在 Office 365 中审核电子邮件删除：找出谁从邮箱中删除了电子邮件

大多数管理员想知道如何找出谁从邮箱中删除了电子邮件？如果您是其中之一，那么这个博客适合您。

如何确定用户是否删除了电子邮件项目：

用户无意或故意删除电子邮件。作为管理员，您可以使用审核日志来识别 Office 365 中已删除的电子邮件。自 2019 年 1 月起，Microsoft 已默认为某些操作启用邮箱审核日志记录。如果您的租户是在 2019 年之前创建的，或者您想要审核所有邮箱操作，您必须通过 PowerShell 启用邮箱审核。

要跟踪已删除的电子邮件，您需要过滤掉以下操作的审核日志，默认情况下会审核这些操作：

MoveToDeletedItems - 将电子邮件移至已删除的项目。

SoftDelete - 从已删除邮件文件夹中删除邮件

HardDelete - 从可恢复项目文件夹中清除邮件

如何找出谁从邮箱中删除了电子邮件？

您可以使用审核日志搜索 (UI) 或 PowerShell 来查看谁在 Outlook 中删除了电子邮件。

审核日志搜索：在审核日志搜索中，您可以过滤掉上述“邮件删除事件”以跟踪已删除的电子邮件。此外，您还可以将审核日志搜索结果下载到 CSV 文件。但是，您无法一目了然地查看电子邮件主题、文件夹和结果状态等所需数据。这些属性被格式化为 JSON 对象，需要对其进行解析以获取更多信息。

PowerShell：您可以使用Search-UnifiedAuditLogSearch cmdlet 审核电子邮件删除。但是，使用 PowerShell 检索审核日志面临更多挑战。例如，如果您没有正确检索审核日志，最终将导致数据丢失和会话超时错误。因此，您需要花费更多时间来优化 PowerShell 代码。

为了简化您的工作，我们创建了一个 PowerShell 脚本来更有效地调查电子邮件删除问题。

下载脚本：AuditDeletedEmails.ps1

脚本亮点：

• 该脚本使用现代身份验证来检索审核日志。
• 该脚本也可以使用启用 MFA 的帐户来执行。
• 将报告结果导出至CSV文件。
• 允许您跟踪所有已删除的电子邮件。
• 帮助找出谁从共享邮箱删除了电子邮件。
• 允许您生成自定义期间的电子邮件删除审核报告。
• 在您确认后，自动安装 EXO V2 模块（如果尚未安装）。
• 该脚本调度程序友好。即，凭证可以作为参数传递，而不是保存在脚本内。

审核电子邮件删除报告 - 示例输出：

导出的报告包含邮件删除时间、删除类型、目标邮箱、删除者、删除邮件数量、邮件主题、文件夹、结果状态等审核信息。

在 Office 365 中审核已删除的电子邮件 - 脚本执行

要运行该脚本，您可以选择以下任意一种方法。

方法1：使用MFA和非MFA帐户执行脚本

 .\AuditDeletedEmails.ps1

方法 2：通过显式提及凭据来执行脚本（调度程序友好）。

.\AuditDeletedEmails.ps1 -UserName [email protected] -Password XXX

如果管理员帐户具有 MFA，则需要根据条件访问策略禁用 MFA 才能使其正常工作。

“审核已删除电子邮件”PowerShell 脚本的更多用例：

该脚本支持以下内置参数来安排和生成更精细的报告。

1. 邮箱 -> 从特定邮箱获取已删除的电子邮件
2. 主题 -> 按主题标识已删除的电子邮件。
3. StartDate 和 EndDate -> 生成自定义期间的审核报告
4. 用户名和密码-> 安排 PowerShell 脚本，无需交互式登录。

通过使用上述参数，我在下面形成了该脚本的几个用例，

• 跟踪所有已删除的电子邮件 - 谁删除了哪些邮件以及何时删除
• 如何查明谁从共享邮箱中删除了电子邮件
• 审核从特定邮箱删除的电子邮件
• 按主题查找已删除的电子邮件
• 审核自定义期限内的电子邮件删除情况
• 安排“已删除的电子邮件审核报告”
• 获取有关已删除电子邮件的月度报告

跟踪所有已删除的电子邮件 - 谁删除了哪些邮件以及何时删除：

用户可能会在不知情的情况下删除重要的业务电子邮件或将其移至已删除的项目。因此，管理员需要识别组织中已删除或移至已删除项目的 Exchange 电子邮件。

默认情况下，该脚本将跟踪过去 90 天内所有已删除的电子邮件。

.\AuditDeletedEmails.ps1

导出的审核报告可以清晰地显示谁删除了电子邮件、从哪个邮箱删除了电子邮件、删除了什么邮件以及何时删除。通过参考该报告，管理员可以根据需要恢复已删除的电子邮件。

如何找出谁从共享邮箱中删除了电子邮件：

由于共享邮箱可由多个用户（即共享邮箱代理人）访问，因此有必要识别从共享邮箱删除电子邮件的用户。要查看谁拥有共享邮箱的权限，您可以参阅我们有关获取共享邮箱委托的博客文章。

