Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Postfachüberwachungsprotokollierung ist in allen Organisationen standardmäßig aktiviert. Diese Einstellung protokolliert automatisch bestimmte Aktionen, die Postfachbesitzer, Stellvertretungen und Administratoren ausführen. Administratoren können das Postfachüberwachungsprotokoll nach den entsprechenden Postfachüberwachungsdatensätzen durchsuchen.
Zu den Vorteilen der Standardmäßigen Postfachüberwachung gehören:
- Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen. Sie müssen die Postfachüberwachung für neue Benutzer nicht manuell aktivieren.
- Sie müssen die überwachten Postfachaktionen nicht verwalten. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Admin, Stellvertretung und Besitzer) überwacht.
- Wenn Microsoft eine neue Postfachaktion freigibt, wird die Aktion möglicherweise automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (sofern der Benutzer über die entsprechende Lizenz verfügt). Dieses Ergebnis bedeutet, dass Sie keine neuen Aktionen für Postfächer hinzufügen müssen, wenn sie freigegeben werden.
- Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihren organization, da Sie dieselben Aktionen für alle Postfächer überwachen.
Überprüfen, ob die Postfachüberwachung standardmäßig aktiviert ist
Um zu überprüfen, ob die Postfachüberwachung für Ihre organization standardmäßig aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-OrganizationConfig | Format-List AuditDisabled
Der Wert False gibt an, dass die Postfachüberwachung für den organization standardmäßig aktiviert ist. Die Postfachüberwachung in der organization setzt die Postfachüberwachungseinstellungen für einzelne Postfächer standardmäßig außer Kraft. Wenn beispielsweise die Postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist False), werden die Standardpostfachaktionen für das Postfach weiterhin überwacht, da die Postfachüberwachung für den organization standardmäßig aktiviert ist.
Um die Postfachüberwachung für bestimmte Postfächer deaktiviert zu lassen, konfigurieren Sie die Postfachüberwachungsumgehung für den Postfachbesitzer und andere Benutzer mit delegiertem Zugriff auf das Postfach. Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Umgehen der Postfachüberwachungsprotokollierung .
Hinweis
Wenn Sie die Postfachüberwachung standardmäßig für die organization aktivieren, ändert sich die AuditEnabled-Eigenschaft für betroffene Postfächer nicht von False in True. Anders ausgedrückt: Die Postfachüberwachung für ignoriert standardmäßig die AuditEnabled-Eigenschaft für Postfächer.
Unterstützte Postfachtypen
In der folgenden Tabelle werden Postfachtypen beschrieben, die von der Postfachüberwachung standardmäßig unterstützt werden:
| Postfachtyp | Überwachung unterstützt | Standardmäßig aktiviert |
|---|---|---|
| Microsoft 365-Gruppenpostfächer | ✔ | ✔ |
| Postfächer für öffentliche Ordner | ||
| Ressourcenpostfächer | ✔ | |
| Freigegebene Postfächer | ✔ | ✔ |
| Benutzerpostfächer | ✔ | ✔ |
Anmeldetypen und Postfachaktionen
Anmeldetypen klassifizieren, wer für die überwachten Aktionen im Postfach verantwortlich ist. In der folgenden Liste werden die Anmeldetypen beschrieben, die von der Postfachüberwachungsprotokollierung verwendet werden:
- Besitzer: Der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).
-
Delegat:
- Ein Benutzer hat einem anderen Postfach die Berechtigung SendAs, SendOnBehalf oder FullAccess zugewiesen.
- Ein Administrator hat dem Postfach eines Benutzers die FullAccess-Berechtigung zugewiesen.
-
Admin:
- Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
- eDiscovery im Microsoft Purview-Portal.
- In-Place eDiscovery in Exchange Online.
- Der Zugriff auf das Postfach erfolgt über die Microsoft Exchange Server MAPI-Editor.
- Auf das Postfach wird durch ein Konto zugegriffen, das die Identität eines anderen Benutzers angibt. Dieser Zugriff erfolgt, wenn die ApplicationImpersonation-Rolle einem Konto zugewiesen wird, z. B. einer Anwendung, die jetzt aktiv auf die Daten zugreift. Weitere Informationen finden Sie unter Konfigurieren des Identitätswechsels.
- Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer
In der folgenden Tabelle werden die Postfachaktionen beschrieben, die Sie in der Postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer verwenden können.
- Ein Häkchen (✔) gibt die Postfachaktion an, die Sie für den Anmeldetyp protokollieren können (nicht alle Aktionen sind für alle Anmeldetypen verfügbar).
- Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Postfachaktion standardmäßig für den Anmeldetyp protokolliert wird.
- Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Postfach als Stellvertretung betrachtet wird.
| Postfachaktion | Beschreibung | Administrator | Stellvertretung | Besitzer |
|---|---|---|---|---|
| AddFolderPermissions | Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht. | |||
| ApplyRecord | Ein Element wird als Datensatz bezeichnet. | ✔* | ✔* | ✔* |
| AttachmentAccess | Auf eine Nachrichtenanlage wurde zugegriffen. | ✔ | ✔ | ✔ |
| Copy | Eine Nachricht wurde in einen anderen Ordner kopiert. | ✔ | ||
| Create | Ein Element wurde im Ordner Kalender, Kontakte, Entwurf, Notizen oder Aufgaben im Postfach erstellt (z. B. wird eine neue Besprechungsanfrage erstellt). Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht. | ✔* | ✔* | ✔ |
| FolderBind | Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet. Hinweis: Überwachungsdatensätze für Ordnerbindungsaktionen, die von Delegaten ausgeführt werden, werden konsolidiert. Innerhalb eines Zeitraums von 24 Stunden wird ein Überwachungsdatensatz für den Zugriff auf einzelne Ordner generiert. |
✔ | ✔ | |
| HardDelete | Eine Nachricht, die aus dem Ordner "Wiederherstellbare Elemente" gelöscht wurde. | ✔* | ✔* | ✔* |
| MailboxLogin | Der Benutzer hat sich bei ihrem Postfach angemeldet. | ✔ | ||
| MailItemsAccessed | Tritt auf, wenn von E-Mail-Protokollen und Clients auf E-Mail-Daten zugegriffen wird. | ✔* | ✔* | ✔* |
| MessageBind |
Hinweis: Dieser Wert ist nur für Benutzer ohne E5/A5/G5-Lizenzen verfügbar. Eine Nachricht wurde im Vorschaubereich angezeigt oder von einem Administrator geöffnet. |
✔ | ||
| ModifyFolderPermissions | Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht. | |||
| Verschieben | Eine Nachricht wurde in einen anderen Ordner verschoben. | ✔ | ✔ | ✔ |
| MoveToDeletedItems | Eine Nachricht, die gelöscht und in den Ordner Gelöschte Elemente verschoben wurde. | ✔* | ✔* | ✔* |
| RecordDelete | Ein Element, das als Datensatz bezeichnet ist, wurde vorläufig gelöscht (in den Ordner "Wiederherstellbare Elemente" verschoben). Als Datensätze bezeichnete Elemente können nicht endgültig gelöscht werden (aus dem Ordner "Wiederherstellbare Elemente" gelöscht). | ✔ | ✔ | ✔ |
| RemoveFolderPermissions | Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht. | |||
| SearchQueryInitiated | Eine Person verwendet Outlook (Windows, Mac, iOS, Android oder Outlook im Web) oder die Mail-App für Windows 10, um nach Elementen in einem Postfach zu suchen. | ✔ | ||
| Send | Der Benutzer sendet eine E-Mail-Nachricht, antwortet auf eine E-Mail-Nachricht oder leitet eine E-Mail-Nachricht weiter. | ✔* | ✔* | |
| SendAs | Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Diese Berechtigung ermöglicht es einem anderen Benutzer, die Nachricht so zu senden, als ob sie vom Postfachbesitzer stammte. | ✔* | ✔* | |
| SendOnBehalf | Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Diese Berechtigung ermöglicht es einem anderen Benutzer, die Nachricht im Namen des Postfachbesitzers zu senden. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. | ✔* | ✔* | |
| SoftDelete | Eine Nachricht, die endgültig aus dem Ordner "Gelöschte Elemente" gelöscht wurde. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. | ✔* | ✔* | ✔* |
