微软最近默认启用了邮箱审核。
到目前为止,我已经在我的组织邮箱上设置了自定义操作,并且每天都会按照重复的时间表进行设置。
现在默认启用审核,我有一系列的问题;
- 在所有邮箱上设置 Set-Mailbox -AuditEnabled $false 是否安全(因为它将在租户级别启用?
- 在所有邮箱上设置 Set-Mailbox -AuditOwner $null -AuditDelegate $null -AuditAdmin $null 并让默认操作接管是否安全?
- 如果我想要所有默认操作 + AuditOwner Copy,我是否需要对所有邮箱简单地 Set-Mailbox -AuditOwner @{Add="Copy"} 还是需要明确添加我想要审核的所有操作?
- 对于当前设置了默认操作的邮箱,例如启用了租户级别审核的全新邮箱,Set-Mailbox -AuditOwner @{Add="Copy"} 是否会附加到操作列表中,还是会覆盖并将其视为唯一操作?
PS:这可能与上面的问题相同,取决于您如何阅读/解释它。
答案1
首先,我想说这完全取决于您的业务是否需要启用/禁用审计日志。通常,日志对于安全和故障排除很有用。
并且可以使用“ Set-MailboxAuditBypassAssociation”命令来绕过租户级别的审计日志配置。
接下来,在我的测试中,“ Set-OrganizationConfig AuditDisabled $true/$false”仅用于禁用/启用租户级审计日志,它不会影响现有的操作。如果要检查现有的操作,可以使用以下命令:
Get-Mailbox <identity of mailbox> | Select-Object -ExpandProperty AuditOwner
如果您想添加或删除某些操作,可以使用Set-Mailbox -AuditOwner @{Add="xxx"}或Set-Mailbox -AuditOwner @{remove="xxx"}。
如果您使用Set-Mailbox -AuditOwner $null,它将清除所有操作,而不是默认操作。
请注意:“ -AuditOwner xxx”是覆盖,“ -AuditOwner @{Add="xxx"}”是添加。
请参阅以下文章了解默认操作,我认为您可以先检查当前操作然后使用添加/删除返回默认操作。
请注意,某些操作无法记录。
以下是一个参考: https://docs.microsoft.com/en-us/office365/securitycompliance/enable-mailbox-auditing