Freigeben über


Verwalten der Postfächern

Die Postfachüberwachungsprotokollierung ist in allen Organisationen standardmäßig aktiviert. Dies bedeutet, dass bestimmte Aktionen, die von Postfachbesitzern, Stellvertretungen und Administratoren ausgeführt werden, automatisch protokolliert werden. Die entsprechenden Postfachüberwachungsdatensätze können Administratoren im Postfachüberwachungsprotokoll durchsuchen.

Die Standardmäßige Postfachüberwachung hat folgende Vorteile:

  • Die Überwachung wird automatisch aktiviert, wenn Sie ein neues Postfach erstellen. Sie müssen die Postfachüberwachung für neue Benutzer nicht manuell aktivieren.
  • Sie müssen die überwachten Postfachaktionen nicht verwalten. Ein vordefinierter Satz von Postfachaktionen wird standardmäßig für jeden Anmeldetyp (Admin, Stellvertretung und Besitzer) überwacht.
  • Wenn Microsoft eine neue Postfachaktion freigibt, wird die Aktion möglicherweise automatisch der Liste der Postfachaktionen hinzugefügt, die standardmäßig überwacht werden (sofern der Benutzer über die entsprechende Lizenz verfügt). Dieses Ergebnis bedeutet, dass Sie keine neuen Aktionen für Postfächer hinzufügen müssen, wenn sie freigegeben werden.
  • Sie verfügen über eine konsistente Postfachüberwachungsrichtlinie in Ihren organization (da Sie dieselben Aktionen für alle Postfächer überwachen).

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Überprüfen, ob die Postfachüberwachung standardmäßig aktiviert ist

Um zu überprüfen, ob die Postfachüberwachung für Ihre organization standardmäßig aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-OrganizationConfig | Format-List AuditDisabled

Der Wert False gibt an, dass die Postfachüberwachung für den organization standardmäßig aktiviert ist. Die Postfachüberwachung in der organization setzt die Postfachüberwachungseinstellungen für einzelne Postfächer standardmäßig außer Kraft. Wenn z. B. die Postfachüberwachung für ein Postfach deaktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist False), werden die Standardpostfachaktionen für das Postfach weiterhin überwacht, da die Postfachüberwachung für den organization standardmäßig aktiviert ist.

Damit die Postfachüberwachung für bestimmte Postfächer deaktiviert bleibt, konfigurieren Sie die Postfachüberwachungsumgehung für den Postfachbesitzer und andere Benutzer mit delegiertem Zugriff auf das Postfach. Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Umgehen der Postfachüberwachungsprotokollierung .

Hinweis

Wenn die Postfachüberwachung standardmäßig für die organization aktiviert ist, wird die AuditEnabled-Eigenschaft für betroffene Postfächer nicht von False in True geändert. Anders ausgedrückt: Die Postfachüberwachung für ignoriert standardmäßig die AuditEnabled-Eigenschaft für Postfächer.

Unterstützte Postfachtypen

Postfachtypen, die standardmäßig von der Postfachüberwachung für unterstützt werden, werden in der folgenden Tabelle beschrieben:

Postfachtyp Überwachung unterstützt Standardmäßig aktiviert
Benutzerpostfächer
Freigegebene Postfächer
Microsoft 365-Gruppenpostfächer
Ressourcenpostfächer
Postfächer für öffentliche Ordner

Anmeldetypen und Postfachaktionen

Anmeldetypen klassifizieren, wer für die überwachten Aktionen im Postfach verantwortlich ist. In der folgenden Liste werden die Anmeldetypen beschrieben, die in der Postfachüberwachungsprotokollierung verwendet werden:

  • Besitzer: Der Postfachbesitzer (das Konto, das dem Postfach zugeordnet ist).
  • Delegat:
    • Ein Benutzer, dem die Berechtigung SendAs, SendOnBehalf oder FullAccess für ein anderes Postfach zugewiesen wurde.
    • Ein Administrator, dem die FullAccess-Berechtigung für das Postfach eines Benutzers zugewiesen wurde.
  • Admin:
    • Das Postfach wird mit einem der folgenden Microsoft eDiscovery-Tools durchsucht:
      • eDiscovery im Microsoft Purview-Portal oder Complianceportal.
      • In-Place eDiscovery in Exchange Online.
    • Der Zugriff auf das Postfach erfolgt über die Microsoft Exchange Server MAPI-Editor.
    • Auf das Postfach wird durch ein Konto zugegriffen, das die Identität eines anderen Benutzers angibt. Dies tritt auf, wenn die ApplicationImpersonation-Rolle einem Konto zugewiesen wird, z. B. einer Anwendung, die jetzt aktiv auf die Daten zugreift. Weitere Informationen finden Sie unter Konfigurieren des Identitätswechsels.

Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die in der Postfachüberwachungsprotokollierung für Benutzerpostfächer und freigegebene Postfächer verfügbar sind.

  • Ein Häkchen (✔) gibt an, dass die Postfachaktion für den Anmeldetyp protokolliert werden kann (nicht alle Aktionen sind für alle Anmeldetypen verfügbar).
  • Ein Sternchen ( * ) nach dem Häkchen gibt an, dass die Postfachaktion standardmäßig für den Anmeldetyp protokolliert wird.
  • Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Postfach als Stellvertretung betrachtet wird.
Postfachaktion Beschreibung Administrator Stellvertretung Besitzer
AddFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht.
ApplyRecord Ein Element wird als Datensatz bezeichnet. * * *
Copy Eine Nachricht wurde in einen anderen Ordner kopiert.
Create Ein Element wurde im Ordner Kalender, Kontakte, Entwurf, Notizen oder Aufgaben im Postfach erstellt (z. B. wird eine neue Besprechungsanfrage erstellt). Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. Außerdem wird das Erstellen eines Postfachordners nicht überwacht. * *
FolderBind Auf einen Postfachordner wurde zugegriffen. Diese Aktion wird auch protokolliert, wenn der Administrator oder der delegierte Benutzer das Postfach öffnet.

Hinweis: Überwachungsdatensätze für Ordnerbindungsaktionen, die von Delegaten ausgeführt werden, werden konsolidiert. Innerhalb eines Zeitraums von 24 Stunden wird ein Überwachungsdatensatz für den Zugriff auf einzelne Ordner generiert.
HardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. * * *
MailboxLogin Der Benutzer hat sich bei ihrem Postfach angemeldet.
MailItemsAccessed Tritt auf, wenn von E-Mail-Protokollen und Clients auf E-Mail-Daten zugegriffen wird. * * *
MessageBind Hinweis: Dieser Wert ist nur für Benutzer ohne E5/A5/G5-Lizenzen verfügbar.

Eine Nachricht wurde im Vorschaubereich angezeigt oder von einem Administrator geöffnet.
ModifyFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht.
Verschieben Eine Nachricht wurde in einen anderen Ordner verschoben.
MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. * * *
RecordDelete Ein Element, das als Datensatz bezeichnet ist, wurde vorläufig gelöscht (in den Ordner "Wiederherstellbare Elemente" verschoben). Als Datensätze bezeichnete Elemente können nicht endgültig gelöscht werden (aus dem Ordner "Wiederherstellbare Elemente" gelöscht).
RemoveFolderPermissions Obwohl dieser Wert als Postfachaktion akzeptiert wird, ist er bereits in der UpdateFolderPermissions-Aktion enthalten und wird nicht separat überwacht. Anders ausgedrückt: Verwenden Sie diesen Wert nicht.
SearchQueryInitiated Eine Person verwendet Outlook (Windows, Mac, iOS, Android oder Outlook im Web) oder die Mail-App für Windows 10, um nach Elementen in einem Postfach zu suchen.
Send Der Benutzer sendet eine E-Mail-Nachricht, antwortet auf eine E-Mail-Nachricht oder leitet eine E-Mail-Nachricht weiter. * *
SendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. Diese Berechtigung ermöglicht es einem anderen Benutzer, die Nachricht so zu senden, als ob sie vom Postfachbesitzer stammte. * *
SendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. Diese Berechtigung ermöglicht es einem anderen Benutzer, die Nachricht im Namen des Postfachbesitzers zu senden. Bei der Nachricht ist für den Empfänger angegeben, in wessen Auftrag die Nachricht gesendet wurde und wer die Nachricht tatsächlich gesendet hat. * *
SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. * * *
Update Eine Nachricht oder eine der zugehörigen Eigenschaften wurde geändert. * * *
UpdateCalendarDelegation Einem Postfach wurde eine Kalenderdelegierung zugewiesen. Der Stellvertretungszugriff gibt anderen Personen in der gleichen Organisation die Berechtigung zum Verwalten des Kalenders des Postfachbesitzers. * *
UpdateFolderPermissions Eine Ordnerberechtigung wurde geändert. Ordnerberechtigungen steuern, welche Benutzer in Ihrer Organisation auf Ordner in einem Postfach zugreifen können und welche Nachrichten sich in diesen Ordnern befinden. * * *
UpdateInboxRules Eine Posteingangsregel wurde hinzugefügt, entfernt oder geändert. Posteingangsregeln verarbeiten Nachrichten im Posteingang des Benutzers basierend auf Bedingungen. Aktionen geben an, was mit Nachrichten geschehen soll, die den Bedingungen der Regel entsprechen. Verschieben Sie beispielsweise die Nachricht in einen angegebenen Ordner, oder löschen Sie die Nachricht. * * *

