Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare questo articolo per analizzare i messaggi di posta elettronica mancanti in Exchange Online e identificare chi li ha eliminati. Guida gli amministratori tramite l'uso del log di controllo di Microsoft Purview e Exchange Online PowerShell per individuare gli eventi di eliminazione, analizzare le configurazioni delle cassette postali, controllare la conservazione e l'attività di migrazione e determinare se le regole delle cassette postali o l'accesso alle cassette postali condivise hanno causato la perdita.
Usare questi metodi per analizzare:
- Messaggi di posta elettronica eliminati da utenti o amministratori
- Messaggi di posta elettronica mancanti dopo problemi di migrazione o sincronizzazione
- Messaggi di posta elettronica rimossi dalle regole delle cassette postali o dai criteri di conservazione
- Messaggi di posta elettronica eliminati dalle cassette postali condivise
- Messaggi di posta elettronica non visualizzati nelle cartelle previste
Prima di iniziare
Per analizzare i messaggi di posta elettronica eliminati e i messaggi mancanti, è necessario:
- Ruolo Log di controllo assegnato in Microsoft Purview
- Per connettersi a Exchange Online PowerShell tramite Connect-ExchangeOnline
Come identificare i messaggi di posta elettronica eliminati
Usare i metodi seguenti per analizzare i messaggi di posta elettronica mancanti e identificare le attività di eliminazione. Scegliere il metodo in base al tipo di eliminazione in corso di analisi.
Cercare i messaggi di posta elettronica eliminati in base al tipo di operazione
Utilizzare questo metodo per cercare le operazioni seguenti:
- SoftDelete: elementi spostati nella cartella Posta eliminata.
- HardDelete: elementi rimossi definitivamente dalla cassetta postale.
- MoveToDeletedItems: elementi spostati nella cartella Posta eliminata per azione dell'utente.
Per cercare record di controllo delle eliminazioni di posta elettronica usando operazioni di eliminazione specifiche, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Sostituire <user1,user2> con gli indirizzi di posta elettronica degli utenti. Specificare più utenti separando i nomi utente con virgole.
Cercare le eliminazioni di cassette postali condivise
Per analizzare le eliminazioni dalle cassette postali condivise, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <sharedmailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Nota
Il controllo delle cassette postali condivise potrebbe non essere abilitato per impostazione predefinita. Se questa ricerca non restituisce alcun risultato, vedere Controllo delle cassette postali condivise non configurato per abilitare il controllo.
Cercare i messaggi di posta elettronica mancanti usando parole chiave
Questo metodo consente di identificare i record di eliminazione per i messaggi di posta elettronica con argomenti o contenuti specifici.
Per cercare record di controllo correlati a messaggi di posta elettronica mancanti specifici, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText "<email subject or keyword>" -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 1000
Cercare attività di posta elettronica complete
Questa ricerca più ampia include spostamenti e aggiornamenti che potrebbero spiegare i messaggi di posta elettronica mancanti.
Per cercare tutte le attività che influiscono sulla visibilità della posta elettronica, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations SoftDelete,HardDelete,MoveToDeletedItems,Move,Update,Create -ResultSize 1000
Informazioni sui risultati della ricerca
Non ottenere risultati dalle ricerche di controllo può fornire informazioni importanti su ciò che non ha causato i messaggi di posta elettronica mancanti:
- Operazioni di eliminazione non trovate: consente di escludere le eliminazioni avviate dall'utente durante l'intervallo di tempo.
- Nessuna azione dei criteri di conservazione: indica che i criteri automatizzati non hanno eliminato i messaggi di posta elettronica.
- Nessuna attività di migrazione: mostra che i processi di migrazione non hanno rimosso i messaggi di posta elettronica.
- Nessuna azione di amministratore: conferma che gli amministratori non hanno eseguito operazioni bulk.
Nota
Documento che cerca non restituisce risultati. Queste informazioni consentono di limitare la causa radice eliminando le potenziali cause.
Risultati della ricerca mancanti
Se le ricerche nel log di controllo non trovano record di eliminazione per i messaggi di posta elettronica mancanti, provare la procedura seguente.
Messaggi di posta elettronica mancanti senza record di controllo dell'eliminazione
Seguire questa procedura per analizzare quando mancano i messaggi di posta elettronica, ma non vengono trovati record di controllo dell'eliminazione.
Controllare se il controllo è stato abilitato quando si è verificata l'eliminazione.
Get-Mailbox <mailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,WhenCreatedAbilitare il controllo completo per il monitoraggio futuro.
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems","Move","Create","Update"}Cercare le azioni dei criteri di conservazione che potrebbero rimuovere i messaggi di posta elettronica.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations TaggedAsRecord,ApplyRetentionTag -ResultSize 1000Se questo comando non restituisce alcun risultato, indica che i criteri di conservazione non hanno eliminato automaticamente i messaggi di posta elettronica durante l'intervallo di tempo specificato. Queste informazioni consentono di escludere le eliminazioni automatizzate basate su criteri come causa di messaggi di posta elettronica mancanti.
