Registrazione di controllo delle cassette postali in Exchange Server
Dal momento che le cassette postali possono contenere informazioni riservate sia a livello aziendale che di singolo utente, è fondamentale tenere traccia di chi accede alle cassette postali nell'organizzazione e che attività esegue su di esse. È soprattutto importante controllare gli accessi alle cassette postali eseguiti da utenti che non ne sono i legittimi proprietari. Questi utenti sono definiti delegati.
Utilizzando la registrazione di controllo delle cassette postali, è possibile registrare gli accessi effettuati dai proprietari delle cassette postali, dai delegati (inclusi gli amministratori con autorizzazioni di accesso completo alle cassette postali) e dagli amministratori.
Quando si abilita la registrazione di controllo delle cassette postali, è possibile specificare quali azioni (ad esempio, accesso oppure spostamento o eliminazione di un messaggio) verranno registrate per ciascun tipo di utente (amministratore, utente delegato o proprietario). Le registrazioni includono anche informazioni importanti quali indirizzo IP del client, nome host e processo o client utilizzato per accedere alla cassetta postale. Per gli elementi spostati, nella registrazione viene riportato il nome della cartella di destinazione.
Registri di controllo delle cassette postali
I registri di controllo vengono generati per tutte le cassette postali per cui è abilitata la registrazione di controllo. Le voci del registro vengono archiviate nella cartella degli elementi ripristinabili nella cassetta postale controllata, nella sottocartella Controlli. Ciò garantisce che tutte le voci del log di controllo siano disponibili da un'unica posizione, indipendentemente dal metodo di accesso client usato per accedere alla cassetta postale o dal server o dal computer usato da un amministratore per accedere al log di controllo delle cassette postali. Se si sposta una cassetta postale su un altro server Cassette postali, anche i registri di controllo della cassetta postale vengono spostati perché si trovano al suo interno.
Per impostazione predefinita, le voci del registro di controllo di una cassetta postale vengono conservate nella cassetta postale per 90 giorni e quindi eliminate. È possibile modificare questo periodo di conservazione usando il parametro AuditLogAgeLimit con il cmdlet Set-Mailbox . Se una cassetta postale è in Archiviazione sul posto o in conservazione per controversia legale., le voci del registro di controllo vengono conservate solo fino alla scadenza del periodo di mantenimento del registro di controllo per la cassetta postale. Per mantenere più a lungo le voci del log di controllo, è necessario aumentare il periodo di conservazione modificando il valore per il parametro AuditLogAgeLimit . È anche possibile esportare le voci del registro di controllo prima della scadenza del periodo di mantenimento. Per ulteriori informazioni, vedere:
Abilitazione della registrazione di controllo delle cassette postali
La registrazione di controllo delle cassette postali è abilitata per ogni cassetta postale. Utilizzare il cmdlet Set-Mailbox per abilitare o disabilitare la registrazione di controllo delle cassette postali. Per ulteriori informazioni, vedere Abilitare o disabilitare la registrazione per una cassetta postale di controllo delle cassette postali.
Quando si abilita la registrazione di controllo per una cassetta postale, gli accessi alla cassetta e alcune azioni eseguite dagli amministratori e dai delegati vengono registrate per impostazione predefinita. Per registrare anche le azioni eseguite dal proprietario della cassetta postale, è necessario specificare le azioni da sottoporre a controllo.
Azioni inserite nella registrazione di controllo delle cassette postali
Nella tabella seguente vengono indicate le azioni inserite nel registro di controllo delle cassette postali, incluso il tipo di accesso che genera la registrazione di ciascuna tipologia di azione. Si noti che un amministratore a cui è stata assegnata l'autorizzazione accesso completo alla cassetta postale di un utente è considerato un utente delegato.
