Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Leitfaden wird erläutert, wie Sie Änderungen an Postfachregeln in Exchange Online untersuchen, einschließlich der Anzeige der aktuellen Posteingangs- und Weiterleitungsregeln eines Postfachs und wie Sie das Microsoft Purview-Überwachungsprotokoll durchsuchen, um zu ermitteln, wer diese Regeln erstellt, geändert oder gelöscht hat.
Verwenden Sie diese Methoden, um Folgendes zu untersuchen:
- Änderungen an E-Mail-Weiterleitungsregeln
- Regeln, die dazu führen, dass E-Mails nicht in erwarteten Ordnern angezeigt werden
- Nicht autorisierte Regeländerungen
Bevor Sie beginnen
Um Änderungen an Postfachregeln zu untersuchen, benötigen Sie Folgendes:
- Die in Microsoft Purview zugewiesene Rolle "Überwachungsprotokolle "
- So stellen Sie eine Verbindung mit Exchange Online PowerShell mithilfe von Connect-ExchangeOnline her
Identifizieren von Änderungen an Postfachregeln
Verwenden Sie Get-InboxRule, um aktuelle Postfachregeln zu überprüfen, und Search-UnifiedAuditLog, um Änderungen an Postfachregeln zu finden.
Überprüfen der aktuellen Postfachregeln
Die Get-InboxRule Ausgabe zeigt Folgendes an:
- Aktuelle Regelkonfiguration: Regelkonfiguration
- Regelaktionen: Verschieben, Löschen oder Weiterleiten
- Regel status: Aktiviert oder deaktiviert
Führen Sie den folgenden Befehl aus, um zu sehen, welche Regeln derzeit in einem Postfach vorhanden sind:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Suchen nach Überwachungsdatensätzen für Regeländerungen
Der befehl Search-UnifiedAuditLog sucht nach:
- New-InboxRule: Neue Regeln erstellt
- Set-InboxRule: Vorhandene Regeln geändert
- Remove-InboxRule: Regeln gelöscht
Führen Sie den folgenden Befehl aus, um herauszufinden, wer Postfachregeln erstellt, geändert oder gelöscht hat:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Was ist zu tun, wenn Suchvorgänge keine Ergebnisse zurückgeben?
Wenn Ihre Überwachungssuchen keine Regeländerungsdatensätze finden:
- Erweitern Sie den Datumsbereich , um ältere Änderungen zu erfassen:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Aktivieren Sie die Überwachung für zukünftige Regeländerungen:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Kurzübersicht
Wichtige Vorgänge für die Regeluntersuchung
In der folgenden Tabelle sind die Postfachregelvorgänge aufgeführt, die in Überwachungsergebnissen angezeigt werden.
| Vorgang | Beschreibung |
|---|---|
| New-InboxRule | Neue Postfachregel erstellt. |
| Remove-InboxRule | Postfachregel gelöscht. |
| Set-InboxRule | Vorhandene Postfachregel geändert. |
Wichtige Befehle
Die folgenden Befehle sind die wichtigsten Tools zum Untersuchen von Postfachregeländerungen.
| Befehl | Zweck |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Überprüfen Sie die aktuelle Regelkonfiguration. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Ermitteln Sie, wer Regeländerungen vorgenommen hat. |
Nächste Schritte
- Verwenden von MailItemsAccessed zum Untersuchen von kompromittierten Konten: Ermitteln Sie, ob nicht autorisierte Regeländerungen auf ein kompromittiertes Konto hinweisen.
- Ermitteln, wer eine E-Mail-Nachricht gelöscht hat oder warum eine E-Mail fehlt: Untersuchen Sie, ob geänderte Regeln zu E-Mail-Löschungen oder fehlenden Nachrichten geführt haben.
- Exportieren, Konfigurieren und Anzeigen von Überwachungsprotokolldatensätzen: Exportieren Sie Ihre Regeländerungsergebnisse für die Compliancedokumentation.