開啟信箱稽核時,Microsoft 365 群組信箱會開始記錄信箱稽核資料。 不過,你無法自訂已記錄的資料,也無法新增或移除任何登入類型的信箱操作。
下表說明了 Microsoft 365 群組信箱預設在每種登入類型下記錄的信箱操作。
請記得,擁有 Microsoft 365 群組信箱完全存取權限的管理員被視為代理人。
| 郵箱操作 | 描述 | 系統管理員 | 代表 | 擁有者 |
|---|---|---|---|---|
| Create | 建立行事曆項目。 建立、傳送或接收郵件的動作並不會受到稽核。 | ✔* | ✔* | |
| HardDelete | 一則訊息從可恢復物品資料夾中被清除。 | ✔* | ✔* | ✔* |
| MoveToDeletedItems | 一則訊息被刪除並移到已刪除的物品資料夾。 | ✔* | ✔* | ✔* |
| SendAs | 這是透過使用 SendAs 權限發送的訊息。 | ✔* | ✔* | |
| SendOnBehalf | 一則訊息是透過 SendOnBehalf 權限發送的。 | ✔* | ✔* | |
| SoftDelete | 一則訊息已被永久刪除或從已刪除的項目資料夾中刪除。 軟刪除的項目會移至可恢復項目資料夾。 | ✔* | ✔* | ✔* |
| 更新 | 訊息或其任何屬性改變了。 | ✔* | ✔* | ✔* |
確認每種登入類型都有預設信箱操作的紀錄
當你預設啟用信箱稽核時,系統會在所有信箱中新增 DefaultAuditSet 屬性。 此屬性的價值顯示預設信箱操作 (Microsoft) 是否被審核。
要查看使用者信箱或共享信箱的值,請將 MailboxIdentity> 替換<為信箱的名稱、別名、電子郵件地址或使用者主體名稱 (使用者名稱) ,並在 PowerShell 中執行以下命令Exchange Online:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
要查看 Microsoft 365 群組信箱的值,請將 MailboxIdentity> 替換<為共用信箱的名稱、別名或電子郵件地址,並在 Exchange Online PowerShell 中執行以下指令:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
該價值 Admin, Delegate, Owner 的意義是:
- 系統會稽核三種登入類型的預設信箱操作。 這個數值是你在 Microsoft 365 群組信箱上唯一看到的數值。
- 管理員 沒有 更改使用者信箱或共用信箱上任何登入類型的審核後信箱動作。
如果管理員透過 Set-Mailbox 指令檔) 上的 AuditAdmin、AuditDelegate 或 AuditOwner 參數,更改登入類型 (的信箱操作,屬性值會不同。
例如, Owner 使用者信箱或共用信箱上的 DefaultAuditSet 屬性值表示:
- 信箱擁有者的預設信箱操作會被稽核。
- 經過稽核的信箱與
DelegateAdmin登入類型操作會從預設動作中有所不同。
DefaultAuditSet 屬性的空白值表示使用者信箱或共用信箱中三種登入類型的信箱動作都會被更改。
欲了解更多資訊,請參閱本文中預設 記錄的變更或還原信箱操作 章節。
顯示已記錄在信箱上的信箱操作
若要查看目前已登錄在使用者信箱或共用信箱上的信箱操作,請將 MailboxIdentity> 替換<為該信箱的名稱、別名、電子郵件地址或使用者主體名稱 (使用者名稱) 。 接著在 Exchange Online PowerShell 中執行以下一個或多個指令。
注意事項
雖然你可以在以下 Microsoft 365 群組信箱的 Get-Mailbox 指令中新增開關-GroupMailbox,但不要完全相信回傳的值。 Microsoft 365 群組信箱的預設及靜態信箱操作,已在本文前述的 Microsoft 365 群組信箱操作 章節中說明。
業主行動
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
代表行動
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
管理員操作
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
