使用 PowerShell 在 Office 365 用户中启用邮箱审核

审核邮箱活动在安全性和合规性方面发挥着至关重要的作用。邮箱审核允许您跟踪用户在自己的邮箱和其他人的邮箱上的操作。因此，您可以跟踪谁登录了邮箱以及执行了哪些操作。

启用邮箱审核日志之前需要了解的事项：

在启用之前，您必须了解有效邮箱审核的清单。

• 每个人都认为 Office 365 中默认启用邮箱审核。但这并不是100%正确。默认情况下仅审核特定操作。

• 邮箱审核日志包括管理员、代理人和所有者执行的操作。

  • 所有者审核 - 邮箱所有者所做的活动
• 委托审核 - 由对邮箱具有完全访问权限、代理发送或代表发送权限的用户以及对邮箱具有完全访问权限的管理员执行的操作。
• 管理审核 - 当 Microsoft 电子数据展示工具搜索邮箱时。

• 特定审核操作不适用于委托或管理角色。
• 默认情况下，邮箱审核日志条目保留 90 天。您可以使用“AuditLogAgeLimit”参数更改此期限。

在 Office 365 中启用邮箱审核日志记录：

您无法使用 Exchange 管理中心启用或禁用邮箱审核日志记录。您必须使用 PowerShell cmdlet。

在本博客中，我们将向您展示如何轻松启用 Office 365 邮箱的邮箱审核日志记录。我们将展示多种方法，您可以选择对您来说更简单的一种。

1.（推荐）方法一：快速为Office 365用户启用邮箱审核（PowerShell脚本）

2.方法2：在Office 365中启用邮箱审核日志记录（基于邮箱）

为特定邮箱启用邮箱审核日志记录

为所有邮箱启用邮箱审核日志记录

3.方法3：默认在Office 365中启用邮箱审核（租户范围）

验证邮箱审核日志记录是否默认启用

如何选择退出默认邮箱审核

绕过邮箱审核日志记录中的用户帐户

4.更多用于配置邮箱审核日志记录的cmdlet

5.邮箱审核日志中记录了哪些操作

方法1：快速为Office 365用户启用邮箱审核（PowerShell脚本）

我编写了一个脚本来处理启用 Office 365 邮箱审核的每一个细微差别。您只需运行脚本即可对环境中的所有邮箱启用所有适用的操作。如果需要，您应仅针对特定邮箱操作启用审核。

下载脚本：EnableMBAuditLogging.ps1

脚本亮点：

• 您可以使用单个 cmdlet 为所有邮箱启用邮箱审核日志记录
• 此脚本允许您为所有邮箱操作或一组操作启用邮箱审核
• 该脚本也可以使用启用 MFA 的帐户执行。
• 此脚本会在您确认后自动安装 Exchange Online PowerShell 模块

如何执行“在 Office 365 PowerShell 脚本中启用邮箱审核”

此 PowerShell 脚本支持多个参数/开关以进行更精细的配置。我们在下面列出了一些用例。

注意：很少有特定于订阅类型的操作。对于前，

• MessageBind 可供 E3 用户使用，
• MailItemsAccessed、SearchQueryInitiated、Send 可供 E5 或 E5 合规性附加订阅用户使用。

1.为所有 Office 365 邮箱启用邮箱审核日志记录：

要使用所有受支持的邮箱操作为所有邮箱启用邮箱审核日志记录，请执行以下脚本：

./EnableMailboxAuditLogging.ps1

现在，所有登录类型的所有邮箱操作都会受到审核。

2.为特定邮箱操作启用邮箱审核日志记录：

如果您不想为邮箱操作启用邮箱审核日志记录，则可以为一组邮箱操作启用邮箱审核日志记录。要指定邮箱操作列表，您可以使用 -Operations 参数。

./EnableMailboxAuditLogging.ps1 -Operations SendAs,ApplyRecord,Copy

上述脚本启用了 SendAs、ApplyRecord 和 Copy 操作的邮箱审核。您可以选择需要审核的任何操作。

注意：SendAs 操作适用于管理员和委派审核，而复制操作仅适用于管理员审核。因此，上述 cmdlet 可以启用以下操作。

管理员审核 - SendAs、ApplyRecord、Copy

委托审核 - SendAs、ApplyRecord

所有者审核 - 应用记录。

3.启用邮箱登录审核：

登录是大多数攻击模式中的一种常见活动。由于默认情况下不会审核邮箱登录，因此您需要配置审核日志记录以捕获邮箱登录事件。要启用邮箱登录审核，请运行如下所示的脚本。

./EnableMailboxAuditLogging.ps1 -Operations MailboxLogin

4.在 Office 365 中启用邮箱审核的 PowerShell 脚本

您可以将凭据作为参数传递以连接 Exchange Online。因此，您可以在任务计划程序中使用此 PowerShell 脚本。

./EnableMailboxAuditLogging.ps1 -UserName [email protected] -Password XXX

方法 2：在 Office 365 中启用邮箱审核（基于邮箱）

当您为邮箱启用邮箱审核日志记录时，默认情况下会记录管理员、代理人和所有者执行的操作。 Set-Mailboxcmdlet 用于启用或禁用邮箱的审核日志记录。

注意：要启用邮箱审核日志记录，您需要连接 Exchange Online PowerShell。如果您的帐户启用了 MFA，则可以通过 EXO 模块连接 Exchange Online PowerShell。

