この記事を使用して、Exchange Onlineのメールボックス ルールの変更を調査します。 メールボックスの現在の受信トレイと転送ルールを表示する方法と、Microsoft Purview 監査ログを検索して、それらのルールを作成、変更、または削除したユーザーを特定する方法を示します。
次のメソッドを使用して調査します。
- 電子メール転送ルールの変更
- 電子メールが予期されるフォルダーに表示されないルール
- 未承認の規則の変更
開始する前に
メールボックス ルールの変更を調査するには、次のものが必要です。
- Microsoft Purview で割り当てられた 監査ログ ロール
- Connect-ExchangeOnline を使用して PowerShell Exchange Onlineに接続するには
メールボックス ルールの変更を識別する方法
メールボックス ルールの変更を調査するには、これら 2 つの重要なコマンドを使用します。
現在のメールボックスルールを確認する
この情報には、次の情報が表示されます。
- 現在のルール構成: 規則の構成
- ルール アクション: 移動、削除、または転送
- ルールの状態: 有効または無効
メールボックスに現在存在するルールを確認するには、次のコマンドを実行します。
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
ルール変更監査レコードを検索する
この検索では、次の情報が検索されます。
- New-InboxRule: 新しいルールが作成されました
- Set-InboxRule: 既存のルールが変更されました
- Remove-InboxRule: ルールが削除されました
メールボックス ルールを作成、変更、または削除したユーザーを確認するには、次のコマンドを実行します。
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
検索で結果が返されない場合の処理
監査検索でルール変更レコードが見つからない場合:
- 日付範囲を展開 して、古い変更をキャプチャします。
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- 今後のルールの変更に対して監査を有効にします。
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
クイック リファレンス
ルール調査の主要な操作
| 操作 | 説明 |
|---|---|
| New-InboxRule | 新しいメールボックス ルールが作成されました。 |
| Remove-InboxRule | メールボックス ルールが削除されました。 |
| Set-InboxRule | 既存のメールボックス ルールが変更されました。 |
重要なコマンド
| command | 用途 |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
現在のルール構成を確認します。 |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
ルールを変更したユーザーを検索します。 |
次の手順
- MailItemsAccessed を使用して侵害されたアカウントを調査する: 承認されていないルールの変更が侵害されたアカウントを示しているかどうかを判断します。
- メール メッセージを削除したユーザーまたはメールが見つからない理由を特定する: 変更されたルールによって電子メールの削除が発生したか、メッセージが見つからないかを調査します。
- 監査ログ レコードのエクスポート、構成、および表示: コンプライアンス ドキュメントのルール変更結果をエクスポートします。