Se non è più necessario registrare determinati tipi di azioni, modificare la configurazione di registrazione per disabilitarle. Le voci presenti nel registro non vengono eliminate fino a quando non raggiungono la loro scadenza naturale.
| Azione | Descrizione | Amministratore | Delegato | Proprietario |
|---|---|---|---|---|
| Copia | Un elemento viene copiato in un'altra cartella. | Sì | No | No |
| Creare | Elemento creato nella cartella Calendario, Contatti, Note o Attività nella cassetta postale; ad esempio, viene creata una nuova convocazione di riunione. La creazione della cartella o del messaggio non viene sottoposta a controllo. | Sì1 | Sì1 | Sì |
| FolderBind | Accesso effettuato a una cartella della cassetta postale. | Sì1 | Sì2 | No |
| HardDelete | Un elemento viene eliminato definitivamente dalla cartella Elementi ripristinabili. | Sì1 | Sì1 | Sì |
| MailboxLogin | Accesso effettuato dall'utente alla propria cassetta postale. | No | No | Sì3 |
| MessageBind | Un elemento viene aperto o vi si accede nel riquadro di lettura. | Sì | No | No |
| Move | Un elemento viene spostato in un'altra cartella. | Sì1 | Sì | Sì |
| MoveToDeletedItems | Un elemento viene spostato nella cartella Posta eliminata. | Sì1 | Sì | Sì |
| SendAs | Un messaggio viene inviato con l'autorizzazione Invia come. | Sì1 | Sì1 | No |
| SendOnBehalf | Un messaggio viene inviato con l'autorizzazione Invia per conto di. | Sì1 | Sì | No |
| SoftDelete | Un elemento viene eliminato dalla cartella Posta eliminata. | Sì1 | Sì1 | Sì |
| Update | Le proprietà di un elemento vengono aggiornate. | Sì1 | Sì1 | Sì |
1 Controllato per impostazione predefinita se il controllo è abilitato per una cassetta postale.
2 Le voci per le azioni di associazione di cartelle eseguite dai delegati vengono consolidate. Per ogni singolo accesso in un periodo di 24 ore viene generata una voce.
3 Il controllo degli accessi dei proprietari a una cassetta postale funziona solo per gli account di accesso POP3, IMAP4 o OAuth. Non funziona per gli account di accesso NTLM o Kerberos alla cassetta postale.
Ricerca nel log di controllo della cassetta postale
È possibile utilizzare i seguenti metodi per effettuare una ricerca nelle voci nel registro di controllo:
Eseguire una ricerca sincrona in una singola cassetta postale: è possibile usare il cmdlet Search-MailboxAuditLog per cercare in modo sincrono le voci del log di controllo delle cassette postali per una singola cassetta postale. Il cmdlet visualizza i risultati della ricerca nella finestra di Exchange Management Shell. Per ulteriori informazioni, vedere Search Mailbox Audit Log for a Mailbox.
Ricerca asincrona in una o più cassette postali: è possibile creare una ricerca nel log di controllo delle cassette postali per cercare in modo asincrono nei log di controllo delle cassette postali una o più cassette postali e quindi inviare i risultati della ricerca a un indirizzo di posta elettronica specificato. I risultati della ricerca vengono inviati come allegato XML. Per creare la ricerca, utilizzare il cmdlet New-MailboxAuditLogSearch. Per informazioni dettagliate, vedere Creare una ricerca nel log di controllo della cassetta postale.
Usare i report di controllo nell'interfaccia di amministrazione di Exchange: è possibile utilizzare la scheda Controllo nell'interfaccia di amministrazione di Exchange per eseguire un report di accesso alle cassette postali non proprietario (contiene voci per le azioni di amministratore ed eliminazione) o esportare voci non proprietarie dal log di controllo delle cassette postali. Per dettagli, vedere:
Voci del registro di controllo delle cassette postali
Nella tabella seguente vengono illustrati i campi inseriti nel registro di controllo delle cassette postali.