为特定邮箱启用邮箱审核日志记录：

要启用邮箱审核日志记录，请运行 Set-Mailbox cmdlet，并将 AuditEnabled 值设置为 $True。

Set-Mailbox -Identity [email protected] -AuditEnabled $True

上面的示例启用了 Kathy 邮箱的邮箱审核日志。

Set-Mailbox -Identity [email protected] -AuditEnabled $False

此代码禁用 Kathy 邮箱的邮箱审核日志。

为所有用户启用邮箱审核日志记录：

要为所有邮箱启用邮箱审核日志记录，请运行以下代码：

Get-Mailbox -Resultsize Unlimited | Select PrimarySmtpAddress | Foreach{ 
Set-Mailbox -Identity $_.PrimarySMTPAddress -AuditEnabled $true }

这将为 Office 365 环境中可用的每个邮箱启用邮箱审核。

方法 3：默认启用 Office 365 邮箱审核日志记录（租户范围）

Microsoft 推出了租户范围的审核日志记录配置，而不是特定于邮箱的设置。此功能默认启用邮箱审核。即，Exchange 自动审核管理员、代理人和所有者对所有用户邮箱、Office 365 组邮箱和共享邮箱执行的一组操作。

笔记：

• 当 Microsoft 发布新操作时，该操作（准确地说，是帮助您保护组织的操作）会自动添加到默认审核的操作中。
• 如果您在“启用默认情况下启用邮箱审核”之前自定义了要审核的邮箱操作，则个性化设置将被保留，并且默认邮箱操作不会被覆盖。

验证邮箱审核日志记录是否默认启用

要检查配置，请运行 Get-OrganizationConfig cmdlet

Get-OrganizationConfig | Select AuditDisabled

默认情况下，AuditDisabled 值为 $False。即，审计被跟踪。即使邮箱的AuditEnabled（从Get-Mailbox 检索）设置为 $false，也会审核默认操作集。

如何选择退出默认邮箱审核？

要停止捕获租户范围内的邮箱审核日志，请运行 Set-OrganizationConfig cmdlet，并将 AuditDisabled 设置设为 true 。

Set-OrganizationConfig -AuditDisabled $True

上述 cmdlet 禁用所有邮箱的默认邮箱审核日志记录。

绕过邮箱审核日志记录中的用户帐户：

当您的组织打开“默认启用邮箱审核日志记录”时，即使邮箱的“AuditEnabled”设置为 false，也会记录邮箱审核。不过，您仍然可以禁用特定邮箱的邮箱审核日志记录。

您可以将邮箱配置为绕过邮箱审核日志记录，这样就不会记录该帐户执行的操作。通过绕过需要频繁访问邮箱的授权帐户/受信任帐户，您可以减少审核条目的泛滥。

使用 Set-MailboxAuditBypassAssociation cmdlet 配置邮箱审核日志记录旁路。

为帐户启用“邮箱审核日志记录旁路”：

要绕过邮箱审核日志记录的用户帐户，请运行以下 cmdlet：

Set-MailboxAuditBypassAssociation -Identity kathy -AuditBypassEnabled $true

此示例绕过邮箱审核日志记录中的 Kathy 帐户

为帐户禁用“邮箱审核日志记录旁路”：

要禁用“邮箱审核绕过”，请运行 Set-MailboxAuditBypassAssociation cmdlet，并将 AuditBypassEnabled 设置为 false。

Set-MailboxAuditBypassAssociation -Identity Kathy -AuditBypassEnabled $false

此示例删除 Kathy 帐户的旁路关联。

检查邮箱关联：

要检查邮箱审核绕过关联，请运行以下 cmdlet

Get-MailboxAuditBypassAssociation -ResultSize Unlimited

上述 cmdlet 将检索配置为绕过邮箱审核日志记录的所有用户帐户。

用于配置邮箱审核日志记录的其他 Cmdlet：

1.为特定登录类型（所有者、管理员或代理人）配置邮箱审核日志记录设置

Set-Mailbox -Identity Kathy -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true