Wichtig

Wenn Sie die Postfachaktionen für die Überwachung angepasst haben, bevor die Postfachüberwachung standardmäßig in Ihrem organization aktiviert wurde, werden die benutzerdefinierten Postfachüberwachungseinstellungen für das Postfach beibehalten und nicht durch die standardmäßigen Postfachaktionen überschrieben, wie in diesem Abschnitt beschrieben. Informationen zum rückgängig machen der Postfachüberwachungsaktionen auf ihre Standardwerte (was Sie jederzeit tun können), finden Sie im Abschnitt Wiederherstellen der Standardpostfachaktionen weiter unten in diesem Artikel.

Postfachaktionen für Microsoft 365-Gruppenpostfächer

Die Postfachüberwachung aktiviert standardmäßig die Postfachüberwachungsprotokollierung für Microsoft 365-Gruppenpostfächer, aber Sie können nicht anpassen, was protokolliert wird (Sie können keine Postfachaktionen hinzufügen oder entfernen, die für jeden Anmeldetyp protokolliert werden).

In der folgenden Tabelle werden die Postfachaktionen beschrieben, die standardmäßig in Microsoft 365-Gruppenpostfächern für jeden Anmeldetyp protokolliert werden.

Denken Sie daran, dass ein Administrator mit Vollzugriffsberechtigung für ein Microsoft 365-Gruppenpostfach als Stellvertretung betrachtet wird.

Postfachaktion Beschreibung Administrator Stellvertretung Besitzer
Create Erstellen eines Kalenderelements. Beachten Sie, dass das Erstellen, Senden oder Empfangen einer Nachricht nicht überwacht wird. * *
HardDelete Eine Nachricht wurde endgültig aus dem Ordner "Wiederherstellbare Elemente" gelöscht. * * *
MoveToDeletedItems Eine Nachricht wurde gelöscht und in den Ordner "Gelöschte Elemente" verschoben. * * *
SendAs Eine Nachricht wurde unter Verwendung der SendAs-Berechtigung gesendet. * *
SendOnBehalf Eine Nachricht wurde unter Verwendung der SendOnBehalf-Berechtigung gesendet. * *
SoftDelete Eine Nachricht wurde dauerhaft gelöscht oder aus dem Ordner „Gelöschte Objekte“ gelöscht. Vorübergehend gelöschte Elemente werden in den Ordner „Wiederherstellbare Elemente“ verschoben. * * *
Update Eine Nachricht oder eine der zugehörigen Eigenschaften wurde geändert. * * *

Vergewissern Sie sich, dass standardpostfache Aktionen für jeden Anmeldetyp protokolliert werden.

Die Postfachüberwachung für fügt standardmäßig allen Postfächern eine neue DefaultAuditSet-Eigenschaft hinzu. Der Wert dieser Eigenschaft gibt an, ob die (von Microsoft verwalteten) Standardpostfachaktionen für das Postfach überwacht werden.