預設記錄的更改或還原信箱操作
如前所述,預設啟用信箱稽核的主要好處之一是你不需要管理被稽核的信箱操作。 Microsoft 會幫你管理這些動作,並且會自動新增新的信箱動作,預設在發布時進行審核。
然而,您的組織可能需要審核使用者信箱與共享信箱的不同操作。 本節的程序會說明如何更改每個登入類型的信箱操作,以及如何回退回 Microsoft 管理的預設動作。
重要事項
如果你使用以下程序來自訂已登錄在使用者信箱或共享信箱上的信箱動作,Microsoft 發布的任何新預設信箱動作不會自動被這些信箱審核。 你需要手動將任何新的信箱動作加入你自訂的行動清單。
將信箱操作改為稽核
使用 Set-Mailbox 指令檔上的 AuditAdmin、AuditDelegate 或 AuditOwner 參數,變更 Microsoft 審核的使用者信箱與共享信箱的函箱動作。 你無法自訂 Microsoft 365 群組信箱的審核過操作。
請使用兩種不同的方法來指定信箱的操作:
- 請使用以下語法替換 (覆蓋) 現有信箱動作:
action1,action2,...actionN。 - 使用以下語法
@{Add="action1","action2",..."actionN"}:或 。@{Remove="action1","action2",..."actionN"}
以下範例是透過 SoftDelete 和 HardDelete 覆蓋預設動作,改變名為「Gabriela Laureano」的信箱管理員的操作。
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
以下範例將 MailboxLogin 擁有者動作加入至 信箱 laura@contoso.onmicrosoft.com。
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
以下範例移除了團隊討論信箱的 MoveToDeletedItems 委派動作。
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
無論你使用哪種方法,自訂使用者信箱或共用信箱的審核行為,都會有以下結果:
- Microsoft 不再管理你自訂的登入類型經過稽核的信箱操作。
- 你自訂的登入類型不再出現在先前描述的 DefaultAuditSet 信箱屬性值中。
還原預設信箱操作
注意事項
以下程序不適用於 Microsoft 365 群組信箱。 這些信箱僅限於 此處描述的預設動作。
如果您自訂使用者信箱或共用信箱中審計的信箱動作,您可以使用以下語法恢復一種或所有登入類型的預設信箱動作:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
你可以指定多個 DefaultAuditSet 值,並以逗號分隔。
此範例還原了信箱 mark@contoso.onmicrosoft.com上所有登入類型的預設審計操作。
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
此範例恢復了信箱chris@contoso.onmicrosoft.com管理員登入類型的預設審計郵件匣動作,但保留委託人與擁有者登入類型的自訂審核郵件匣動作。
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
恢復登入類型的預設審計信箱操作後,會產生以下結果:
- 目前的信箱操作清單會被預設的登入類型信箱動作取代。
- Microsoft 發布的任何新郵件匣動作都會自動加入登入類型被稽核的行動清單。
- DefaultAuditSet 信箱的屬性值已更新,包含還原的登入類型。
請預設關閉組織的信箱稽核功能
要預設關閉整個組織的信箱稽核,請在 Exchange Online PowerShell 中執行以下指令:
Set-OrganizationConfig -AuditDisabled $true
當你預設關閉信箱稽核時,你會做以下變更:
- 您的組織已關閉信箱稽核功能。
- 從預設開啟信箱稽核開始,即使信箱啟用了信箱稽核,且信箱上的 AuditEnabled 屬性為 True () ,也不會被審核任何信箱操作。
- 新信箱不會啟用信箱稽核功能,且將新信箱或現有信箱的 AuditEnabled 屬性設為 True 也會被忽略。