| Update | Eine Nachricht oder eine der zugehörigen Eigenschaften wurden geändert. | ✔* | ✔* | ✔* |
| UpdateCalendarDelegation | Einem Postfach wurde eine Kalenderdelegierung zugewiesen. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. | ✔* | ✔* | |
| UpdateFolderPermissions | Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. | ✔* | ✔* | ✔* |
| UpdateInboxRules | Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert. Posteingangsregeln verarbeiten Nachrichten im Posteingang des Benutzers basierend auf Bedingungen. Aktionen geben an, was mit Nachrichten geschehen soll, die den Bedingungen der Regel entsprechen. Verschieben Sie beispielsweise die Nachricht in einen angegebenen Ordner, oder löschen Sie die Nachricht. | ✔* | ✔* | ✔* |
Wichtig
Wenn Sie die Postfachaktionen so anpassen, dass sie überwacht werden, bevor die Postfachüberwachung standardmäßig in Ihrem organization aktiviert ist, werden die benutzerdefinierten Postfachüberwachungseinstellungen für das Postfach beibehalten und nicht durch die in diesem Abschnitt beschriebenen Standardaktionen überschrieben. Informationen zum rückgängig machen der Postfachüberwachungsaktionen auf ihre Standardwerte (was Sie jederzeit tun können), finden Sie im Abschnitt Wiederherstellen der Standardpostfachaktionen weiter unten in diesem Artikel.
Postfachaktionen für Microsoft 365-Gruppenpostfächer
Wenn Sie die Postfachüberwachung aktivieren, beginnen Microsoft 365-Gruppenpostfächer mit der Protokollierung von Postfachüberwachungsdaten. Sie können die protokollierten Daten jedoch nicht anpassen oder Postfachaktionen für jeden Anmeldetyp hinzufügen oder entfernen.
In der folgenden Tabelle werden die Postfachaktionen beschrieben, die microsoft 365-Gruppenpostfächer standardmäßig für jeden Anmeldetyp protokollieren.
Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Microsoft 365-Gruppenpostfach als Stellvertretung betrachtet wird.
| Postfachaktion | Beschreibung | Administrator | Stellvertretung | Besitzer |
|---|---|---|---|---|
| Create | Erstellen eines Kalenderelements. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. | ✔* | ✔* | |
| HardDelete | Eine Nachricht, die aus dem Ordner "Wiederherstellbare Elemente" gelöscht wurde. | ✔* | ✔* | ✔* |
| MoveToDeletedItems | Eine Nachricht, die gelöscht und in den Ordner Gelöschte Elemente verschoben wurde. | ✔* | ✔* | ✔* |
| SendAs | Eine Nachricht, die mithilfe der SendAs-Berechtigung gesendet wird. | ✔* | ✔* | |
| SendOnBehalf | Eine Nachricht, die mit der SendOnBehalf-Berechtigung gesendet wird. | ✔* | ✔* | |
| SoftDelete | Eine Nachricht, die endgültig aus dem Ordner "Gelöschte Elemente" gelöscht wurde. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. | ✔* | ✔* | ✔* |
| Update | Eine Nachricht oder eine der zugehörigen Eigenschaften wurden geändert. | ✔* | ✔* | ✔* |
Überprüfen, ob Standardpostfachaktionen für jeden Anmeldetyp protokolliert werden
Wenn Sie die Postfachüberwachung standardmäßig aktivieren, fügt das System allen Postfächern eine DefaultAuditSet-Eigenschaft hinzu. Der Wert dieser Eigenschaft zeigt an, ob die (von Microsoft verwalteten) Standardpostfachaktionen für das Postfach überwacht werden.
Um den Wert für Benutzerpostfächer oder freigegebene Postfächer anzuzeigen, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet
Um den Wert für Microsoft 365-Gruppenpostfächer anzuzeigen, ersetzen <Sie MailboxIdentity> durch den Namen, Alias oder die E-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet
Der Wert Admin, Delegate, Owner bedeutet Folgendes:
- Das System überwacht die Standardpostfachaktionen für alle drei Anmeldetypen. Dieser Wert ist der einzige Wert, der in Microsoft 365-Gruppenpostfächern angezeigt wird.