要跟踪谁从共享邮箱中删除了电子邮件，请使用 -Mailbox 参数运行脚本。

.\AuditDeletedEmails.ps1 -Mailbox [email protected]

导出的报告显示 '[email protected]' 邮箱中已删除的电子邮件过去 90 天。

审核谁从特定邮箱删除了电子邮件：

组织可能需要允许某些用户访问其他用户的邮箱。因此，邮箱代理人和所有者可以删除电子邮件。您可以生成邮箱权限报告来了解邮箱委托人。

要审核特定邮箱中的电子邮件删除，请使用 -Mailbox 参数运行脚本。

.\AuditDeletedEmails.ps1 -Mailbox [email protected]

上面的示例检索过去 90 天内从 John 的邮箱中删除的电子邮件。

按主题查找已删除的电子邮件：

如果您想从已删除的电子邮件池中查找重要电子邮件，可以按主题（主题包含的单词或短语）过滤掉电子邮件。

要按主题识别已删除的电子邮件，请使用 -Subject 参数运行脚本，如下所示，

.\AuditDeletedEmails.ps1 -Subject “Status”

它将列出所有已删除的电子邮件，其主题中有“状态”。

审核自定义期间的电子邮件删除：

默认情况下，脚本将生成过去 90 天的审核报告。如果您想生成特定时间范围内的电子邮件审核报告，可以使用 -StartDate 和 -EndDate 参数运行脚本。

.\AuditDeletedEmails.ps1 -StartDate 7/25/21 -EndDate 8/01/21

上述格式会删除 2021 年 7 月 25 日至 2021 年 8 月 1 日之间的所有电子邮件。

.\AuditDeletedEmails.ps1 -StartDate 7/15/21 -EndDate 7/30/21 -Mailbox [email protected]

此示例检索 2021 年 7 月 15 日至 2021 年 7 月 30 日期间 John 邮箱中所有已删除的电子邮件。

安排“已删除电子邮件审核报告”：

由于“Search-UnifiedAuditLog”可以将审核日志保留 90 天，因此您可能需要旧数据进行分析。

在这种情况下，安排时间将帮助您更长时间地保留审核日志。要将此脚本作为 PowerShell 计划任务运行，您可以在 Windows 任务计划程序中使用以下格式。

.\AuditDeletedEmails.ps1 -UserName [email protected] -Password XXX

注意：您可能已经阅读过我们之前的博客文章“Office 365 为所有订阅保留 365 天的审核日志”。但我们还没有在这个脚本中检索到 365 天的审计数据。一旦微软正式宣布，我们将更新我们的脚本。

获取有关电子邮件删除的月度报告：

要获取已删除电子邮件的月度报告，请运行以下脚本，

.\AuditDeletedEmails.ps1 -StartDate ((Get-Date).AddDays(-30)) -EndDate (Get-Date) -UserName [email protected] -Password XXX

您还可以使用上述格式获取预定的月度报告。

以更有效的方式审核电子邮件删除：

通过使用 PowerShell 过滤器和条件，管理员可以根据自己的需要自定义脚本。但是，它需要大量时间和 PowerShell 知识。借助 AdminDroid Office 365 审核工具，您只需点击几下鼠标即可获取报告。此外，您还可以使用上下文过滤器和图表对数据进行切片和切块。

例如，

• 邮件什么时候被删除？ - 您可以选择特定日期或周或自定义时间段。
• 谁删除了电子邮件？ - 您可以过滤掉由特定用户或用户列表删除的电子邮件。
• 进行了什么操作？ - 您可以根据软删除、硬删除、移至已删除邮件文件夹等删除方式来识别已删除的电子邮件。
• 查看特定邮箱中已删除的电子邮件 - 您可以找出谁从特定邮箱中删除了电子邮件。

该报告提供人工智能驱动的图形分析，以具有视觉吸引力的方式获得见解并更好地理解数据。

AdminDroid 提供1500+预构建报告和 20 个具有视觉吸引力的智能仪表板，让您一目了然地了解您的 Office 365 环境。该工具提供有关 Office 365 报告、审计、分析、使用统计、安全性和合规性等的报告。

此外，AdminDroid 还完全免费提供100 多个报告和仪表板。它包括有关用户、许可证、组、组成员、设备、登录活动、密码更改、许可证更改等的报告。免费版在自定义、计划和导出等报告功能上没有任何限制。下载 AdminDroid 提供的免费 Office 365 报告工具，看看它如何为您提供帮助。

我希望这篇博客能让您识别是谁从邮箱中删除了电子邮件。如果您发现任何用户的活动可疑，您可以监控该用户的活动，以保护您的组织免受恶意攻击。