OMEPortal

Microsoft Purview 邮件加密是一项允许组织向任何收件人发送加密邮件的服务。

OMEPortal 是一种记录在统一审核日志Office 365的事件类型。 它表示外部收件人使用加密邮件门户访问加密邮件的任何活动。 此事件可用于确定何时以及谁访问门户。

• 身份 验证
• 打开邮件
• 查看附件
• 下载附件
• 答复/转发邮件

访问Office 365统一审核日志

可以使用以下方法访问审核日志。

• Microsoft Purview 合规性门户中的审核日志搜索工具。
• Exchange Online PowerShell 中的 Search-UnifiedAuditLog cmdlet。
• Office 365 管理活动 API。

审核日志搜索工具

1. 转到Microsoft Purview 合规门户并登录。

2. 在合规性门户的左窗格中，选择“ 审核”。

   注意

   如果在左窗格中看不到“审核”，请参阅 Microsoft Defender for Office 365 中的角色和角色组和 Microsoft Purview 合规性，了解有关权限的信息。

3. 在“ 新建搜索 ”选项卡上，将“记录类型”设置为 “OMEPortal ”并配置其他参数。

有关在Microsoft Purview 合规门户中查看审核日志的详细信息，请参阅审核日志活动。

在 PowerShell 中搜索统一审核日志

若要使用 PowerShell 访问统一审核日志，请先打开 PowerShell 窗口并连接到 Exchange Online PowerShell。 有关说明，请参阅连接 PowerShell Exchange Online。

Search-UnifiedAuditLog cmdlet

Search-UnifiedAuditLog cmdlet 是一个 PowerShell 命令，可用于搜索统一审核日志Office 365。 统一审核日志是Office 365中的用户和管理员活动记录，可用于跟踪事件。 有关使用此 cmdlet 的最佳做法，请参阅 使用 Search-UnifiedAuditLog 的最佳做法。

若要使用 PowerShell 从统一审核日志中提取 OMEPortal 事件，可以使用以下命令。 这将在统一审核日志中搜索指定日期范围，并返回记录类型为“OMEPortal”的任何事件。 结果将导出到指定路径处的 CSV 文件。

Search-UnifiedAuditLog -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file> 

下面是 PowerShell 中的 OMEPortal 事件示例，该事件在加密的消息门户活动中打开消息。

RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:00:59 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : MessageAccess 

AuditData    : {"CreationTime":"2023-03-22T19:00:59","Id":"a3500d45-6ab3-4971-a762-a01a846015d0","Operation":"MessageAccess","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Success","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AuthenticationMethod":"Google","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094602B59DFEC335A3C5E58AA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 1234567"}],"OperationStatus":0,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 6 

ResultCount  : 7 

Identity     : a3500d45-6ab3-4971-a762-a01a846015d0 

IsValid      : True 

ObjectState  : Unchanged 

使用以下命令专门搜索用户查看附件的方案。 PowerShell cmdlet 的结果示例也如下所示。

Search-UnifiedAuditLog -Operations AttachmentReview -RecordType OMEPortal -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date)

下面是 PowerShell 中 AipSensitivityLabelAction 事件的示例，其中更新了敏感度标签。

RecordType   : OMEPortal 

CreationDate : 3/22/2023 7:04:09 PM 

UserIds      : admin@M365x965352.onmicrosoft.com 

Operations   : AttachmentReview 

AuditData    : {"CreationTime":"2023-03-22T19:04:09","Id":"ef29c387-c81b-4812-9020-90b378d92cde","Operation":"AttachmentReview","OrganizationId":"84b06764-3e5e-4f51-9a78-046a7f38b59b","RecordType":154,"ResultStatus":"Failure","UserKey":"admin@M365x965352.onmicrosoft.com","UserType":0,"Version":1,"Workload":"Exchange","UserId":"admin@M365x965352.onmicrosoft.com","AttachmentName":"Form.docx","AuthenticationMethod":"OTP","AuthenticationStatus":0,"MessageId":"<MW5PR18MB5094CD4A4C6D8A5636154FEBAA869@MW5PR18MB5094.namprd18.prod.outlook.com>","OperationProperties":[{"Name":"MailSubject","Value":"Support case 987654"}],"OperationStatus":1,"Recipient":"samschan.msft@gmail.com","Sender":"admin@M365x965352.onmicrosoft.com"} 

ResultIndex  : 4 

ResultCount  : 7 

Identity     : ef29c387-c81b-4812-9020-90b378d92cde 

IsValid      : True 

ObjectState  : Unchanged 

可在 OMEPortal 中专门搜索的其他操作包括 AttachmentDownload、AuthenticationRequest、MessageAccess 和 MessageForward。

OMEPortal 事件的属性

下表包含与 OMEPortal 事件相关的信息。

事件	类型	说明
活动	String	审核日志的活动类型。 对于 OMEPortal，操作可能包括： - AttachmentDownload - AttachmentReview - AuthenticateRequest - MessageAccess - MessageForward
AttachmentName	String	AuditData 的一部分。 邮件中附件的名称。
AuditData	String	OMEPortal 活动的日志详细信息。
AuthenticationMethod	String	AuditData 的一部分。 用于登录到门户的身份验证类型。 值为： -Otp -谷歌 -雅虎 -微软
AuthenticationStatus	双精度	身份验证的状态。 0 = 成功 1= 失败
CreationTime	日期/时间	用户执行活动时的协调世界时 (UTC) 日期和时间。
Id	GUID	审核记录的唯一标识符。
MessageId	String	消息 ID。
操作	字符串	与活动相同的值。
OperationProperties	字符串	AuditData 的一部分。 包含电子邮件主题。
收件人	String	AuditData 的一部分。 在加密邮件门户中访问邮件的用户的电子邮件地址。
RecordType	双精度	记录指示的操作类型。 154 表示 OMEPortal 记录。
ResultsStatus	String	操作成功或失败。
发件人	String	AuditData 的一部分。 发送加密邮件的用户的电子邮件地址。
Workload	String	Exchange 以指示加密邮件门户中的电子邮件。
UserID	String	用户主体名称 (UPN) 组织中发送加密邮件的用户的操作，该操作导致记录被记录。