易寶典——玩轉O365中的EXO服務之四十六如何啓用審覈功能

時間 2019-11-08

標籤寶典 o365 exo 服務之四十六如何啓用審覈功能简体版

原文原文鏈接

在企業的信息管理中，對於系統穩健和信息安全尤其看重。對於用戶來說，能夠經過配置各類權限、規則和策略來進行約束。那麼具備至關權限乃至徹底權限的管理員呢？又該如何對其進行約束，這就有爲重要了。從「刪庫到跑路」的事件不斷髮生，怎樣才能提早防範管理員哪些操做將會帶來的風險？怎樣才能確認管理員進行了哪些操做，而且這些操做是否合規？怎樣才能在過後及時發現某個問題是因爲管理員的操做致使的呢？安全

很明顯最直接的方法，就是針對每一位管理員的全部敏感操做進行跟蹤，記錄管理員的所做所爲，將這些記錄保存爲日誌，以便後續待查。Exchange Online的審覈功能最大的做用就是進行這些日誌的記錄，所以在Exchange Online中這些日誌就被叫作審覈日誌。ide

1、審覈日誌spa

審覈日誌能夠用來特定跟蹤管理員進行的具體操做，以便進行配置性問題的排查。併爲企業提供合符法規、聽從管理策略，以及與訴訟要求等方面的可靠信息。Exchange Online提供瞭如下兩種類型的審覈日誌記錄：命令行

管理員審覈日誌，記錄管理員基於PowerShell命令行對在Exchange Online進行的全部操做。該日誌能夠用於排查配置問題，或者用於識別與安全性相關或與合規性相關的問題，並進一步發現根本緣由。另外，在Exchange Online中，還會記錄微軟管理員和委派管理員執行的操做。3d

郵箱審覈日誌，記錄了郵箱的訪問狀況。包括管理員、指派用戶，以及郵箱全部者對郵箱的訪問狀況。該日誌用於肯定郵箱在什麼時候被何人訪問過，以及訪問者對郵件進行了哪些操做等。日誌

2、啓用審覈日誌記錄blog

在獲取審覈日誌以前，必須先配置審覈日誌記錄。不然將沒法導出並獲取審覈日誌。事件

爲了監控郵件管理員是否經過本身的特殊權限查看了用戶郵箱中的內容，能夠經過運行非全部者郵箱訪問報告來獲取相關的信息。ip

要讓運行非全部者郵箱訪問報告的郵箱存在內容，必須事先爲每一個須要監控管理員行爲的郵箱啓用郵箱審覈日誌記錄。ci

對於Exchange Online來說啓用審覈日誌記錄目前必須經過Exchange Online PowerShell來完成。而且不能針對於Office 365組相關聯的郵箱啓用審覈（目前在國際版中也不能與Microsoft Teams相關聯的郵箱啓用審覈）。

參考《易寶典文章——玩轉Office 365中的Exchange Online服務之五怎樣利用PSl鏈接Exchange Online實現管理》（https://blog.51cto.com/liulike/1668854）使用PowerShell經過全局管理員登陸到Exchange Online。

1、爲單個郵箱啓用審覈日誌記錄

使用Set-Mailbox爲指定用戶郵箱啓用審覈日誌記錄：

Set-Mailbox -Identity "Zhang San" -AuditEnabled $true

運行完成後，經過Get-Mailbox進行驗證設置是否生效：

Get-Mailbox "Zhang San"| FL Audit*

2、爲全部郵箱啓用審覈日誌記錄

一樣爲全部郵箱啓用審覈日誌記錄也只能經過PowerShell進行設置。

使用Get-Mailbox獲取全部用戶郵箱，而後再經過管道傳遞給Set-Mailbox設置啓用審覈日誌。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

完成後，經過Get-Mailbox查看並驗證郵箱啓用審覈日誌是否生效。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

3、爲郵箱指定須要審覈其全部者的操做

默認狀況下，啓用郵箱的審覈只會審覈郵箱全部者（非管理員和委派權限用戶，即郵箱用戶本人）的某些操做。若是須要審覈郵箱全部者的其它操做，則須要進行額外的設置。

爲郵箱全部者默認啓用審覈的操做有：

UpdateCalendarDelegation：向郵箱分配了日曆委派

UpdateFolderPermissions：更改了文件權限

UpdateInboxRules：進行了郵箱規則的添加、修改和刪除

可是若是須要審覈是否有進行郵箱登陸，或者完全刪除郵件等操做。則須要經過手動操做來進行授予。

1、爲單個郵箱啓用審覈的同時指定要審覈的全部者操做

使用Set-Mailbox設置用戶郵箱啓用針對全部者進行登陸審覈。

Set-Mailbox "Li Si" -AuditEnabled $true -AuditOwner MailboxLogin

使用Get-Mailbox查看確認設置是否生效。

Get-Mailbox "Li Si"| FL Audit*

能夠看到在AuditOwner屬性中指定了MailboxLogin值。

2、爲單個已啓用了審覈功能的郵箱指定審覈全部者的多個操做

使用Set-Mailbox設置用戶郵箱啓用針對全部的登陸審覈和完全刪除郵件審覈。

Set-Mailbox "Zhang San" -AuditOwner @{Add="MailboxLogin","HardDelete"}

使用Get-Mailbox查看確認設置是否生效。

Get-Mailbox "Zhang San"| FL Audit*

3、爲全部郵箱指定審覈全部者的多個操做

使用Set-Mailbox設置用戶郵箱啓用針對全部的登陸審覈、刪除郵件和完全刪除郵件審覈。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

驗證使用配置成功。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*