Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Aktivität freigegebener Postfächer mithilfe des Microsoft Purview-Überwachungsprotokolls und Exchange Online PowerShell untersuchen. Es werden praktische Suchmuster und Korrekturschritte zum Suchen von Löschungen, gesendeten Aktivitäten, Ordnerbrowsen, Postfachregel- und Weiterleitungsänderungen und anderen Delegataktionen beschrieben.
Verwenden Sie diese Methoden, um Folgendes zu untersuchen:
- Email löschungen aus freigegebenen Postfächern
- Wer E-Mails aus freigegebenen Postfächern gesendet hat
- Delegieren von Zugriffsaktivitäten
- Email wechselt zwischen Ordnern
- Weiterleitungs- und Regelkonfigurationen
- Fehlende E-Mails in freigegebenen Postfächern
Bevor Sie beginnen
Für die Untersuchung freigegebener Postfachaktivitäten benötigen Sie Folgendes:
- Die in Microsoft Purview zugewiesene Rolle "Überwachungsprotokolle "
- So stellen Sie eine Verbindung mit Exchange Online PowerShell mithilfe von Connect-ExchangeOnline her
Untersuchen von Aktivitäten für freigegebene Postfächer
Verwenden Sie diese Methoden, um Aktivitäten in freigegebenen Postfächern zu untersuchen. Wählen Sie die Methode basierend auf dem Typ der Aktivität aus, die Sie untersuchen.
Suchen nach gelöschten E-Mails in freigegebenen Postfächern
Führen Sie den folgenden Befehl aus, um nach Überwachungsdatensätzen von E-Mail-Löschungen aus einem freigegebenen Postfach zu suchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
Dieser Befehl sucht nach:
- SoftDelete: Elemente, die in den Ordner "Gelöschte Elemente" verschoben wurden.
- HardDelete: Elemente, die dauerhaft aus dem Postfach entfernt wurden.
- MoveToDeletedItems: Elemente, die von der Benutzeraktion in Gelöschte Elemente verschoben wurden.
Suchen nach E-Mails, die von freigegebenen Postfächern gesendet werden
Führen Sie den folgenden Befehl aus, um zu ermitteln, wer E-Mails aus einem freigegebenen Postfach gesendet hat:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
Suchen nach E-Mail-Verschiebungen zwischen Ordnern
Führen Sie den folgenden Befehl aus, um in einem freigegebenen Postfach nach Verschiebungsvorgängen zu suchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
Überwachen des Zugriffs auf Stellvertretungsordner (FolderBind)
Führen Sie die folgenden Schritte aus, um nachzuverfolgen, wann Stellvertretungen bestimmte Ordner in freigegebenen Postfächern durchsuchen:
Überprüfen Sie die FolderBind-Konfiguration:
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
Aktivieren der FolderBind-Überwachung:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
Suchen Sie nach Aktivitäten zum Durchsuchen von Ordnern:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
Wichtig
FolderBind verfolgt nur den Zugriff auf Stellvertretungs- und Administratorordner nach. Besitzer freigegebener Postfächer, die Ordner durchsuchen, werden nicht protokolliert. Aktivieren Sie sie proaktiv für die Compliance- und Sicherheitsüberwachung.
Häufige Anwendungsfälle:
- Überwachen des Zugriffs auf vertrauliche Ordner in freigegebenen Postfächern von Führungskräften
- Compliance-Überwachungspfade für gesetzliche Anforderungen
- Sicherheitsuntersuchungen bei nicht autorisiertem Durchsuchen von Ordnern
- Delegieren der Verhaltensanalyse für Governance
Untersuchen von Delegatzugriffsaktivitäten
Führen Sie den folgenden Befehl aus, um Benutzer mit Stellvertretungsberechtigungen für ein freigegebenes Postfach zu identifizieren:
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
Führen Sie den folgenden Befehl aus, um nach Aktivitäten zu suchen, die von einem bestimmten Delegaten ausgeführt werden:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
Wichtig
Verwenden Sie -UserIds , um Aktivitäten zu suchen, die von einem bestimmten Stellvertretungsbenutzer ausgeführt werden. Verwenden -UserIds Sie nicht mit der adresse des freigegebenen Postfachs, da diese Aktion keine Stellvertretungsaktivitäten zurückgibt, die im freigegebenen Postfach ausgeführt werden. Verwenden Sie für Aktivitäten, die im freigegebenen Postfach von einem beliebigen Benutzer (einschließlich Stellvertretungen) ausgeführt werden, den -FreeText Parameter, wie in anderen Abschnitten gezeigt.
Überwachen von E-Mail-Zugriffsaktivitäten
Führen Sie den folgenden Befehl aus, um nach E-Mail-Zugriffsaktivitäten in freigegebenen Postfächern zu suchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
Hinweis
Dieser Befehl erfordert Microsoft 365 E5 Lizenzierung zum Erfassen MailItemsAccessed von Vorgängen.
