Cercare nel log di controllo le attività delle cassette postali in cassette postali specifiche

Questo articolo illustra come cercare le attività delle cassette postali in Microsoft Purview Audit per una cassetta postale specifica, incluse le cassette postali condivise. Vengono illustrati gli scenari di indagine comuni, ad esempio quando i log di controllo delle cassette postali sono mancanti o non sono disponibili. Fornisce istruzioni dettagliate per verificare la configurazione del controllo, le autorizzazioni, i criteri di conservazione e i metodi di ricerca.

Prima di iniziare

Per completare la procedura descritta in questo articolo, è necessario:

• Indirizzo di posta elettronica della cassetta postale interessata.
• Tipo di licenza assegnato alla cassetta postale interessata.
• Dettagli sull'operazione che si sta cercando e la data e l'ora in cui si è verificato.
• Informazioni su come vengono eseguite le ricerche nei log di controllo in Microsoft Purview Audit.

Controllare lo stato di controllo delle cassette postali

Completare la procedura seguente per verificare che il controllo delle cassette postali sia abilitato:

1. In Exchange Online PowerShell eseguire il comando seguente per controllare la configurazione di controllo a livello di organizzazione:

   Get-AdminAuditLogConfig | FL UnifiedAudit*
   

   Nota

   Eseguire questo comando in Exchange Online PowerShell. In PowerShell sicurezza & conformità la UnifiedAuditLogIngestionEnabled proprietà restituisce Falsesempre , anche quando il controllo è abilitato.

2. Controllare se i log di controllo delle cassette postali sono disabilitati a livello di tenant:

   Get-OrganizationConfig | FL AuditDisabled
   

3. A livello di cassetta postale, AuditEnabled restituisce Truesempre , anche se il controllo è disabilitato per una cassetta postale specifica. Per verificare, usare:

   Get-Mailbox -Filter {AuditEnabled -eq "True"}
   

Se viene visualizzato un errore che indica che non è possibile trovare la cassetta postale, il controllo è disabilitato per tale cassetta postale. Per altre informazioni, vedere Verificare lo stato del controllo per l'organizzazione.

Verificare le autorizzazioni di amministratore

Assicurarsi di disporre delle autorizzazioni necessarie per la ricerca o l'esportazione dei log di controllo:

1. Nel portale di Microsoft Purview passare a Impostazioni>Ruoli e ambitiGruppi di> ruoli.
2. Verificare che l'account sia assegnato al ruolo Log di controllo o Log di controllo di sola visualizzazione.
3. Nell'interfaccia di amministrazione di Exchange usare il ruolo Log di controllo per abilitare o disabilitare i cmdlet di controllo e di controllo di accesso. Usare il ruolo Log di controllo di sola visualizzazione per concedere l'accesso in sola lettura ai log di controllo.

Per altre informazioni, vedere Assegnare le autorizzazioni per la ricerca nel log di controllo.

Controllare i criteri di conservazione dei log di controllo

I criteri di conservazione dei log di controllo determinano se le attività meno recenti sono ancora disponibili:

1. Determinare quando si è verificata l'attività.
2. Per impostazione predefinita, i log di controllo vengono conservati per 180 giorni.
3. Se l'utente interessato non dispone di una licenza Di controllo (Premium) e non è configurato alcun criterio di conservazione del controllo, i log di controllo precedenti a 180 giorni non sono disponibili.

Per altre informazioni, vedere Get-UnifiedAuditLogRetentionPolicy.

Cercare le attività della cassetta postale in Microsoft Purview Audit

Durante la ricerca di attività, usare i filtri corretti in base al tipo di cassetta postale.

Cassetta postale utente: filtri di controllo consigliati

• Intervallo di data e ora (UTC): specificare quando si è verificata l'attività. I timestamp di controllo sono sempre in formato UTC.
• Utenti: immettere la cassetta postale interessata.
• Attività : nomi delle operazioni: selezionare l'operazione specifica che si sta cercando.
• Attività: nomi descrittivi: in alternativa, usare i nomi delle attività descrittive dell'elenco a discesa.

Cassetta postale condivisa : filtri di controllo consigliati

• Intervallo di data e ora (UTC): specificare quando si è verificata l'attività.
• Parole chiave: immettere l'indirizzo SMTP primario o il GUID di Exchange della cassetta postale condivisa.

Specifiche di controllo delle cassette postali condivise

Per impostazione predefinita, il sistema non controlla tutte le azioni per le cassette postali condivise. Le azioni controllate dipendono dal ruolo della persona che accede alla cassetta postale:

• Proprietario: account associato alla cassetta postale.
• Delegato: un utente con autorizzazioni SendAs, SendOnBehalf o FullAccess per un'altra cassetta postale. Questo ruolo può includere amministratori assegnati FullAccess alla cassetta postale di un utente.
• Amministrazione: accesso tramite gli strumenti microsoft eDiscovery in Microsoft Purview o Exchange Online, uso dell'editor MAPI Microsoft Exchange Server o accesso da parte di un account che rappresenta un altro utente (con il ruolo ApplicationImpersonation).

Prima di eseguire la ricerca, consultare la documentazione ufficiale per verificare se l'azione in corso di analisi viene verificata per il tipo di accesso specifico. Vedere Azioni cassetta postale per le cassette postali degli utenti e le cassette postali condivise.

Passaggi successivi

• Identificare chi ha eliminato un messaggio di posta elettronica o perché manca un messaggio di posta elettronica: analizzare le eliminazioni di posta elettronica specifiche trovate nei risultati di ricerca della cassetta postale.
• Analizzare le attività delle cassette postali condivise usando i log di controllo: approfondire le attività delle cassette postali condivise, tra cui l'accesso e l'inoltro dei delegati.
• Esportare, configurare e visualizzare i record del log di controllo: esportare i risultati dell'attività della cassetta postale in CSV per l'analisi offline.