- Ein Administrator hat die überwachten Postfachaktionen für jeden Anmeldetyp in einem Benutzerpostfach oder einem freigegebenen Postfach nicht geändert.
Wenn ein Administrator die Postfachaktionen ändert, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox ), ist der Eigenschaftswert anders.
Der Wert Owner für die DefaultAuditSet-Eigenschaft für ein Benutzerpostfach oder ein freigegebenes Postfach bedeutet beispielsweise Folgendes:
- Die Standardpostfachaktionen für den Postfachbesitzer werden überwacht.
- Die überwachten Postfachaktionen für die
DelegateAnmeldetypen undAdminwerden von den Standardaktionen geändert.
Ein leerer Wert für die DefaultAuditSet-Eigenschaft bedeutet, dass die Postfachaktionen für alle drei Anmeldetypen im Benutzerpostfach oder in einem freigegebenen Postfach geändert werden.
Weitere Informationen finden Sie im Abschnitt Ändern oder Wiederherstellen von Standardmäßig protokollierten Postfachaktionen in diesem Artikel.
Anzeigen der Postfachaktionen, die in Postfächern angemeldet sind
Um die Postfachaktionen anzuzeigen, die derzeit in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs. Führen Sie dann einen oder mehrere der folgenden Befehle in Exchange Online PowerShell aus.
Hinweis
Obwohl Sie den -GroupMailbox folgenden Get-Mailbox-Befehlen für Microsoft 365-Gruppenpostfächer den Schalter hinzufügen können, vertrauen Sie den zurückgegebenen Werten nicht. Die standardmäßigen und statischen Postfachaktionen, die für Microsoft 365-Gruppenpostfächer überwacht werden, werden weiter oben in diesem Artikel im Abschnitt Postfachaktionen für Microsoft 365-Gruppenpostfächer beschrieben.
Besitzeraktionen
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner
Delegieren von Aktionen
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate
Admin Aktionen
Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin
Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen
Wie bereits erläutert, besteht einer der Hauptvorteile der standardmäßig aktivierten Postfachüberwachung darin, dass Sie die überwachten Postfachaktionen nicht verwalten müssen. Microsoft verwaltet die Aktionen für Sie und fügt automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, sobald sie freigegeben werden.
Ihr organization kann jedoch erforderlich sein, um einen anderen Satz von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer zu überwachen. Die Verfahren in diesem Abschnitt zeigen Ihnen, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie zu den von Microsoft verwalteten Standardaktionen zurück rückgängig machen.
Wichtig
Wenn Sie die folgenden Verfahren verwenden, um die Postfachaktionen anzupassen, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle von Microsoft veröffentlichten neuen Standardpostfachaktionen nicht automatisch für diese Postfächer überwacht. Sie müssen ihrer benutzerdefinierten Liste von Aktionen manuell neue Postfachaktionen hinzufügen.
Ändern der Postfachaktionen in Überwachung
Verwenden Sie die Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox , um die Postfachaktionen zu ändern, die Microsoft für Benutzerpostfächer und freigegebene Postfächer überwacht. Sie können überwachte Aktionen für Microsoft 365-Gruppenpostfächer nicht anpassen.
Verwenden Sie zwei verschiedene Methoden, um die Postfachaktionen anzugeben:
-
Ersetzen (überschreiben) Sie die vorhandenen Postfachaktionen mithilfe der folgenden Syntax:
action1,action2,...actionN. -
Hinzufügen oder Entfernen von Postfachaktionen ohne Auswirkungen auf andere vorhandene Werte mithilfe der folgenden Syntax:
@{Add="action1","action2",..."actionN"}oder@{Remove="action1","action2",..."actionN"}.
Im folgenden Beispiel werden die Aktionen des Administratorpostfachs für das Postfach mit dem Namen "Gabriela Laureano" geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.
Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete
Im folgenden Beispiel wird dem Postfach laura@contoso.onmicrosoft.comdie MailboxLogin-Besitzeraktion hinzugefügt.
Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}
Im folgenden Beispiel wird die MoveToDeletedItems-Delegataktion für das Teamdiskumessionspostfach entfernt.
Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}
Unabhängig von der verwendeten Methode führt das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer zu den folgenden Ergebnissen:
- Microsoft verwaltet die überwachten Postfachaktionen für den von Ihnen angepassten Anmeldetyp nicht mehr.
- Der von Ihnen angepasste Anmeldetyp wird nicht mehr wie zuvor beschrieben im DefaultAuditSet-Eigenschaftswert für das Postfach angezeigt.
Wiederherstellen der Standardpostfachaktionen
Hinweis
Die folgenden Verfahren gelten nicht für Microsoft 365-Gruppenpostfächer. Diese Postfächer sind auf die hier beschriebenen Standardaktionen beschränkt.
Wenn Sie die Postfachaktionen anpassen, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standardpostfachaktionen für einen oder alle Anmeldetypen mithilfe der folgenden Syntax wiederherstellen:
Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>
Sie können mehrere DefaultAuditSet-Werte durch Kommas getrennt angeben.
In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für alle Anmeldetypen im Postfach mark@contoso.onmicrosoft.comwiederhergestellt.
Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner
In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Admin Anmeldetyp für das Postfach chris@contoso.onmicrosoft.comwiederhergestellt, aber die angepassten überwachten Postfachaktionen für die Anmeldetypen Stellvertretung und Besitzer werden beibehalten.
Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin
Das Wiederherstellen der standardmäßigen überwachten Postfachaktionen für einen Anmeldetyp führt zu den folgenden Ergebnissen:
- Die aktuelle Liste der Postfachaktionen wird durch die Standardpostfachaktionen für den Anmeldetyp ersetzt.
- Alle neuen Postfachaktionen, die Microsoft veröffentlicht, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.
- Der DefaultAuditSet-Eigenschaftswert für das Postfach wird aktualisiert, um den wiederhergestellten Anmeldetyp einzuschließen.
Deaktivieren Sie die Postfachüberwachung standardmäßig für Ihre organization
Um die Postfachüberwachung standardmäßig für Ihre gesamte organization zu deaktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Set-OrganizationConfig -AuditDisabled $true
Wenn Sie die Postfachüberwachung standardmäßig deaktivieren, nehmen Sie die folgenden Änderungen vor:
- Die Postfachüberwachung ist für Ihre organization deaktiviert.
- Ab dem Zeitpunkt, an dem Sie die Postfachüberwachung standardmäßig deaktivieren, werden keine Postfachaktionen überwacht, auch wenn die Postfachüberwachung für ein Postfach aktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist True).
- Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled-Eigenschaft für ein neues oder vorhandenes Postfach auf True wird ignoriert.
- Alle Zuordnungseinstellungen für die Postfachüberwachungsumgehung (konfiguriert mit dem Cmdlet Set-MailboxAuditBypassAssociation ) werden ignoriert.
- Vorhandene Postfachüberwachungsdatensätze werden aufbewahrt, bis die Altersgrenze des Überwachungsprotokolls für den Datensatz abläuft.
Aktivieren der Postfachüberwachung standardmäßig
Um die Postfachüberwachung für Ihre organization wieder zu aktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Set-OrganizationConfig -AuditDisabled $false
Umgehen der Postfachüberwachungsprotokollierung
Derzeit können Sie die Postfachüberwachung nicht für bestimmte Postfächer deaktivieren, wenn die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert ist. Das System ignoriert beispielsweise das Festlegen der AuditEnabled-Postfacheigenschaft auf False.
Sie können jedoch das Cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern, dass alle Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen auftreten. Zum Beispiel:
- Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
- Stellvertretungsaktionen, die die umgangenen Benutzer für die Postfächer anderer Benutzer ausführen (einschließlich freigegebener Postfächer), werden nicht protokolliert.