Um den Wert für Benutzerpostfächer oder freigegebene Postfächer anzuzeigen, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-Mailbox -Identity <MailboxIdentity> | Format-List DefaultAuditSet

Um den Wert in Microsoft 365-Gruppenpostfächern anzuzeigen, ersetzen Sie <MailboxIdentity> durch den Namen, Alias oder die E-Mail-Adresse des freigegebenen Postfachs, und führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-Mailbox -Identity <MailboxIdentity> -GroupMailbox | Format-List DefaultAuditSet

Der Wert Admin, Delegate, Owner gibt Folgendes an:

  • Die Standardpostfachaktionen für alle drei Anmeldetypen werden überwacht. Dieser Wert ist der einzige Wert, der in Microsoft 365-Gruppenpostfächern angezeigt wird.
  • Ein Administrator hat die überwachten Postfachaktionen für jeden Anmeldetyp in einem Benutzerpostfach oder einem freigegebenen Postfach nicht geändert.

Wenn ein Administrator jemals die Postfachaktionen geändert hat, die für einen Anmeldetyp überwacht werden (mithilfe der Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox ), ist der Eigenschaftswert anders.

Der Wert Owner für die DefaultAuditSet-Eigenschaft für ein Benutzerpostfach oder ein freigegebenes Postfach gibt beispielsweise Folgendes an:

  • Die Standardpostfachaktionen für den Postfachbesitzer werden überwacht.
  • Die überwachten Postfachaktionen für die Delegate Anmeldetypen und Admin wurden gegenüber den Standardaktionen geändert.

Ein leerer Wert für die DefaultAuditSet-Eigenschaft gibt an, dass die Postfachaktionen für alle drei Anmeldetypen im Benutzerpostfach oder in einem freigegebenen Postfach geändert wurden.

Weitere Informationen finden Sie im Abschnitt Ändern oder Wiederherstellen von Standardmäßig protokollierten Postfachaktionen in diesem Artikel.

Anzeigen der Postfachaktionen, die in Postfächern protokolliert werden

Um die Postfachaktionen anzuzeigen, die derzeit in Benutzerpostfächern oder freigegebenen Postfächern angemeldet werden, ersetzen <Sie MailboxIdentity> durch den Namen, alias, die E-Mail-Adresse oder den Benutzerprinzipalnamen (Benutzername) des Postfachs, und führen Sie einen oder mehrere der folgenden Befehle in Exchange Online PowerShell aus.

Hinweis

Obwohl Sie den -GroupMailbox folgenden Get-Mailbox-Befehlen für Microsoft 365-Gruppenpostfächer den Schalter hinzufügen können, glauben Sie den zurückgegebenen Werten nicht. Die standardmäßigen und statischen Postfachaktionen, die für Microsoft 365-Gruppenpostfächer überwacht werden, werden weiter oben in diesem Artikel im Abschnitt Postfachaktionen für Microsoft 365-Gruppenpostfächer beschrieben.

Besitzeraktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditOwner

Delegieren von Aktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditDelegate

Admin Aktionen

Get-Mailbox -Identity <MailboxIdentity> | Select-Object -ExpandProperty AuditAdmin

Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen

Wie bereits erläutert, ist einer der Hauptvorteile der standardmäßig aktivierten Postfachüberwachung: Sie müssen die überwachten Postfachaktionen nicht verwalten. Microsoft verwaltet die Aktionen für Sie, und wir fügen automatisch neue Postfachaktionen hinzu, die standardmäßig überwacht werden, sobald sie freigegeben werden.

Ihr organization kann jedoch erforderlich sein, um einen anderen Satz von Postfachaktionen für Benutzerpostfächer und freigegebene Postfächer zu überwachen. Die Verfahren in diesem Abschnitt zeigen Ihnen, wie Sie die Postfachaktionen ändern, die für jeden Anmeldetyp überwacht werden, und wie Sie zu den von Microsoft verwalteten Standardaktionen zurück rückgängig machen.

Wichtig

Wenn Sie die folgenden Verfahren verwenden, um die Postfachaktionen anzupassen, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle von Microsoft veröffentlichten neuen Standardpostfachaktionen nicht automatisch für diese Postfächer überwacht. Sie müssen ihrer angepassten Liste von Aktionen manuell neue Postfachaktionen hinzufügen.

