易宝典——玩转O365中的EXO服务 之四十六 如何启用审核功能

在企业的信息管理中，对于系统稳健和信息安全尤其看重。对于用户来说，能够经过配置各类权限、规则和策略来进行约束。那么具备至关权限乃至彻底权限的管理员呢？又该如何对其进行约束，这就有为重要了。从“删库到跑路”的事件不断发生，怎样才能提早防范管理员哪些操做将会带来的风险？怎样才能确认管理员进行了哪些操做，而且这些操做是否合规？怎样才能在过后及时发现某个问题是因为管理员的操做致使的呢？

很明显最直接的方法，就是针对每一位管理员的全部敏感操做进行跟踪，记录管理员的所做所为，将这些记录保存为日志，以便后续待查。Exchange Online的审核功能最大的做用就是进行这些日志的记录，所以在Exchange Online中这些日志就被叫作审核日志。

1、审核日志

审核日志能够用来特定跟踪管理员进行的具体操做，以便进行配置性问题的排查。并为企业提供合符法规、听从管理策略，以及与诉讼要求等方面的可靠信息。Exchange Online提供了如下两种类型的审核日志记录：

管理员审核日志，记录管理员基于PowerShell命令行对在Exchange Online进行的全部操做。该日志能够用于排查配置问题，或者用于识别与安全性相关或与合规性相关的问题，并进一步发现根本缘由。另外，在Exchange Online中，还会记录微软管理员和委派管理员执行的操做。

邮箱审核日志，记录了邮箱的访问状况。包括管理员、指派用户，以及邮箱全部者对邮箱的访问状况。该日志用于肯定邮箱在什么时候被何人访问过，以及访问者对邮件进行了哪些操做等。

2、启用审核日志记录

在获取审核日志以前，必须先配置审核日志记录。不然将没法导出并获取审核日志。

为了监控邮件管理员是否经过本身的特殊权限查看了用户邮箱中的内容，能够经过运行非全部者邮箱访问报告来获取相关的信息。

要让运行非全部者邮箱访问报告的邮箱存在内容，必须事先为每一个须要监控管理员行为的邮箱启用邮箱审核日志记录。

对于Exchange Online来说启用审核日志记录目前必须经过Exchange Online PowerShell来完成。而且不能针对于Office 365组相关联的邮箱启用审核（目前在国际版中也不能与Microsoft Teams相关联的邮箱启用审核）。

参考《易宝典文章——玩转Office 365中的Exchange Online服务 之五 怎样利用PSl链接Exchange Online实现管理》（https://blog.51cto.com/liulike/1668854）使用PowerShell经过全局管理员登陆到Exchange Online。

1、为单个邮箱启用审核日志记录

使用Set-Mailbox为指定用户邮箱启用审核日志记录：

Set-Mailbox -Identity "Zhang San" -AuditEnabled $true

运行完成后，经过Get-Mailbox进行验证设置是否生效：

Get-Mailbox "Zhang San"| FL Audit*

2、为全部邮箱启用审核日志记录

一样为全部邮箱启用审核日志记录也只能经过PowerShell进行设置。

使用Get-Mailbox获取全部用户邮箱，而后再经过管道传递给Set-Mailbox设置启用审核日志。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

完成后，经过Get-Mailbox查看并验证邮箱启用审核日志是否生效。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*

3、为邮箱指定须要审核其全部者的操做

默认状况下，启用邮箱的审核只会审核邮箱全部者（非管理员和委派权限用户，即邮箱用户本人）的某些操做。若是须要审核邮箱全部者的其它操做，则须要进行额外的设置。

为邮箱全部者默认启用审核的操做有：

UpdateCalendarDelegation：向邮箱分配了日历委派

UpdateFolderPermissions：更改了文件权限

UpdateInboxRules：进行了邮箱规则的添加、修改和删除

可是若是须要审核是否有进行邮箱登陆，或者完全删除邮件等操做。则须要经过手动操做来进行授予。

1、为单个邮箱启用审核的同时指定要审核的全部者操做

使用Set-Mailbox设置用户邮箱启用针对全部者进行登陆审核。

Set-Mailbox "Li Si" -AuditEnabled $true -AuditOwner MailboxLogin

使用Get-Mailbox查看确认设置是否生效。

Get-Mailbox "Li Si"| FL Audit*

能够看到在AuditOwner属性中指定了MailboxLogin值。

2、为单个已启用了审核功能的邮箱指定审核全部者的多个操做

使用Set-Mailbox设置用户邮箱启用针对全部的登陆审核和完全删除邮件审核。

Set-Mailbox "Zhang San" -AuditOwner @{Add="MailboxLogin","HardDelete"}

使用Get-Mailbox查看确认设置是否生效。

Get-Mailbox "Zhang San"| FL Audit*

3、为全部邮箱指定审核全部者的多个操做

使用Set-Mailbox设置用户邮箱启用针对全部的登陆审核、删除邮件和完全删除邮件审核。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditOwner @{Add="MailboxLogin","HardDelete","SoftDelete"}

验证使用配置成功。

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | FL Name,Audit*