Suchen nach Konfiguration der E-Mail-Weiterleitung
Führen Sie den folgenden Befehl aus, um zu ermitteln, wer die E-Mail-Weiterleitung für ein freigegebenes Postfach konfiguriert hat:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
Suchen nach Änderungen an Postfachregeln
Führen Sie den folgenden Befehl aus, um nach Aktivitäten zum Erstellen oder Ändern von Posteingangsregeln zu suchen:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
Tipp
Eine umfassende Untersuchung von Postfachregeln finden Sie unter Ermitteln, wer Postfachregeln geändert hat . Eine ausführliche Anleitung zum Identifizieren von Postfachregeln, die sich auf die Zustellung von E-Mails auswirken können, finden Sie unter Ermitteln, wer Postfachregeln erstellt, geändert oder gelöscht hat.
Was ist zu tun, wenn Suchvorgänge keine Ergebnisse zurückgeben?
Wenn ihre Überwachungsprotokollsuchen keine freigegebenen Postfachaktivitätsdatensätze finden, führen Sie die folgenden Schritte aus, um die Überwachungskonfiguration zu überprüfen.
- Überprüfen Sie, ob die Überwachung auf organization Ebene aktiviert ist.
Get-OrganizationConfig | Select AuditDisabled
- Überprüfen Sie, ob die Überwachung für das bestimmte freigegebene Postfach aktiviert ist.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- Aktivieren Sie die Überwachung, wenn sie deaktiviert ist.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
Erweiterte Verfahren
Die folgenden Verfahren zeigen, wie Überwachungsergebnisse exportiert und allgemeine Korrekturen für freigegebene Postfächer angewendet werden:
Führen Sie den folgenden Befehl aus, um gesendete Elemente zu aktivieren, die in ein freigegebenes Postfach kopiert werden (sodass gesendete E-Mails in freigegebenen Postfächern gesendete Elemente angezeigt werden):
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
Führen Sie den folgenden Befehl aus, um die E-Mail-Weiterleitung aus einem freigegebenen Postfach zu entfernen:
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
Kurzübersicht
Allgemeine Überwachungsvorgänge für freigegebene Postfächer
| Vorgang | Beschreibung | Untersuchungsschwerpunkt |
|---|---|---|
| Erstellen | Erstellte oder gesendete E-Mails | Email-Erstellungsaktivitäten |
| FolderBind | Ordnerzugriff/Durchsuchen delegieren | Überwachen, wer auf bestimmte Ordner zugegriffen hat |
| HardDelete | Elemente endgültig gelöscht | Dauerhafte Löschungen aus einem freigegebenen Postfach |
| MailItemsAccessed | Zugriff auf Postfachelemente | Email Zugriffsnachverfolgung (E5 erforderlich) |
| Move | Zwischen Ordnern verschobene Elemente | Änderungen an ordner organization |
| New-InboxRule | Erstellter Posteingangsregeln | Untersuchung der Regelerstellung |
| SendAs | Mit Stellvertretungsberechtigungen gesendete E-Mails | Identifizieren, wer aus einem freigegebenen Postfach gesendet wurde |
| Set-Mailbox | Postfacheinstellungen geändert | Weiterleitung und Konfigurationsänderungen |
| SoftDelete | Elemente, die in den Ordner "Gelöschte Elemente" verschoben wurden | Löschen von Benutzern aus einem freigegebenen Postfach |
Schlüsselsuchparameter
| Parameter | Beschreibung | Beispiel |
|---|---|---|
| -Freetext | Aktivitäten, die in einem bestimmten Postfach ausgeführt werden | <shared-mailbox@domain.com> |
| -Operationen | Filtern nach Vorgangstyp | SoftDelete,HardDelete,SendAs |
| -ResultSize | Einschränken der Ergebnisse (max. 5.000) | 500 (Standard), 1000 (umfassend) |
| -StartDate/-EndDate | Definieren des Untersuchungszeitrahmens | 01/06/2020, 01/20/2020 |
| -UserIds | Aktivitäten, die von einem bestimmten Benutzer ausgeführt werden | <delegate@domain.com> |
Wichtig
Ersetzen Sie <shared-mailbox@domain.com> und <delegate@domain.com> durch die tatsächlichen E-Mail-Adressen, bevor Sie Befehle ausführen.
Nächste Schritte
- Verwalten der Postfachüberwachung: Passen Sie an, welche freigegebenen Postfachaktionen überwacht werden, um die benötigten Aktivitäten zu erfassen.
- Ermitteln, wer eine E-Mail-Nachricht gelöscht hat oder warum eine E-Mail fehlt: Untersuchen Sie bestimmte E-Mail-Löschungen, die in der Aktivität für freigegebene Postfächer ermittelt wurden.
- Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen: Exportieren Sie die Untersuchungsergebnisse Ihres freigegebenen Postfachs zur Beweissicherung.