Ändern der Postfachaktionen in Überwachung

Sie können die Parameter AuditAdmin, AuditDelegate oder AuditOwner im Cmdlet Set-Mailbox verwenden, um die Postfachaktionen zu ändern, die für Benutzerpostfächer und freigegebene Postfächer überwacht werden (überwachte Aktionen für Microsoft 365-Gruppenpostfächer können nicht angepasst werden).

Sie können zwei verschiedene Methoden verwenden, um die Postfachaktionen anzugeben:

  • Ersetzen (überschreiben) Sie die vorhandenen Postfachaktionen mithilfe der folgenden Syntax: action1,action2,...actionN.
  • Hinzufügen oder Entfernen von Postfachaktionen ohne Auswirkungen auf andere vorhandene Werte mithilfe der folgenden Syntax: @{Add="action1","action2",..."actionN"} oder @{Remove="action1","action2",..."actionN"}.

In diesem Beispiel werden die Aktionen des Administratorpostfachs für das Postfach mit dem Namen "Gabriela Laureano" geändert, indem die Standardaktionen mit SoftDelete und HardDelete überschrieben werden.

Set-Mailbox -Identity "Gabriela Laureano" -AuditAdmin HardDelete,SoftDelete

In diesem Beispiel wird dem Postfach laura@contoso.onmicrosoft.comdie MailboxLogin-Besitzeraktion hinzugefügt.

Set-Mailbox -Identity laura@contoso.onmicrosoft.com -AuditOwner @{Add="MailboxLogin"}

In diesem Beispiel wird die MoveToDeletedItems-Delegataktion für das Teamdiskumessionspostfach entfernt.

Set-Mailbox -Identity "Team Discussion" -AuditDelegate @{Remove="MoveToDeletedItems"}

Unabhängig von der verwendeten Methode führt das Anpassen der überwachten Postfachaktionen für Benutzerpostfächer oder freigegebene Postfächer zu den folgenden Ergebnissen:

  • Für den von Ihnen angepassten Anmeldetyp werden die überwachten Postfachaktionen nicht mehr von Microsoft verwaltet.
  • Der von Ihnen angepasste Anmeldetyp wird nicht mehr wie zuvor beschrieben im DefaultAuditSet-Eigenschaftswert für das Postfach angezeigt.

Wiederherstellen der Standardpostfachaktionen

Hinweis

Die folgenden Verfahren gelten nicht für Microsoft 365-Gruppenpostfächer (sie sind auf die hier beschriebenen Standardaktionen beschränkt).

Wenn Sie die Postfachaktionen angepasst haben, die für ein Benutzerpostfach oder ein freigegebenes Postfach überwacht werden, können Sie die Standardpostfachaktionen für einen oder alle Anmeldetypen mithilfe der folgenden Syntax wiederherstellen:

Set-Mailbox -Identity <MailboxIdentity> -DefaultAuditSet <Admin | Delegate | Owner>

Sie können mehrere DefaultAuditSet-Werte durch Kommas getrennt angeben.

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für alle Anmeldetypen im Postfach mark@contoso.onmicrosoft.comwiederhergestellt.

Set-Mailbox -Identity mark@contoso.onmicrosoft.com -DefaultAuditSet Admin,Delegate,Owner

In diesem Beispiel werden die standardmäßigen überwachten Postfachaktionen für den Admin Anmeldetyp für das Postfach chris@contoso.onmicrosoft.comwiederhergestellt, die benutzerdefinierten überwachten Postfachaktionen werden jedoch für die Anmeldetypen Stellvertretung und Besitzer beibehalten.

Set-Mailbox -Identity chris@contoso.onmicrosoft.com -DefaultAuditSet Admin

Das Wiederherstellen der standardmäßigen überwachten Postfachaktionen für einen Anmeldetyp führt zu den folgenden Ergebnissen:

  • Die aktuelle Liste der Postfachaktionen wird durch die Standardpostfachaktionen für den Anmeldetyp ersetzt.
  • Alle neuen Postfachaktionen, die von Microsoft veröffentlicht werden, werden automatisch der Liste der überwachten Aktionen für den Anmeldetyp hinzugefügt.
  • Der DefaultAuditSet-Eigenschaftswert für das Postfach wird aktualisiert, um den wiederhergestellten Anmeldetyp einzuschließen.