- 任何使用 Set-MailboxAuditBypassAssociation 指令檔 (設定的郵箱稽核繞過關聯設定) 都會被忽略。
- 現有的信箱稽核紀錄會被保留,直到稽核日誌的年齡限制屆滿為止。
預設開啟信箱稽核功能
要重新啟用信箱稽核功能,請在 Exchange Online PowerShell 中執行以下指令:
Set-OrganizationConfig -AuditDisabled $false
略過信箱稽核記錄
目前,當貴組織預設開啟信箱稽核時,您無法停用特定信箱的信箱稽核。 例如,系統會忽略將 AuditEnabled 郵箱屬性設為 False。
不過,你可以使用 Exchange Online PowerShell 中的 Set-MailboxAuditBypassAssociation 指令檔,防止指定使用者的所有郵件匣操作被記錄,無論這些動作發生在哪裡。 例如:
- 被繞過的使用者執行的信箱擁有者操作不會被記錄。
- 將被繞過的使用者對其他使用者的信箱執行的行動委派 (包括未被記錄) 共用信箱。
- 被繞過的使用者執行的管理員操作不會被記錄。
若要略過特定使用者的信箱稽核記錄,請將 <MailboxIdentity> 取代為使用者的名稱、電子郵件地址、別名或使用者主體名稱 (使用者名稱),然後執行下列命令:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
若要驗證已針對指定的使用者略過稽核,請執行下列命令:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
True 表示使用者會繞過郵箱稽核日誌。
其他相關資訊
預設情況下,信箱稽核日誌紀錄會保留90天,之後才會被刪除。 你可以透過 Exchange Online PowerShell 中 Set-Mailbox 指令檔的 AuditLogAgeLimit 參數,更改稽核日誌記錄的年齡限制。 然而,提高這個數值並不能讓你在稽核日誌中搜尋超過90天的事件。
如果您在預設啟用信箱審計前更改信箱的 AuditLogAgeLimit 屬性,該信箱現有的審核日誌年齡限制保持不變。 換句話說,信箱稽核預設不會影響目前信箱稽核紀錄的年齡限制。
若要更改 Microsoft 365 群組信箱的 AuditLogAgeLimit 值,請在 Set-Mailbox 指令中包含該
-GroupMailbox交換器。信箱稽核日誌紀錄會儲存在每個使用者信箱的 Recoverable Items 資料夾 (名為 Audits) 的子資料夾中。 請留意以下關於信箱稽核紀錄及可回收物品資料夾的事項:
信箱審計紀錄會計入可恢復項目資料夾的儲存配額,預設為 30 GB, (警告配額為 20) 。 當以下情況) ,儲存配額會自動增加到 100 GB, (並有 90 GB 警告配額:
- 你在郵箱上設了暫停。
- 你在 Microsoft Purview 入口網站中將信箱指派到保留政策。
信箱稽核紀錄也會計入 可恢復項目資料夾的資料夾限制。 審計子資料夾中最多可儲存300萬件 (審計記錄) 項目。
注意事項
預設情況下,信箱稽核不太可能影響可恢復項目資料夾的儲存配額或資料夾上限。
你可以在 Exchange Online PowerShell 中執行以下指令,顯示 Recoveryable Items 資料夾中 Audits 子資料夾中的項目大小與數量:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder你無法直接存取 Recoverable Items 資料夾中的稽核日誌紀錄。 相反地,請使用 Search-UnifiedAuditLog 指令檔或搜尋稽核日誌來尋找並查看信箱稽核紀錄。
如果您將信箱暫停或指派為保留政策,審計日誌紀錄仍會依信箱 AuditLogAgeLimit 屬性預設保留 90 天) (。 若要延長保留待置信箱的稽核日誌紀錄,請提高信箱的 AuditLogAgeLimit 值。
在多地理環境下,不支援跨地理郵箱審計。 例如,如果你指派使用者存取不同地理位置的共享信箱權限,使用者執行的信箱操作不會被記錄在該共用信箱的信箱稽核日誌中。 Exchange 管理員稽核事件可透過 Microsoft Purview 及 Search-UnifiedAuditLog 指令檔在所有地點取得。