Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo investigar la actividad del buzón compartido mediante el registro de auditoría de Microsoft Purview y Exchange Online PowerShell. Describe patrones de búsqueda prácticos y pasos de corrección para buscar eliminaciones, actividad de envío como, exploración de carpetas, reglas de buzón y cambios de reenvío, y otras acciones de delegado.
Use estos métodos para investigar:
- eliminaciones Email de buzones compartidos
- Quién envió correos electrónicos desde buzones compartidos
- Delegar actividades de acceso
- Email se mueve entre carpetas
- Configuraciones de reglas y reenvío
- Faltan correos electrónicos en buzones compartidos
Antes de empezar
Para investigar las actividades de buzón compartido, necesita:
- El rol Registros de auditoría asignado en Microsoft Purview
- Para conectarse a Exchange Online PowerShell mediante Connect-ExchangeOnline
Investigación de actividades de buzón compartido
Use estos métodos para investigar las actividades en buzones compartidos. Elija el método en función del tipo de actividad que esté investigando.
Búsqueda de correos electrónicos eliminados en buzones compartidos
Para buscar registros de auditoría de eliminaciones de correo electrónico de un buzón compartido, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
Este comando busca:
- SoftDelete: elementos movidos a la carpeta Elementos eliminados.
- HardDelete: los elementos se quitan permanentemente del buzón.
- MoveToDeletedItems: elementos movidos a elementos eliminados por acción del usuario.
Búsqueda de correos electrónicos enviados desde buzones compartidos
Para identificar quién envió correos electrónicos desde un buzón compartido mediante permisos delegados, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
Búsqueda de movimientos de correo electrónico entre carpetas
Para buscar operaciones de traslado en un buzón compartido, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
Supervisión del acceso a carpetas de delegados (FolderBind)
Para realizar un seguimiento de cuándo los delegados examinan carpetas específicas en buzones compartidos, siga estos pasos:
Compruebe la configuración de FolderBind:
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
Habilitación de la auditoría de FolderBind:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
Busque actividades de exploración de carpetas:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
Importante
FolderBind solo realiza un seguimiento del acceso a las carpetas de delegado y administrador. No registra carpetas de exploración de propietarios de buzones compartidos. Habilitarlo de forma proactiva para la supervisión de cumplimiento y seguridad.
Casos de uso comunes:
- Supervisión del acceso a carpetas confidenciales en buzones compartidos ejecutivos
- Seguimientos de auditoría de cumplimiento para requisitos normativos
- Investigaciones de seguridad de la exploración de carpetas no autorizadas
- Delegar el análisis de comportamiento para la gobernanza
Investigación de actividades de acceso de delegado
Para identificar a los usuarios con permisos delegados en un buzón compartido, ejecute el siguiente comando:
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
Para buscar actividades realizadas por un delegado específico, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
Importante
Use -UserIds para buscar actividades realizadas por un usuario delegado específico. No use -UserIds con la dirección del buzón compartido, ya que esta acción no devuelve las actividades de delegado realizadas en el buzón compartido. Para las actividades realizadas en el buzón compartido por cualquier usuario (incluidos los delegados), use el -FreeText parámetro como se muestra en otras secciones.
Supervisión de las actividades de acceso al correo electrónico
Para buscar actividades de acceso al correo electrónico en buzones compartidos, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
Nota:
Este comando requiere licencias de Microsoft 365 E5 para capturar MailItemsAccessed operaciones.
Búsqueda de la configuración de reenvío de correo electrónico
Para buscar quién configuró el reenvío de correo electrónico en un buzón compartido, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
Búsqueda de modificaciones de reglas de buzón
Para buscar actividades de creación o modificación de reglas de bandeja de entrada, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
Sugerencia
Para obtener una investigación completa de reglas de buzón de correo, vea Identificar quién modificó las reglas de buzón para obtener instrucciones detalladas sobre cómo identificar quién creó, modificó o eliminó reglas de buzón que podrían estar afectando a la entrega de correo electrónico.
Qué hacer cuando las búsquedas no devuelven resultados
Si las búsquedas de registros de auditoría no encuentran registros de actividad de buzones compartidos, pruebe estos pasos para comprobar la configuración de auditoría.
- Compruebe si la auditoría está habilitada en el nivel de organización.
Get-OrganizationConfig | Select AuditDisabled
- Compruebe si la auditoría está habilitada para el buzón compartido específico.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- Habilite la auditoría si está deshabilitada.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
Procedimientos avanzados
Los procedimientos siguientes muestran cómo exportar los resultados de auditoría y aplicar correcciones comunes de buzones compartidos:
Para habilitar los elementos enviados que se copian en el buzón compartido (por lo que los correos electrónicos enviados aparecen en elementos enviados de buzón compartido), ejecute el siguiente comando:
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
Para quitar el reenvío de correo electrónico de un buzón compartido, ejecute el siguiente comando:
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
Referencia rápida
Operaciones comunes de auditoría para buzones compartidos
| Operación | Descripción | Enfoque de investigación |
|---|---|---|
| Crear | Correos electrónicos creados o enviados | actividades de creación de Email |
| FolderBind | Delegación del acceso o exploración de carpetas | Supervisión de quién ha accedido a carpetas específicas |
| HardDelete | Elementos eliminados permanentemente | Eliminaciones permanentes del buzón compartido |
| MailItemsAccessed | Elementos de buzón a los que se ha accedido | Email seguimiento de acceso (se requiere E5) |
| Mover | Elementos movidos entre carpetas | Cambios en la organización de carpetas |
| New-InboxRule | Reglas de bandeja de entrada creadas | Investigación de creación de reglas |
| SendAs | Correos electrónicos enviados mediante permisos delegados | Identificación de quién se envió desde un buzón compartido |
| Set-Mailbox | Configuración del buzón modificada | Cambios de reenvío y configuración |
| SoftDelete | Elementos movidos a la carpeta Elementos eliminados | Eliminaciones de usuarios del buzón compartido |
Parámetros de búsqueda de claves
| Parámetro | Descripción | Ejemplo |
|---|---|---|
| -FreeText | Actividades realizadas en un buzón específico | <shared-mailbox@domain.com> |
| -Operations | Filtrar por tipo de operación | SoftDelete,HardDelete,SendAs |
| -ResultSize | Resultados límite (máximo 5000) | 500 (estándar), 1000 (completo) |
| -StartDate/-EndDate | Definición del período de tiempo de investigación | 01/06/2020, 01/20/2020 |
| -UserIds | Actividades realizadas por un usuario específico | <delegate@domain.com> |
Importante
Reemplace <shared-mailbox@domain.com> y <delegate@domain.com> por las direcciones de correo electrónico reales antes de ejecutar comandos.
Pasos siguientes
- Administrar la auditoría de buzones: ajuste qué acciones de buzón compartido se auditan para capturar las actividades que necesita.
- Identificar quién eliminó un mensaje de correo electrónico o por qué falta un correo electrónico: investigue las eliminaciones de correo electrónico específicas detectadas en la actividad de buzón compartido.
- Exportar, configurar y ver registros de auditoría: exporte los resultados de la investigación del buzón compartido para la conservación de pruebas.