Deaktivieren Sie die Postfachüberwachung standardmäßig für Ihre organization

Sie können die Postfachüberwachung standardmäßig für Ihre gesamte organization deaktivieren, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Set-OrganizationConfig -AuditDisabled $true

Wenn Sie die Postfachüberwachung standardmäßig deaktivieren, hat dies folgende Ergebnisse:

  • Die Postfachüberwachung ist für Ihre organization deaktiviert.
  • Ab dem Zeitpunkt, an dem Sie die Postfachüberwachung standardmäßig deaktivieren, werden keine Postfachaktionen überwacht, auch wenn die Postfachüberwachung für ein Postfach aktiviert ist (die AuditEnabled-Eigenschaft für das Postfach ist True).
  • Die Postfachüberwachung ist für neue Postfächer nicht aktiviert, und das Festlegen der AuditEnabled-Eigenschaft für ein neues oder vorhandenes Postfach auf True wird ignoriert.
  • Alle Zuordnungseinstellungen für die Postfachüberwachungsumgehung (konfiguriert mit dem Cmdlet Set-MailboxAuditBypassAssociation ) werden ignoriert.
  • Vorhandene Postfachüberwachungsdatensätze werden aufbewahrt, bis die Altersgrenze des Überwachungsprotokolls für den Datensatz abläuft.

Aktivieren der Postfachüberwachung standardmäßig

Um die Postfachüberwachung für Ihre organization wieder zu aktivieren, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Set-OrganizationConfig -AuditDisabled $false

Umgehen der Postfachüberwachungsprotokollierung

Derzeit können Sie die Postfachüberwachung nicht für bestimmte Postfächer deaktivieren, wenn die Postfachüberwachung in Ihrer Organisation standardmäßig aktiviert ist. Beispielsweise wird das Festlegen der AuditEnabled-Postfacheigenschaft auf False ignoriert.

Sie können jedoch weiterhin das Cmdlet Set-MailboxAuditBypassAssociation in Exchange Online PowerShell verwenden, um zu verhindern, dass alle Postfachaktionen der angegebenen Benutzer protokolliert werden, unabhängig davon, wo die Aktionen auftreten. Zum Beispiel:

  • Postfachbesitzeraktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.
  • Delegieren von Aktionen, die von den umgangenen Benutzern in den Postfächern anderer Benutzer (einschließlich freigegebener Postfächer) ausgeführt werden, werden nicht protokolliert.
  • Admin Aktionen, die von den umgangenen Benutzern ausgeführt werden, werden nicht protokolliert.

Wenn Sie die Postfachüberwachungsprotokollierung für einen bestimmten Benutzer umgehen möchten, ersetzen Sie <MailboxIdentity> durch den Namen, die E-Mail-Adresse, das Alias oder den Benutzerprinzipalnamen (Benutzernamen) des Benutzers, und führen Sie den folgenden Befehl aus:

Set-MailboxAuditBypassAssociation -Identity <MailboxIdentity> -AuditByPassEnabled $true

Um zu überprüfen, ob die Überwachung für den angegebenen Benutzer umgangen wird, führen Sie den folgenden Befehl aus:

Get-MailboxAuditBypassAssociation -Identity <MailboxIdentity> | Format-List AuditByPassEnabled

Der Wert True gibt an, dass die Postfachüberwachungsprotokollierung für den Benutzer umgangen wird.

Weitere Informationen

  • Standardmäßig werden Postfachüberwachungsprotokolldatensätze 90 Tage lang aufbewahrt, bevor sie gelöscht werden. Sie können die Altersgrenze für Überwachungsprotokolldatensätze ändern, indem Sie den Parameter AuditLogAgeLimit im Cmdlet Set-Mailbox in Exchange Online PowerShell verwenden. Wenn Sie diesen Wert erhöhen, können Sie jedoch nicht nach Ereignissen suchen, die älter als 90 Tage im Überwachungsprotokoll sind.

