使用审核日志调查共享邮箱活动

本文介绍如何使用 Microsoft Purview 审核日志调查共享邮箱活动，并Exchange Online PowerShell。 它介绍了用于查找删除、发送为活动、文件夹浏览、邮箱规则和转发更改以及其他委托操作的实用搜索模式和修正步骤。

使用以下方法调查：

• 从共享邮箱中删除Email
• 谁从共享邮箱发送电子邮件
• 委托访问活动
• Email在文件夹之间移动
• 转发和规则配置
• 共享邮箱中缺少电子邮件

开始之前

若要调查共享邮箱活动，需要：

• Microsoft Purview 中分配的 审核日志 角色
• 使用 Connect-ExchangeOnline 连接到 Exchange Online PowerShell

如何调查共享邮箱活动

使用这些方法来调查共享邮箱中的活动。 根据要调查的活动类型选择方法。

在共享邮箱中搜索已删除的电子邮件

若要从共享邮箱中搜索电子邮件删除的审核记录，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations SoftDelete,HardDelete,MoveToDeletedItems -ResultSize 500

此命令搜索：

• SoftDelete：项目移动到“已删除邮件”文件夹。
• HardDelete：从邮箱中永久删除的项目。
• MoveToDeletedItems：按用户操作移动到已删除邮件的项目。

搜索从共享邮箱发送的电子邮件

若要确定谁使用委托权限从共享邮箱发送电子邮件，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations SendAs -ResultSize 500

搜索文件夹之间的电子邮件移动

若要在共享邮箱中搜索移动操作，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Move,MoveToDeletedItems -ResultSize 300

(FolderBind) 监视委托文件夹访问

若要跟踪代理人何时浏览共享邮箱中的特定文件夹，请使用以下步骤：

检查 FolderBind 配置：

Get-Mailbox <shared-mailbox@domain.com> | Select AuditDelegate | Where-Object {$_.AuditDelegate -contains "FolderBind"}

启用 FolderBind 审核：

Set-Mailbox <shared-mailbox@domain.com> -AuditDelegate @{Add="FolderBind"}

搜索文件夹浏览活动：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations FolderBind -ResultSize 500

常见用例：

• 监视对执行共享邮箱中机密文件夹的访问
• 符合法规要求的合规性审核线索
• 对未经授权的文件夹浏览进行安全调查
• 委托行为分析进行治理

调查委托访问活动

若要标识对共享邮箱具有委托权限的用户，请运行以下命令：

Get-MailboxPermission <shared-mailbox@domain.com> | Where-Object {$_.AccessRights -eq "FullAccess"}

若要搜索由特定委托执行的活动，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <delegate@domain.com> -ResultSize 500

监视电子邮件访问活动

若要在共享邮箱中搜索电子邮件访问活动，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations MailItemsAccessed -ResultSize 200

搜索电子邮件转发配置

若要查找谁在共享邮箱上配置了电子邮件转发，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -FreeText <shared-mailbox@domain.com> -Operations Set-Mailbox -ResultSize 200

搜索邮箱规则修改

若要搜索收件箱规则创建或修改活动，请运行以下命令：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -FreeText <shared-mailbox@domain.com> -Operations New-InboxRule,Set-InboxRule -ResultSize 100

搜索未返回结果时应执行的操作

如果审核日志搜索找不到共享邮箱活动记录，请尝试以下步骤来验证审核配置。

1. 检查是否在组织级别启用了审核。

Get-OrganizationConfig | Select AuditDisabled

1. 检查是否为特定共享邮箱启用了审核。

Get-Mailbox <shared-mailbox@domain.com> | Select AuditEnabled

1. 如果禁用了审核，请启用审核。

Set-OrganizationConfig -AuditDisabled $false
Set-Mailbox <shared-mailbox@domain.com> -AuditEnabled $true

高级过程

以下过程演示如何导出审核结果并应用常见的共享邮箱修补程序：

若要启用已发送邮件复制到共享邮箱 (使发送的电子邮件显示在共享邮箱“已发送邮件”) 中，请运行以下命令：

Set-Mailbox <shared-mailbox@domain.com> -MessageCopyForSentAsEnabled $true

若要从共享邮箱中删除电子邮件转发，请运行以下命令：

Set-Mailbox <shared-mailbox@domain.com> -ForwardingSmtpAddress $null

快速参考

共享邮箱的常见审核操作

键搜索参数

后续步骤

• 管理邮箱审核：调整要审核的共享邮箱操作以捕获所需的活动。
• 确定谁删除了电子邮件或缺少电子邮件的原因：调查在共享邮箱活动中发现的特定电子邮件删除。
• 导出、配置和查看审核日志记录：导出共享邮箱调查结果以保存证据。