Mailbox Auditing defaults

Andres Bohren

Hallo zusammen,

Beim Mailbox Auditing werden gewisse Aktionen aufgezeichnet und in der Mailbox gespeichert. Mehr zum Mailbox Audit Log habe ich schon mal hier beschrieben Mailbox Audit Log. Seit Januar 2019 ist das Mailbox Audit Log standardmässig aktiviert. Allerdings gilt das nur für UserMailbox, SharedMailbox und Office365 Group.

Man sollte sicherstellen, dass das Auditing auf der Exchange Organisationsebene nicht deaktiviert ist

Get-OrganizationConfig | fl *audit*

Auf einer Mailbox kann man das MailboxAuditing mit folgenden Befehlen anschauen.

Get-Mailbox -Identity <Identity> | fl *audit*
Get-Mailbox -Identity <Identity> | Select -ExpandProperty AuditAdmin
Get-Mailbox -Identity <Identity> | Select -ExpandProperty AuditDelegate
Get-Mailbox -Identity <Identity> | Select -ExpandProperty AuditOwner

Nachfolgend die Default Audit Actions

AuditAdmin AuditDelegate AuditOwner
Update Update Update
MoveToDeletedItems MoveToDeletedItems MoveToDeletedItems
SoftDelete SoftDelete SoftDelete
HardDelete HardDelete HardDelete
SendAs SendAs UpdateFolderPermissions
SendOnBehalf SendOnBehalf UpdateInboxRules
Create Create UpdateCalendarDelegation
UpdateFolderPermissions UpdateFolderPermissions
UpdateInboxRules UpdateInboxRules
UpdateCalendarDelegation

Wie man sieht, gibt es kein “Send” für den Mailbox Owner. Man findet also keine Events für gesendete Mails vom Owner der Mailbox.

Mit folgendem Befehl kann man die Mailbox Audit Settings für alle Mailboxen anzeigen

Get-Mailbox -Resultsize Unlimited | ft DisplayName, RecipientTypeDetails, AuditEnabled, AuditLogAgeLimit, DefaultAuditSet

Um die Default Audit settings nur für den Admin anzuwenden, benutzt man folgenden Befehl

Get-Mailbox -Identity <IdentityA -DefaultAuditSet Admin,Delegate,Owner

Um die Default Audit Settings auf eine Mailbox anzuwenden, benutzt man folgenden Befehl

Get-Mailbox -Identity <IdentityA -DefaultAuditSet Admin,Delegate,Owner

Grüsse
Andres Bohren