Controllo delle cassette postali condivise non configurato
Seguire questa procedura per abilitare il controllo per le cassette postali condivise quando non vengono trovati record di eliminazione.
Controllare la configurazione di controllo corrente per la cassetta postale condivisa.
Get-Mailbox <sharedmailbox> | Select AuditEnabled,AuditOwner,AuditDelegate,AuditAdminAbilitare il controllo completo per la cassetta postale condivisa.
Set-Mailbox <sharedmailbox> -AuditEnabled $true -AuditOwner @{Add="SoftDelete","HardDelete","MoveToDeletedItems"} -AuditDelegate @{Add="SoftDelete","HardDelete","MoveToDeletedItems","SendAs","Move"}Cercare le attività degli utenti con accesso condiviso alle cassette postali.
Get-MailboxPermission <sharedmailbox> | Where {$_.User -ne "NT AUTHORITY\SELF"} | ForEach { Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds $_.User -Operations SoftDelete,HardDelete -ResultSize 100 }
Analisi della perdita di posta elettronica correlata alla migrazione
La procedura seguente illustra come analizzare i messaggi di posta elettronica persi durante i processi di migrazione.
Cercare le attività correlate alla migrazione durante l'intervallo di tempo della migrazione.
Search-UnifiedAuditLog -StartDate <migration_start_date> -EndDate <migration_end_date> -UserIds <user1,user2> -FreeText "<migration subject or keyword>" -ResultSize 1000
Procedure di indagine avanzate
Le procedure seguenti illustrano come eseguire un'analisi dettagliata quando le ricerche standard non rivelano la causa dei messaggi di posta elettronica mancanti.
Analizzare le regole delle cassette postali che potrebbero eliminare i messaggi di posta elettronica
Se si sospetta che le regole delle cassette postali stiano causando l'eliminazione o lo spostamento dei messaggi di posta elettronica in cartelle impreviste, usare le procedure di analisi delle regole della cassetta postale dedicate seguenti.
Consiglio
Per un'analisi completa delle regole delle cassette postali, vedere Identificare chi ha modificato le regole delle cassette postali per indicazioni dettagliate sull'identificazione delle regole delle cassette postali create, modificate o eliminate che potrebbero influire sul recapito della posta elettronica.
Analizzare i criteri di conservazione e conformità
Per verificare se i criteri di conformità causano l'eliminazione della posta elettronica, eseguire i comandi seguenti:
Controllare i criteri di conservazione applicati alla cassetta postale.
Get-Mailbox <mailbox> | Select RetentionPolicy,LitigationHoldEnabled,RetainDeletedItemsForCercare le eliminazioni correlate alla conformità.
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations ComplianceSettingChanged,RetentionPolicyApplied -ResultSize 1000
Verificare la presenza di azioni di amministratore
Per verificare se gli amministratori hanno eseguito azioni che hanno interessato i messaggi di posta elettronica, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations Remove-MailboxFolderPermission,Set-Mailbox,New-MailboxExportRequest,New-MailboxImportRequest -ResultSize 1000
Riferimento rapido
Operazioni chiave per l'analisi delle eliminazioni
| Operazione | Descrizione | Caso d'uso |
|---|---|---|
| ApplyRetentionTag | Criteri di conservazione applicati agli elementi | Azioni automatizzate dei criteri |
| HardDelete | Elementi rimossi definitivamente dalla cassetta postale | Eliminazioni permanenti, indagine di secondo livello |
| Move | Elementi spostati tra cartelle | Analizzare le modifiche alle cartelle |
| MoveToDeletedItems | Elementi spostati in Elementi eliminati per azione dell'utente | Spostamento avviato dall'utente in elementi eliminati |
| SoftDelete | Elementi spostati nella cartella Posta eliminata | Eliminazioni utente, analisi di primo livello |
| TaggedAsRecord | Elementi contrassegnati per la conservazione | Azioni correlate alla conformità |
Parametri di ricerca per l'analisi delle eliminazioni
| Parametro | Descrizione | Esempio |
|---|---|---|
| -Freetext | Cercare identificatori di posta elettronica specifici | <email subject or unique identifier> |
| -Operazioni | Filtrare in base ai tipi di attività di eliminazione | SoftDelete,HardDelete,MoveToDeletedItems |
| -ResultSize | Numero di risultati da restituire | 1.000 (standard), 5.000 (completo) |
| -StartDate/-EndDate | Definire l'intervallo di tempo dell'indagine | In base a quando i messaggi di posta elettronica sono scomparsi |
| -UserIds | Filtrare in base a chi ha eseguito l'azione | <user1@domain.com,user2@domain.com> |
Passaggi successivi
- Usare MailItemsAccessed per analizzare gli account compromessi: verificare se le eliminazioni fanno parte di una compromissione dell'account più ampia.
- Identificare chi ha modificato le regole delle cassette postali: verificare se le regole delle cassette postali stanno eliminando o inoltrando automaticamente i messaggi.
- Esportare, configurare e visualizzare i record del log di controllo: esportare i risultati dell'indagine per la creazione di report o la conservazione delle prove.