    Wenn Sie die Altersgrenze erhöhen, müssen Sie das Cmdlet Search-MailboxAuditLog in Exchange Online PowerShell verwenden, um das Postfachüberwachungsprotokoll des Benutzers nach Datensätzen zu durchsuchen, die älter als 90 Tage sind.

  • Wenn Sie die AuditLogAgeLimit-Eigenschaft für ein Postfach geändert haben, bevor die Postfachüberwachung standardmäßig für organization aktiviert ist, wird die vorhandene Altersgrenze des Überwachungsprotokolls des Postfachs nicht geändert. Anders ausgedrückt: Die Postfachüberwachung bei aktiviert wirkt sich standardmäßig nicht auf die aktuelle Altersgrenze für Postfachüberwachungsdatensätze aus.

  • Um den AuditLogAgeLimit-Wert für ein Microsoft 365-Gruppenpostfach zu ändern, müssen Sie den -GroupMailbox Schalter in den Befehl Set-Mailbox einschließen.

  • Postfachüberwachungsprotokolldatensätze werden in einem Unterordner (mit dem Namen Überwachungen) im Ordner Wiederherstellbare Elemente im Postfach jedes Benutzers gespeichert. Beachten Sie folgendes in Bezug auf Postfachüberwachungsdatensätze und den Ordner "Wiederherstellbare Elemente":

    • Die Anzahl der Postfachüberwachungsdatensätze entspricht dem Speicherkontingent des Ordners "Wiederherstellbare Elemente", das standardmäßig 30 GB beträgt (das Warnungskontingent beträgt 20 GB). Das Speicherkontingent wird automatisch auf 100 GB (mit einem Warnungskontingent von 90 GB) erhöht, wenn:

      • Ein Halteraum wird für ein Postfach platziert.
      • Das Postfach wird einer Aufbewahrungsrichtlinie im Microsoft Purview-Portal oder im Complianceportal zugewiesen.
    • Postfachüberwachungsdatensätze werden auch auf den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" angerechnet. Im Unterordner Überwachungen können maximal 3 Millionen Elemente (Überwachungsdatensätze) gespeichert werden.

      Hinweis

      Es ist unwahrscheinlich, dass sich die Postfachüberwachung standardmäßig auf das Speicherkontingent oder den Ordnergrenzwert für den Ordner "Wiederherstellbare Elemente" auswirkt.

      • Sie können den folgenden Befehl in Exchange Online PowerShell ausführen, um die Größe und Anzahl der Elemente im Unterordner Überwachung im Ordner Wiederherstellbare Elemente anzuzeigen:

        Get-MailboxFolderStatistics -Identity <MailboxIdentity> -FolderScope RecoverableItems | Where-Object {$_.Name -eq 'Audits'} | Format-List FolderPath,FolderSize,ItemsInFolder
        
      • Sie können nicht direkt auf einen Überwachungsprotokolldatensatz im Ordner "Wiederherstellbare Elemente" zugreifen. Verwenden Sie stattdessen das Cmdlet Search-MailboxAuditLog , oder durchsuchen Sie das Überwachungsprotokoll, um Postfachüberwachungsdatensätze zu suchen und anzuzeigen.

  • Wenn ein Postfach gehalten oder einer Aufbewahrungsrichtlinie zugewiesen wird, werden Überwachungsprotokolldatensätze weiterhin für die Dauer aufbewahrt, die durch die AuditLogAgeLimit-Eigenschaft des Postfachs definiert wird (standardmäßig 90 Tage). Um Überwachungsprotokolldatensätze für postfächer im Haltespeicher länger aufzubewahren, müssen Sie den AuditLogAgeLimit-Wert des Postfachs erhöhen.

  • In einer Multi-Geo-Umgebung wird die geoübergreifende Postfachüberwachung nicht unterstützt. Wenn einem Benutzer beispielsweise Berechtigungen für den Zugriff auf ein freigegebenes Postfach an einem anderen geografischen Standort zugewiesen sind, werden von diesem Benutzer ausgeführte Postfachaktionen nicht im Postfachüberwachungsprotokoll des freigegebenen Postfachs protokolliert. Exchange-Administratorüberwachungsereignisse sind für alle Speicherorte über Microsoft Purview und das Cmdlet Search-UnifiedAuditLog verfügbar.