易寶典——玩轉O365中的EXO服務之四十九如何知道管理員進行了哪些操做

時間 2019-11-08

標籤寶典 o365 exo 服務之四十九如何知道管理員進行哪些简体版

原文原文鏈接

在企業中除了須要瞭解、跟蹤管理員可能對用戶郵箱的訪問外，還須要跟蹤管理員在郵件組織中進行的設置和操做，以便確認全部行爲合規。而且保證郵件組織的穩定正確運行，以及在出現誤操做或惡意操做時，可以及時進行排查修復故障。對須要追責的事件提供可靠的指引和證據。
數組

所以，在Exchange Online中提供了管理員審覈日誌，用於記錄管理員對組織和收件人配置進行的修改。能夠用於跟蹤誤操做致使事件、肯定惡意操做的行爲、驗證相關操做是否符合合規要求。ide

1、跟蹤管理員對用戶帳戶角色的調整spa

一般狀況下，郵件組織的管理員能夠經過本身的權限對企業中的用戶授予必定管理角色，以便指定用戶得到響應的管理權限。若是未經受權的這類操做，可能將給企業郵件系統帶來維護上的極大困難，影響郵件系統正常運行的穩定性。.net

那麼如何纔能有效瞭解到哪些管理員爲其餘哪些用戶進行過受權呢？這是在進行合規處理以及後續追責方面尤爲須要的。Exchange Online爲使用者提供了管理角色組更改報告，該報告能夠展現管理員對組織中管理角色組成員修改的信息記錄。3d

經過Exchange管理中心（EAC）能夠很方便的導出管理角色組更改報告。在EAC中導航到「合規性管理」，在右側選擇「審覈」，點擊「運行管理員角色組報告」。日誌

在打開的「搜索對管理員角色組的更改」窗口中，指定須要獲取報告的起始日期和結束日期，還能夠經過篩選器指定檢索特定角色組的受權狀況，若是不指定，則會檢索全部角色組的受權狀況。最後點擊「搜索「，將在下方列出符合檢索條件的角色組更改報告。orm

從報告中很容易看出哪一個管理員爲哪一個用戶在何時授予了哪一種管理角色權限。blog

2、利用管理員審覈日誌跟蹤管理員操做事件

若是要想知道更多的管理員操做信息，能夠經過管理員審覈日誌來獲取。ip

對於管理員審覈日誌的獲取有兩個途徑，分別是經過「運行管理員審覈日誌報告」和「導出管理員審覈日誌」。對於「運行管理員審覈日誌報告」能夠查看管理員審覈日誌中有關組織管理員所作的配置更改。而「導出管理員審覈日誌」將會把日誌導出爲一個XML文件，和郵箱審覈日誌相同，Exchange Online會將該XML文件以郵件附件的形式發送到指定用戶郵箱，所以，若是用戶使用OWA做爲客戶端，那麼必須爲其啓用容許OWA附件，具體操做能夠參考《玩轉O365中的EXO服務之四十七怎樣獲取郵箱審覈日誌》（https://blog.51cto.com/liulike/2359471）。

1、確認管理員審覈日誌功能是否已經啓用

在Exchange Online中管理員審覈日誌是默認開啓的，能夠經過Get-AdminAuditLogConfig來確認該功能是否真實啓用。

Get-AdminAuditLogConfig | Format-List AdminAuditLogEnabled

須要注意，在Exchange Online該功能是不能關閉的，但在Exchange Server中該功能能夠經過Set-AdminAuditLogConfig來進行啓用或禁用，如：

Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

在確認已經啓用管理員審覈日誌功能以後就能夠查看或導出管理員審覈日誌了。

2、查看管理員審覈日誌

在EAC中導航到「合規性管理」，在右側選擇「審覈」，點擊「運行管理員審覈日誌報告」。

在「搜索以查看配置更改」窗口中，指定要檢索的日誌的起始日期和終止日期，若是不進行定義則會默認篩選近15日的日誌。點擊「搜索」進行檢索，其結果將會顯示在下方。

3、導出管理員審覈日誌

在EAC中導航到「合規性管理」，在右側選擇「審覈」，點擊「導出管理員審覈日誌」。

指定須要導出日誌的起始日期和結束日期，以及將導出的XML文件發送至哪一個指定的用戶郵箱，最後點擊導出便可。

Exchange Online限制該XML的大小不超過10MB，因此在選擇時間區間時，應儘可能精確，默認的時間範圍爲最近15天。另外，Exchange Online的日誌導出通常持續時間較長，因此經過不可能立刻收到郵件，一般爲24小時內發出，但實測也有更爲緩慢的時候，要等到48-72小時或更長。

3、使用PowerShell查詢並導出管理員審覈日誌

若是要使用一些高級或更加精確的篩選，可使用PowerShell來進行操做。好比，默認狀況下只會篩選出1000條目，可是在PowerShell中使用_ResultSize_可指定符合條件的條目返回數。

1、查詢管理員審覈日誌

如要篩選2019年3月7日至2019年3月8日，管理員在系統中對郵箱進行的發送和接收郵件大小限制等操做日誌。可使用Search-AdminAuditLog來進行。

Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

能夠將其返回值賦予一個變量，經過指定查看該數組類型值的元素ID，能夠查看具體的某一條日誌記錄。

$res = Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019

$res[0]

能夠經過該日誌記錄的各屬性查看具體信息。

$res[0].CmdletParameters

2、導出管理員審覈日誌

能夠經過New-AdminAuditLogSearch建立導出管理員審覈日誌。

New-AdminAuditLogSearch -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 03/07/2019 -EndDate 03/08/2019 -StatusMailRecipients admin@lpwr.net -Name "Mail limit Setting 20190308"

一樣，該操做Exchange Online在執行完成後，將會把符合篩選條件的日誌條目以XML文件附件方式發送到指定的郵箱中，時間一樣爲24小時內。所以須要較長的等待，而且XML文件的大小會被限制在10MB之內。