此示例列出了将记录 Kathy 邮箱的委托用户执行的 SendAs 和 SendOnBehalf 操作。

2.配置特定操作的邮箱审核日志记录（复制、FolderBind、硬删除等）

Set-Mailbox -Identity Kathy -AuditDelegate HardDelete,SoftDelete -AuditAdmin HardDelete,SoftDelete -AuditOwner HardDelete,SoftDelete -AuditEnabled $true

上述 cmdlet 审核所有登录类型执行的 HardeDelete 和 SoftDelete 操作。

3.配置邮箱审核日志记录以附加操作，而不覆盖现有列表

如果您运行以上两个 cmdlet，它将覆盖现有列表。如果要将操作附加到现有列表，请运行以下代码。

考虑一下，AuditDelegate 已配置为审核 Kathy 的 HardDelete 和 SoftDelete。

Set-Mailbox -Identity Kathy -AuditDelegate @{Add=SendAs,SendOnBehalf}

此示例将 SendAs 和 SendOnBehalf 操作附加到现有的 HardDelete 和 SoftDelete 操作。

4.增加审计日志的保留期限

默认情况下，邮箱审核日志保留 90 天。如果要保留审核日志超过90天，则需要增加“AuditLogAgeLimit”。

Set-Mailbox -Identity Kathy -AuditLogAgeLimit 365

此示例将 Kathy 邮箱中的邮箱审核日志条目的期限增加到 365 天。

5.你怎么知道这有效？

要验证您是否已成功配置邮箱审核日志记录，请使用 Get-Mailbox cmdlet

Get-Mailbox -Identity Kathy | Format-List Audit*

输出显示 AuditEnabled、AuditLogAgeLimit、为管理员、代理人和所有者配置的操作。

6.显示每种登录类型正在登录的邮箱操作

当邮箱对每种登录类型有多个操作时，所有操作都将使用最后一个 cmdlet 显示。它将显示为下面的屏幕截图。

要显示针对特定登录类型记录的所有操作，请使用 ExpandProperty 参数。

此处的示例列出了针对 AuditDelegate 登录类型进行审核的操作。

Get-Mailbox -Identity Kathy | Select-Object -ExpandProperty AuditDelegate

邮箱审核日志中记录了哪些操作？

启用邮箱审核日志后，您可以使用 Search-MailboxAuditLog cmdlet 搜索审核日志。

审核日志提供以下信息

1. 谁访问了邮箱以及何时访问？
2. 执行哪些操作？
3. 受影响的邮件及其文件夹位置
4. 运行状态。 IE。操作是成功还是失败

下图描述了用户邮箱和共享邮箱的邮箱审核日志记录中可用的邮箱操作。

复选标记（勾号）表示可以针对该登录类型记录的邮箱操作（某些操作仅适用于特定登录类型）

复选标记后面的星号 (*) 表示启用默认审核日志记录时默认记录的邮箱操作。

AdminDroid - 有关 Exchange 邮箱审核日志记录的无缝见解和详细信息

我们探索了如何使用 PowerShell 启用邮箱审核以及相应的用例。您是否认为无需使用 PowerShell 脚本即可获取邮箱审核状态？当然，是的！让我们详细看看。

AdminDroid如何改善上报邮箱审核日志的体验？

AdminDroid Exchange Online 报告工具为邮箱审核配置提供明确的仪表板和统计报告。让我们看看统计信息如何帮助您及时了解邮箱配置更改的最新情况。

直观的邮箱审核仪表板

“邮箱审核配置细分”显示了对邮箱所有者、邮箱代理和管理员的可审核操作的清晰见解。

全包邮箱审核报告

获取有关邮箱审核配置的报告，包括启用审核的邮箱、禁用审核的邮箱、管理员可审核操作、所有者可审核操作以及具有深入详细信息的委派可审核操作。因此，管理员可以轻松找到缺少的可审核操作，并为任何邮箱启用它们。

此外，AdminDroid 是一款用于审核 Microsoft 365 中邮箱活动的综合工具，包括非所有者访问、来宾访问、批量消息操作、收件箱规则配置、邮箱权限更改、ATP、角色范围更改等。该工具提供详细的报告和富有洞察力的图表，使您可以轻松监控和分析邮箱数据。您可以为关键邮箱活动实时设置警报，或安排报告以在首选时间监控数据。立即开始探索 AdminDroid Exchange Online 审核工具，轻松增强您的 Microsoft 365 邮箱管理！

不要将自己局限于 AdminDroid 的 Exchange Online 管理。它不仅限于此，还为整套 Microsoft 365 服务提供富有洞察力的报告和令人兴奋的功能。立即查看 AdminDroid 并尽情体验其众多功能！

在本博客中，我们了解了如何通过 PowerShell 启用邮箱审核。在邮箱审核方面，您首选的方法是什么？请在评论部分告诉我们您的想法。