Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie diesen Artikel, um Änderungen an Postfachregeln in Exchange Online zu untersuchen. Es wird gezeigt, wie Sie die aktuellen Posteingangs- und Weiterleitungsregeln eines Postfachs anzeigen und das Microsoft Purview-Überwachungsprotokoll durchsuchen, um zu ermitteln, wer diese Regeln erstellt, geändert oder gelöscht hat.
Verwenden Sie diese Methoden, um Folgendes zu untersuchen:
- Änderungen an E-Mail-Weiterleitungsregeln
- Regeln, die dazu führen, dass E-Mails nicht in erwarteten Ordnern angezeigt werden
- Nicht autorisierte Regeländerungen
Bevor Sie beginnen
Um Änderungen an Postfachregeln zu untersuchen, benötigen Sie Folgendes:
- Die in Microsoft Purview zugewiesene Rolle "Überwachungsprotokolle "
- So stellen Sie eine Verbindung mit Exchange Online PowerShell mithilfe von Connect-ExchangeOnline her
Identifizieren von Änderungen an Postfachregeln
Verwenden Sie diese beiden wichtigen Befehle, um Änderungen an Postfachregeln zu untersuchen.
Überprüfen der aktuellen Postfachregeln
Diese Informationen zeigen Folgendes:
- Aktuelle Regelkonfiguration: Regelkonfiguration
- Regelaktionen: Verschieben, Löschen oder Weiterleiten
- Regel status: Aktiviert oder deaktiviert
Führen Sie den folgenden Befehl aus, um zu sehen, welche Regeln derzeit in einem Postfach vorhanden sind:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Suchen nach Überwachungsdatensätzen für Regeländerungen
Diese Suche sucht nach:
- New-InboxRule: Neue Regeln erstellt
- Set-InboxRule: Vorhandene Regeln geändert
- Remove-InboxRule: Regeln gelöscht
Führen Sie den folgenden Befehl aus, um herauszufinden, wer Postfachregeln erstellt, geändert oder gelöscht hat:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Was ist zu tun, wenn Suchvorgänge keine Ergebnisse zurückgeben?
Wenn Ihre Überwachungssuchen keine Regeländerungsdatensätze finden:
- Erweitern Sie den Datumsbereich , um ältere Änderungen zu erfassen:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Aktivieren Sie die Überwachung für zukünftige Regeländerungen:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Kurzübersicht
Wichtige Vorgänge für die Regeluntersuchung
| Vorgang | Beschreibung |
|---|---|
| New-InboxRule | Neue Postfachregel erstellt. |
| Remove-InboxRule | Postfachregel gelöscht. |
| Set-InboxRule | Vorhandene Postfachregel geändert. |
Wichtige Befehle
| Befehl | Zweck |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Überprüfen Sie die aktuelle Regelkonfiguration. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Ermitteln Sie, wer Regeländerungen vorgenommen hat. |
Nächste Schritte
- Verwenden von MailItemsAccessed zum Untersuchen von kompromittierten Konten: Ermitteln Sie, ob nicht autorisierte Regeländerungen auf ein kompromittiertes Konto hinweisen.
- Ermitteln, wer eine E-Mail-Nachricht gelöscht hat oder warum eine E-Mail fehlt: Untersuchen Sie, ob geänderte Regeln zu E-Mail-Löschungen oder fehlenden Nachrichten geführt haben.
- Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen: Exportieren Sie Ihre Regeländerungsergebnisse für die Compliancedokumentation.