Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как исследовать действия общих почтовых ящиков с помощью журнала аудита Microsoft Purview и Exchange Online PowerShell. В ней описываются практические шаблоны поиска и шаги по исправлению для поиска удалений, действий, отправленных как, просмотра папок, правил почтового ящика и переадресации изменений, а также других действий делегирования.
Используйте следующие методы для исследования:
- Email удаления из общих почтовых ящиков
- Кто отправлял сообщения из общих почтовых ящиков
- Делегирование действий доступа
- Email перемещается между папками
- Конфигурации переадресации и правил
- Отсутствуют сообщения электронной почты в общих почтовых ящиках
Подготовка к работе
Чтобы исследовать действия общих почтовых ящиков, вам потребуется:
- Роль журналов аудита, назначенная в Microsoft Purview
- Подключение к Exchange Online PowerShell с помощью Connect-ExchangeOnline
Как исследовать действия общих почтовых ящиков
Используйте эти методы для исследования действий в общих почтовых ящиках. Выберите метод в зависимости от типа исследуемого действия.
Поиск удаленных сообщений электронной почты в общих почтовых ящиках
Чтобы найти записи аудита об удалении электронной почты из общего почтового ящика, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
Эта команда выполняет поиск:
- SoftDelete: элементы перемещаются в папку "Удаленные".
- HardDelete: элементы, окончательно удаленные из почтового ящика.
- MoveToDeletedItems: элементы, перемещаемые в удаленные по действиям пользователя.
Поиск сообщений электронной почты, отправленных из общих почтовых ящиков
Чтобы определить, кто отправлял сообщения из общего почтового ящика с помощью делегированных разрешений, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
Поиск сообщений электронной почты между папками
Чтобы найти операции перемещения в общем почтовом ящике, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
Мониторинг доступа к папкам делегатов (FolderBind)
Чтобы отслеживать, когда делегаты просматривают определенные папки в общих почтовых ящиках, выполните следующие действия.
Проверьте конфигурацию FolderBind:
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
Включение аудита FolderBind:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
Выполните поиск действий по просмотру папок:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
Важно!
FolderBind отслеживает только доступ к папкам делегатов и администраторов. Он не регистрирует владельцев общих почтовых ящиков, просматривающих папки. Включите его упреждающе для мониторинга соответствия требованиям и безопасности.
Распространенные варианты использования:
- Мониторинг доступа к конфиденциальным папкам в общих почтовых ящиках руководителей
- Журналы аудита соответствия нормативным требованиям
- Исследования безопасности при несанкционированном просмотре папок
- Делегирование анализа поведения для системы управления
Изучение действий делегированного доступа
Чтобы определить пользователей с делегированными разрешениями для общего почтового ящика, выполните следующую команду:
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
Чтобы найти действия, выполняемые определенным делегатом, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
Важно!
Используйте -UserIds для поиска действий, выполняемых конкретным пользователем-делегатом . Не используйте -UserIds с общим адресом почтового ящика, так как это действие не возвращает действия делегата, выполненные в общем почтовом ящике. Для действий, выполняемых в общем почтовом ящике любым пользователем (включая делегатов), используйте -FreeText параметр, как показано в других разделах.
Мониторинг действий по доступу к электронной почте
Чтобы найти действия по доступу к электронной почте в общих почтовых ящиках, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
Примечание.
Для выполнения этой команды требуется Microsoft 365 E5 лицензирование операций записиMailItemsAccessed.
Поиск конфигурации переадресации электронной почты
Чтобы узнать, кто настроил переадресацию электронной почты в общем почтовом ящике, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
Поиск изменений правил почтовых ящиков
Чтобы найти действия по созданию или изменению правил папки "Входящие", выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
Совет
Подробные инструкции по определению того, кто создал, изменил или удалил правила почтовых ящиков, которые могут повлиять на доставку электронной почты, см. в статье Определение того, кто изменил правила почтового ящика.
Что делать, если поисковые запросы не возвращают результатов
Если поиск по журналу аудита не находит записи о действиях общего почтового ящика, выполните следующие действия, чтобы проверить конфигурацию аудита.
- Проверьте, включен ли аудит на уровне организации.
Get-OrganizationConfig | Select AuditDisabled
- Проверьте, включен ли аудит для конкретного общего почтового ящика.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- Включите аудит, если он отключен.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
Расширенные процедуры
В следующих процедурах показано, как экспортировать результаты аудита и применять распространенные исправления общих почтовых ящиков.
Чтобы включить копирование отправленных элементов в общий почтовый ящик (поэтому отправленные сообщения отображаются в общем почтовом ящике Отправленные элементы), выполните следующую команду:
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
Чтобы удалить переадресацию электронной почты из общего почтового ящика, выполните следующую команду:
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
Краткий справочник
Общие операции аудита для общих почтовых ящиков
| Операция | Описание | Фокус на исследование |
|---|---|---|
| Создание | Созданные или отправленные сообщения электронной почты | действия по созданию Email |
| FolderBind | Делегирование доступа к папкам и просмотра | Отслеживание доступа к определенным папкам |
| HardDelete | Элементы, безвозвратно удаленные | Постоянные удаления из общего почтового ящика |
| MailItemsAccessed | Доступ к элементам почтового ящика | отслеживание доступа Email (требуется E5) |
| Move | Элементы, перемещаемые между папками | Изменения организации папок |
| New-InboxRule | Созданные правила папки "Входящие" | Исследование создания правила |
| SendAs | Сообщения электронной почты, отправленные с помощью разрешений делегата | Определение отправки из общего почтового ящика |
| Set-Mailbox | Параметры почтового ящика изменены | Переадресация и изменения конфигурации |
| SoftDelete | Элементы, перемещенные в папку "Удаленные" | Удаление пользователей из общего почтового ящика |
Ключевые параметры поиска
| Параметр | Описание | Пример |
|---|---|---|
| -Freetext | Действия, выполняемые в определенном почтовом ящике | <shared-mailbox@domain.com> |
| -Операций | Фильтрация по типу операции | SoftDelete,HardDelete,SendAs |
| -ResultSize | Ограничение результатов (максимум 5000) | 500 (стандартный), 1000 (комплексный) |
| -StartDate/-EndDate | Определение периода времени исследования | 01/06/2020, 01/20/2020 |
| -UserIds | Действия, выполняемые определенным пользователем | <delegate@domain.com> |
Важно!
Замените <shared-mailbox@domain.com> и <delegate@domain.com> фактическими адресами электронной почты перед выполнением команд.
Дальнейшие действия
- Управление аудитом почтовых ящиков. Укажите, какие действия общего почтового ящика проверяются для отслеживания необходимых действий.
- Определите, кто удалил сообщение электронной почты или почему отсутствует сообщение электронной почты. Изучите конкретные случаи удаления электронной почты, обнаруженные в действиях с общим почтовым ящиком.
- Экспорт, настройка и просмотр записей журнала аудита. Экспортируйте результаты исследования общего почтового ящика для сохранения доказательств.