| Campo | Compilato con |
|---|---|
| Operazione | Una delle seguenti azioni: Copia Creare FolderBind HardDelete MailboxLogin MessageBind Move MoveToDeletedItems SendAs SendOnBehalf SoftDelete Update |
| Operationresult | Una dei seguenti risultati: Esito negativo Parzialmente completato Riuscito |
| LogonType | Il tipo di accesso dell'utente che ha eseguito l'operazione. I tipi di accesso sono: Proprietario Delegato Amministratore |
| DestFolderId | GUID della cartella di destinazione per le operazioni di spostamento. |
| DestFolderPathName | Percorso della cartella di destinazione per le operazioni di spostamento. |
| FolderId | GUID della cartella. |
| FolderPathName | Percorso della cartella. |
| ClientInfoString | Dettagli che identificano quale client o componente di Exchange ha eseguito l'operazione. |
| ClientIPAddress | Indirizzo IP del computer client. |
| ClientMachineName | Nome del computer client. |
| ClientProcessName | Nome del processo dell'applicazione client. |
| ClientVersion | Versione dell'applicazione client. |
| InternalLogonType | Tipo di utente interno (una persona dell'organizzazione) che ha eseguito l'operazione. I valori possibili per questo campo sono gli stessi del campo LogonType . |
| MailboxOwnerUPN | Nome dell'entità utente (UPN) del proprietario della cassetta postale. |
| MailboxOwnerSid | ID di sicurezza (SID) del proprietario della cassetta postale. |
| DestMailboxOwnerUPN | Nome dell'entità utente (UPN) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
| DestMailboxOwnerSid | ID di sicurezza (SID) del proprietario della cassetta postale di destinazione, registrato per le operazioni che coinvolgono più cassette postali. |
| DestMailboxOwnerGuid | GUID del proprietario della cassetta postale di destinazione. |
| CrossMailboxOperation | Indica se l'operazione registrata viene eseguita tra più cassette postali (ad esempio, la copia o lo spostamento dei messaggi tra cassette postali). |
| LogonUserDisplayName | Nome visualizzato dell'utente che ha eseguito l'accesso. |
| DelegateUserDisplayName | Nome visualizzato dell'utente delegato. |
| LogonUserSid | ID di sicurezza (SID) dell'utente che ha eseguito l'accesso. |
| SourceItems | ID degli elementi della cassetta postale su cui viene eseguita l'azione registrata (ad esempio, lo spostamento o l'eliminazione). Se l'operazione viene eseguita su diversi elementi, in questo campo viene riportata la raccolta di elementi. |
| SourceFolders | GUID della cartella di origine. |
| Itemid | ID dell'elemento. |
| ItemSubject | Oggetto dell'elemento. |
| MailboxGuid | GUID della cassetta postale. |
| MailboxResolvedOwnerName | Nome risolto dell'utente della cassetta postale nel formato DOMINIO\ SamAccountName. |
| LastAccessed | Ora di esecuzione dell'operazione. |
| Identità | ID della voce del registro di controllo. |
Ulteriori informazioni
Accesso amministratore alle cassette postali: le cassette postali sono considerate accessibili da un amministratore solo negli scenari seguenti:
La funzionalità In-Place eDiscovery viene utilizzata per effettuare una ricerca in una cassetta postale.
Il cmdlet New-MailboxExportRequest viene utilizzato per esportare una cassetta postale.
Microsoft Exchange Server client MAPI e gli oggetti dati di collaborazione vengono usati per accedere alla cassetta postale.
Ignorare la registrazione del controllo delle cassette postali: l'accesso alle cassette postali da parte di processi automatizzati autorizzati, ad esempio account usati da strumenti di terze parti o account usati per il monitoraggio legittimo, può creare un numero elevato di voci del log di controllo delle cassette postali e potrebbe non essere di interesse per l'organizzazione. È possibile configurare questi account in modo che vengano ignorati dalle registrazioni di controllo delle cassette postali. Per informazioni dettagliate, vedere Ignorare un account utente dalla registrazione di controllo delle cassette postali.
Registrazione delle azioni del proprietario della cassetta postale: per le cassette postali, ad esempio la cassetta postale di ricerca di individuazione, che può contenere informazioni più sensibili, valutare la possibilità di abilitare la registrazione di controllo delle cassette postali per le azioni del proprietario della cassetta postale, ad esempio l'eliminazione dei messaggi.