Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare questo articolo per analizzare le modifiche alle regole delle cassette postali in Exchange Online. Illustra come visualizzare le regole correnti di posta in arrivo e inoltro di una cassetta postale e come eseguire ricerche nel log di controllo di Microsoft Purview per identificare chi ha creato, modificato o eliminato tali regole.
Usare questi metodi per analizzare:
- Modifiche alle regole di inoltro della posta elettronica
- Regole che causano la mancata visualizzazione dei messaggi di posta elettronica nelle cartelle previste
- Modifiche non autorizzate alle regole
Prima di iniziare
Per analizzare le modifiche alle regole della cassetta postale, è necessario:
- Ruolo Log di controllo assegnato in Microsoft Purview
- Per connettersi a Exchange Online PowerShell tramite Connect-ExchangeOnline
Come identificare le modifiche alle regole della cassetta postale
Usare questi due comandi essenziali per analizzare le modifiche alle regole della cassetta postale.
Controllare le regole correnti delle cassette postali
Queste informazioni mostrano:
- Configurazione della regola corrente: configurazione della regola
- Azioni della regola: Spostare, eliminare o inoltrare
- Stato regola: abilitato o disabilitato
Per visualizzare le regole attualmente esistenti in una cassetta postale, eseguire il comando seguente:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Cercare i record di controllo della modifica delle regole
Questa ricerca cerca:
- New-InboxRule: nuove regole create
- Set-InboxRule: regole esistenti modificate
- Remove-InboxRule: regole eliminate
Per scoprire chi ha creato, modificato o eliminato le regole della cassetta postale, eseguire il comando seguente:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Operazioni da eseguire quando le ricerche non restituiscono risultati
Se le ricerche di controllo non trovano record di modifica delle regole:
- Espandere l'intervallo di date per acquisire le modifiche meno recenti:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Abilitare il controllo per le modifiche delle regole future:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Riferimento rapido
Operazioni chiave per l'analisi delle regole
| Operazione | Descrizione |
|---|---|
| New-InboxRule | Nuova regola cassetta postale creata. |
| Remove-InboxRule | Regola cassetta postale eliminata. |
| Set-InboxRule | Regola cassetta postale esistente modificata. |
Comandi essenziali
| Comando | Finalità |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Controllare la configurazione della regola corrente. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Individuare chi ha apportato modifiche alle regole. |
Passaggi successivi
- Usare MailItemsAccessed per analizzare gli account compromessi: determinare se le modifiche alle regole non autorizzate indicano un account compromesso.
- Identificare chi ha eliminato un messaggio di posta elettronica o perché manca un messaggio di posta elettronica: verificare se le regole modificate hanno causato eliminazioni di posta elettronica o messaggi mancanti.
- Esportare, configurare e visualizzare i record del log di controllo: esportare i risultati della modifica delle regole per la documentazione di conformità.