Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como investigar a atividade da caixa de correio partilhada com o registo de auditoria do Microsoft Purview e o Exchange Online PowerShell. Descreve padrões de pesquisa práticos e passos de remediação para encontrar eliminações, atividade enviada como, navegação de pastas, regra de caixa de correio e alterações de reencaminhamento e outras ações de delegado.
Utilize estes métodos para investigar:
- Email eliminações de caixas de correio partilhadas
- Quem enviou e-mails de caixas de correio partilhadas
- Delegar atividades de acesso
- Email move-se entre pastas
- Reencaminhamento e configurações de regras
- E-mails em falta em caixas de correio partilhadas
Antes de começar
Para investigar atividades de caixas de correio partilhadas, precisa de:
- A função Registos de Auditoria atribuída no Microsoft Purview
- Para ligar ao Exchange Online PowerShell através do Connect-ExchangeOnline
Como investigar atividades de caixas de correio partilhadas
Utilize estes métodos para investigar atividades em caixas de correio partilhadas. Escolha o método com base no tipo de atividade que está a investigar.
Procurar e-mails eliminados em caixas de correio partilhadas
Para procurar registos de auditoria de eliminações de e-mail de uma caixa de correio partilhada, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500
Este comando procura:
- SoftDelete: Itens movidos para a pasta Itens Eliminados.
- HardDelete: Itens removidos permanentemente da caixa de correio.
- MoveToDeletedItems: Itens movidos para Itens Eliminados por ação do utilizador.
Procurar e-mails enviados a partir de caixas de correio partilhadas
Para identificar quem enviou e-mails a partir de uma caixa de correio partilhada com permissões de delegado, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500
Procurar movimentações de e-mail entre pastas
Para procurar operações de movimentação numa caixa de correio partilhada, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300
Monitorizar o acesso a pastas delegadas (FolderBind)
Para controlar quando os delegados navegam em pastas específicas em caixas de correio partilhadas, utilize os seguintes passos:
Verificar a configuração do FolderBind:
Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}
Ativar a auditoria folderBind:
Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}
Procure atividades de navegação em pastas:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500
Importante
FolderBind monitoriza apenas o acesso de delegados e pastas de administrador. Não regista pastas de navegação dos proprietários de caixas de correio partilhadas. Ative-o proativamente para monitorização de conformidade e segurança.
Casos de utilização comuns:
- Monitorizar o acesso a pastas confidenciais em caixas de correio partilhadas por executivos
- Registos de auditoria de conformidade para requisitos regulamentares
- Investigações de segurança de navegação de pastas não autorizadas
- Delegar análise de comportamento para governação
Investigar atividades de acesso delegado
Para identificar utilizadores com permissões de delegado para uma caixa de correio partilhada, execute o seguinte comando:
Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}
Para procurar atividades realizadas por um delegado específico, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500
Importante
Utilize -UserIds para localizar atividades executadas por um utilizador delegado específico. Não utilize -UserIds com o endereço da caixa de correio partilhada, uma vez que esta ação não devolve atividades de delegado executadas na caixa de correio partilhada. Para atividades realizadas na caixa de correio partilhada por qualquer utilizador (incluindo delegados), utilize o -FreeText parâmetro conforme mostrado noutras secções.
Monitorizar atividades de acesso ao e-mail
Para procurar atividades de acesso ao e-mail em caixas de correio partilhadas, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200
Observação
Este comando requer Microsoft 365 E5 licenciamento para capturar MailItemsAccessed operações.
Procurar configuração de reencaminhamento de e-mail
Para localizar quem configurou o reencaminhamento de e-mail numa caixa de correio partilhada, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200
Procurar modificações de regras de caixa de correio
Para procurar atividades de criação ou modificação de regras de caixa de entrada, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100
Dica
Para uma investigação abrangente de regras de caixa de correio, consulte Identificar quem modificou as regras da caixa de correio para obter orientações detalhadas sobre como identificar quem criou, modificou ou eliminou regras de caixa de correio que possam estar a afetar a entrega de e-mail.
O que fazer quando as pesquisas não devolvem resultados
Se as pesquisas de registos de auditoria não encontrarem registos de atividades de caixa de correio partilhada, experimente estes passos para verificar a configuração de auditoria.
- Verifique se a auditoria está ativada ao nível da organização.
Get-OrganizationConfig | Select AuditDisabled
- Verifique se a auditoria está ativada para a caixa de correio partilhada específica.
Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled
- Ative a auditoria se estiver desativada.
Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true
Procedimentos avançados
Os procedimentos seguintes mostram como exportar resultados de auditoria e aplicar correções comuns de caixas de correio partilhadas:
Para ativar a cópia de itens enviados para a caixa de correio partilhada (para que os e-mails enviados apareçam na caixa de correio partilhada Itens Enviados), execute o seguinte comando:
Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true
Para remover o reencaminhamento de e-mail de uma caixa de correio partilhada, execute o seguinte comando:
Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null
Referência rápida
Operações de auditoria comuns para caixas de correio partilhadas
| Operação | Descrição | Foco da Investigação |
|---|---|---|
| Criar | E-mails criados ou enviados | atividades de criação de Email |
| PastaBind | Delegar acesso/navegação de pastas | Monitorizar quem acedeu a pastas específicas |
| HardDelete | Itens eliminados permanentemente | Eliminações permanentes da caixa de correio partilhada |
| MailItemsAccessed | Itens de caixa de correio acedidos | Email controlo de acesso (E5 obrigatório) |
| Mover | Itens movidos entre pastas | Alterações na organização da pasta |
| New-InboxRule | Regras de caixa de entrada criadas | Investigação de criação de regras |
| SendAs | E-mails enviados com permissões de delegado | Identificar quem enviou a partir da caixa de correio partilhada |
| Set-Mailbox | Definições da caixa de correio modificadas | Reencaminhamento e alterações de configuração |
| SoftDelete | Itens movidos para a pasta Itens Eliminados | Eliminações de utilizadores da caixa de correio partilhada |
Parâmetros de pesquisa de chaves
| Parâmetro | Descrição | Exemplo |
|---|---|---|
| -Texto Livre | Atividades realizadas numa caixa de correio específica | <shared-mailbox@domain.com> |
| -Operações | Filtrar por tipo de operação | SoftDelete,HardDelete,SendAs |
| -ResultSize | Limitar resultados (máx. 5000) | 500 (padrão), 1000 (abrangente) |
| -StartDate/-EndDate | Definir período de tempo de investigação | 01/06/2020, 01/20/2020 |
| -UserIds | Atividades realizadas por um utilizador específico | <delegate@domain.com> |
Importante
Substitua <shared-mailbox@domain.com> e <delegate@domain.com> pelos endereços de e-mail reais antes de executar os comandos.
Próximas etapas
- Gerir a auditoria da caixa de correio: ajuste as ações de caixa de correio partilhadas que são auditadas para capturar as atividades de que precisa.
- Identificar quem eliminou uma mensagem de e-mail ou por que motivo um e-mail está em falta: investigue eliminações de e-mail específicas detetadas na atividade da caixa de correio partilhada.
- Exportar, configurar e ver registos de auditoria: exporte os resultados da investigação da caixa de correio partilhada para preservação de provas.