OMEPortal
Cifrado de mensajes de Microsoft Purview es un servicio que permite a las organizaciones enviar correo cifrado a los destinatarios.
OMEPortal es un tipo de evento que se registra en el registro de auditoría unificado de Office 365. Representa cualquier actividad para acceder a un mensaje cifrado por un destinatario externo mediante el portal de mensajes cifrados. Este evento es útil para determinar cuándo y quién accedió al portal.
- Autenticar
- abrir mensaje
- ver datos adjuntos
- descargar datos adjuntos
- mensaje de respuesta o reenvío
Acceso al registro de auditoría unificado de Office 365
Se puede acceder a los registros de auditoría mediante los métodos siguientes.
- La herramienta de búsqueda de registros de auditoría en el portal de cumplimiento de Microsoft Purview.
- El cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell.
- La API de Actividad de administración de Office 365.
Herramienta de búsqueda de registros de auditoría
Vaya al portal de cumplimiento Microsoft Purview e inicie sesión.
En el panel izquierdo del portal de cumplimiento, seleccione Auditar.
Nota:
Si no ve Auditoría en el panel izquierdo, consulte Roles y grupos de roles en Microsoft Defender para Office 365 y Cumplimiento de Microsoft Purview para obtener información sobre los permisos.
En la pestaña Nueva búsqueda , establezca Tipo de registro en OMEPortal y configure los demás parámetros.
Para obtener más información sobre cómo ver los registros de auditoría en el portal de cumplimiento Microsoft Purview, consulte Actividades de registro de auditoría.
Búsqueda del registro de auditoría unificado en PowerShell
Para acceder al registro de auditoría unificado mediante PowerShell, abra primero una ventana de PowerShell y conéctese a Exchange Online PowerShell. Para obtener instrucciones, consulte Conexión a Exchange Online PowerShell.
Cmdlet Search-UnifiedAuditLog
El cmdlet Search-UnifiedAuditLog es un comando de PowerShell que se puede usar para buscar en el Office 365 registro de auditoría unificado. El registro de auditoría unificado es un registro de la actividad de usuario y administrador en Office 365 que se puede usar para realizar el seguimiento de eventos. Para conocer los procedimientos recomendados para usar este cmdlet, consulte Procedimientos recomendados para usar Search-UnifiedAuditLog.
Para extraer los eventos OMEPortal del registro de auditoría unificado mediante PowerShell, puede usar el siguiente comando. Esto buscará en el registro de auditoría unificado el intervalo de fechas especificado y devolverá cualquier evento con el tipo de registro "OMEPortal". Los resultados se exportarán a un archivo CSV en la ruta de acceso especificada.
Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>
A continuación se muestra un ejemplo del evento OMEPortal de PowerShell, con el mensaje de apertura en la actividad del portal de mensajes cifrados.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:00:59 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : MessageAccess
AuditData : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 6
ResultCount : 7
Identity : a3500d45-6ab3-4971-a762-a01a846015d0
IsValid : True
ObjectState : Unchanged
Use el siguiente comando para buscar específicamente el escenario en el que el usuario ve los datos adjuntos. A continuación también se muestra un ejemplo del resultado del cmdlet de PowerShell.
Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)
A continuación se muestra un ejemplo del evento AipSensitivityLabelAction de PowerShell, con la etiqueta de confidencialidad actualizada.
RecordType : OMEPortal
CreationDate : 3/22/2023 7:04:09 PM
UserIds : admin@M365x965352.onmicrosoft.com
Operations : AttachmentReview
AuditData : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"}
ResultIndex : 4
ResultCount : 7
Identity : ef29c387-c81b-4812-9020-90b378d92cde
IsValid : True
ObjectState : Unchanged
Las otras operaciones que se pueden buscar específicamente en OMEPortal incluyen AttachmentDownload, AuthenticationRequest, MessageAccess y MessageForward.
Atributos del evento OMEPortal
La tabla siguiente contiene información relacionada con eventos OMEPortal.
| Evento | Tipo | Descripción |
|---|---|---|
| Actividad | Cadena | Tipo de actividad para el registro de auditoría. Para OMEPortal, las operaciones pueden incluir: - AttachmentDownload - AttachmentReview - AuthenticateRequest - MessageAccess - MessageForward |
| AttachmentName | Cadena | Parte de AuditData. Nombre de los datos adjuntos en el mensaje. |
| AuditData | Cadena | Los detalles del registro en la actividad OMEPortal. |
| AuthenticationMethod | Cadena | Parte de AuditData. Tipo de autenticación que se usa para iniciar sesión en el portal. Los valores son: -OTP -Yahoo -Microsoft |
| AuthenticationStatus | Doble | Estado de la autenticación. 0 = correcto 1= error |
| CreationTime | Fecha y hora | La fecha y hora en formato Hora universal coordinada (UTC) en las que el usuario ha realizado la actividad. |
| Id | GUID | Identificador único de un registro de auditoría. |
| MessageId | Cadena | Id. de mensaje. |
| Operación | Cadena | El mismo valor que la actividad. |
| OperationProperties | Cadena | Parte de AuditData. Contiene el asunto del correo electrónico. |
| Destinatario | Cadena | Parte de AuditData. Dirección de correo electrónico del usuario que accede al mensaje en el portal de mensajes cifrados. |
| RecordType | Doble | El tipo de operación indicado por el registro. 154 representa un registro OMEPortal. |
| ResultsStatus | Cadena | La operación se realizó correctamente o se produjo un error. |
| Remitente | Cadena | Parte de AuditData. Dirección de correo electrónico del usuario que envió el mensaje cifrado. |
| Carga de trabajo | Cadena | Exchange para indicar el correo electrónico en el portal de mensajes cifrados. |
| UserId | Cadena | Nombre principal de usuario (UPN) del usuario de la organización que envió el correo cifrado a la acción que provocó que se registrara el registro. |