- Admin Aktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
Wenn Sie die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer umgehen möchten, ersetzen Sie <MailboxIdentity> durch den Namen, die E-Mail-Adresse, das Alias oder den Benutzerprinzipalnamen (Benutzernamen) des Benutzers, und führen Sie den folgenden Befehl aus:
Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true
Um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird, führen Sie den folgenden Befehl aus:
Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled
Der Wert True gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.
Weitere Informationen
Standardmäßig werden Postfachüberwachungsprotokolldatensätze 90 Tage lang aufbewahrt, bevor sie gelöscht werden. Sie können die Altersgrenze für Überwachungsprotokolldatensätze ändern, indem Sie den Parameter AuditLogAgeLimit im Cmdlet Set-Mailbox in Exchange Online PowerShell verwenden. Wenn Sie diesen Wert erhöhen, können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll sind.
Wenn Sie die AuditLogAgeLimit-Eigenschaft für ein Postfach ändern, bevor Sie die Postfachüberwachung standardmäßig für die organization aktivieren, bleibt das vorhandene Alterslimit des Überwachungsprotokolls des Postfachs unverändert. Anders ausgedrückt: Die Postfachüberwachung wirkt sich standardmäßig nicht auf die aktuelle Altersgrenze für Postfachüberwachungsdatensätze aus.
Um den AuditLogAgeLimit-Wert für ein Microsoft 365-Gruppenpostfach zu ändern, schließen Sie den
-GroupMailboxSchalter in den Befehl Set-Mailbox ein.Postfachüberwachungsprotokolldatensätze werden in einem Unterordner (mit dem Namen Überwachungen) im Ordner Wiederherstellbare Elemente im Postfach jedes Benutzers gespeichert. Beachten Sie folgendes in Bezug auf Postfachüberwachungsdatensätze und den Ordner "Wiederherstellbare Elemente":
Die Anzahl der Postfachüberwachungsdatensätze entspricht dem Speicherkontingent des Ordners "Wiederherstellbare Elemente", das standardmäßig 30 GB beträgt (das Warnungskontingent beträgt 20 GB). Das Speicherkontingent erhöht sich automatisch auf 100 GB (mit einem Warnungskontingent von 90 GB), wenn:
- Sie legen einen Halteraum für ein Postfach fest.
- Sie weisen das Postfach einer Aufbewahrungsrichtlinie im Microsoft Purview-Portal zu.
Postfachüberwachungsdatensätze werden auch auf den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" angerechnet. Im Unterordner Überwachungen können maximal 3 Millionen Elemente (Überwachungsdatensätze) gespeichert werden.
Hinweis
Es ist unwahrscheinlich, dass sich die Postfachüberwachung standardmäßig auf das Speicherkontingent oder den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.
Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner Überwachung im Ordner Wiederherstellbare Elemente anzuzeigen:
Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolderSie können nicht direkt auf einen Überwachungsprotokolldatensatz im Ordner "Wiederherstellbare Elemente" zugreifen. Verwenden Sie stattdessen das Cmdlet Search-UnifiedAuditLog , oder durchsuchen Sie das Überwachungsprotokoll, um Postfachüberwachungsdatensätze zu suchen und anzuzeigen.
Wenn Sie ein Postfach in den Halteraum setzen oder es einer Aufbewahrungsrichtlinie zuweisen, werden Überwachungsprotokolldatensätze weiterhin für die dauer aufbewahrt, die durch die AuditLogAgeLimit-Eigenschaft des Postfachs definiert ist (standardmäßig 90 Tage). Erhöhen Sie den AuditLogAgeLimit-Wert des Postfachs, um Überwachungsprotokolldatensätze für postfächer im Haltespeicher länger aufzubewahren.
In einer Multi-Geo-Umgebung wird die geoübergreifende Postfachüberwachung nicht unterstützt. Wenn Sie einem Benutzer beispielsweise Berechtigungen für den Zugriff auf ein freigegebenes Postfach an einem anderen geografischen Standort zuweisen, werden postfachaktionen, die der Benutzer ausführt, nicht im Postfachüberwachungsprotokoll des freigegebenen Postfachs protokolliert. Exchange-Administratorüberwachungsereignisse sind für alle Speicherorte über Microsoft Purview und das Cmdlet Search-UnifiedAuditLog verfügbar.