OMEPortal
Шифрование сообщений Microsoft Purview — это служба, которая позволяет организациям отправлять зашифрованные сообщения всем получателям.
OMEPortal — это тип события, который записывается в единый журнал аудита Office 365. Он представляет любое действие для доступа к зашифрованным сообщениям внешним получателем с помощью портала зашифрованных сообщений. Это событие полезно, чтобы определить, когда и кто обращается к порталу.
- Проверки подлинности
- открыть сообщение
- просмотр вложения
- скачивание вложения
- ответить или пересылать сообщение
Доступ к единому журналу аудита Office 365
Доступ к журналам аудита можно получить с помощью следующих методов.
- Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview
- Командлет PowerShell Search-UnifiedAuditLog в Exchange Online.
- API действий управления Office 365
Средство поиска по журналам аудита
Перейдите к Портал соответствия требованиям Microsoft Purview и выполните вход.
В левой области портала соответствия требованиям выберите Аудит.
Примечание.
Если вы не видите элемент Аудит на панели слева, сведения о разрешениях см. в разделе Роли и группы ролей в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview.
На вкладке Новый поиск задайте для параметра Тип записи значение OMEPortal и настройте другие параметры.
Дополнительные сведения о просмотре журналов аудита в Портал соответствия требованиям Microsoft Purview см. в разделе Действия журнала аудита.
Поиск единого журнала аудита в PowerShell
Чтобы получить доступ к единому журналу аудита с помощью PowerShell, сначала откройте окно PowerShell и подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.
Командлет Search-UnifiedAuditLog
Командлет Search-UnifiedAuditLog — это команда PowerShell, которую можно использовать для поиска в едином журнале аудита Office 365. Единый журнал аудита — это запись действий пользователей и администраторов в Office 365, которую можно использовать для отслеживания событий. Рекомендации по использованию этого командлета см. в разделе Рекомендации по использованию Search-UnifiedAuditLog.
Чтобы извлечь события OMEPortal из единого журнала аудита с помощью PowerShell, можно использовать следующую команду. При этом в едином журнале аудита будет выполнен поиск указанного диапазона дат и возвращаются все события с типом записи "OMEPortal". Результаты будут экспортированы в CSV-файл по указанному пути.
Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
Ниже приведен пример события OMEPortal из PowerShell с открывающим сообщением в действии портала зашифрованных сообщений.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:00:59 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : MessageAccess
AuditData : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 6
ResultCount : 7
Identity : a3500d45-6ab3-4971-a762-a01a846015d0
IsValid : True
ObjectState : Unchanged
Используйте следующую команду, чтобы найти сценарий, в котором пользователь просматривает вложение. Пример результата командлета PowerShell также показан ниже.
Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)
Ниже приведен пример события AipSensitivityLabelAction из PowerShell с обновленной меткой конфиденциальности.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:04:09 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : AttachmentReview
AuditData : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 4
ResultCount : 7
Identity : ef29c387-c81b-4812-9020-90b378d92cde
IsValid : True
ObjectState : Unchanged
К другим операциям, которые можно специально искать в OMEPortal, относятся AttachmentDownload, AuthenticationRequest, MessageAccess и MessageForward.
Атрибуты события OMEPortal
В следующей таблице содержатся сведения, связанные с событиями OMEPortal.
| Событие | Тип | Описание |
|---|---|---|
| Действие | String | Тип действия для журнала аудита. Для OMEPortal операции могут включать: - ВложениеСкачать — AttachmentReview — AuthenticateRequest — MessageAccess — MessageForward |
| AttachmentName | String | Часть AuditData. Имя вложения в сообщении. |
| AuditData | String | Сведения журнала о действии OMEPortal. |
| AuthenticationMethod | String | Часть AuditData. Тип проверки подлинности, используемый для входа на портал. Значения: -OTP -Yahoo -Microsoft |
| AuthenticationStatus | Двойное с плавающей точкой | Состояние проверки подлинности. 0 = успешно 1 = сбой |
| CreationTime | Дата и время | Дата и время выполнения действия пользователем в формате UTC. |
| Id | Глобальный уникальный идентификатор (GUID) | Уникальный идентификатор записи аудита. |
| MessageId | String | ИД сообщения. |
| Operation | String | То же значение, что и действие. |
| OperationProperties | String | Часть AuditData. Содержит тему сообщения электронной почты. |
| Recipient | String | Часть AuditData. Адрес электронной почты пользователя, обращаюющегося к сообщению на портале зашифрованных сообщений. |
| RecordType | Двойное с плавающей точкой | Тип операции, указанный в записи. 154 представляет запись OMEPortal. |
| ResultsStatus | String | Операция была успешной или неудачной. |
| Sender | String | Часть AuditData. Адрес электронной почты пользователя, отправив зашифрованное сообщение. |
| Workload | String | Exchange для указания электронной почты на портале зашифрованных сообщений. |
| UserId | String | Имя участника-пользователя (UPN) пользователя в вашей организации, отправившего зашифрованное сообщение о действии, которое привело к регистрации записи. |