Mailbox audit logging w Exchange Online to mechanizm automatycznego rejestrowania akcji wykonywanych na skrzynkach pocztowych przez właścicieli, delegatów i administratorów. W Microsoft 365 jest on włączony domyślnie dla całej organizacji — każda nowo utworzona skrzynka od razu podlega audytowi, a administrator może przeszukiwać zgromadzone rekordy przez portal Microsoft Purview lub PowerShell.
W skrócie
- Domyślnie włączony — nie musisz ręcznie aktywować audytu dla każdej skrzynki
- Obejmuje skrzynki użytkowników, współdzielone (Shared Mailbox) oraz Microsoft 365 Group
- Rejestruje trzy typy logowania: Owner (właściciel), Delegate (delegat), Admin (administrator)
- Zdarzenia trafiają do ujednoliconego dziennika audytu (Unified Audit Log) — przeszukiwane przez
Search-UnifiedAuditLoglub portal Purview- Standardowa retencja: 180 dni (Audit Standard); Premium: 1 rok (domyślnie) lub do 10 lat z dodatkową licencją
- Wymaga licencji Microsoft 365 E3/E5 (Standard) lub E5/A5/G5 (Premium)
Pełna definicja i jak działa mailbox audit logging
Mailbox audit logging to część szerszego ekosystemu Microsoft Purview Audit. Gdy użytkownik, delegat lub administrator wykonuje akcję na skrzynce — otwiera folder, usuwa wiadomość, wysyła maila jako ktoś inny (SendAs) — Exchange Online generuje rekord audytu i wysyła go do ujednoliconego dziennika. Stamtąd jest dostępny do przeszukiwania, eksportu i analizy.
Trzy typy logowania (sign-in types)
Mechanizm klasyfikuje każde zdarzenie według tego, kto wykonał akcję:
| Typ | Kto podlega | Przykładowe akcje domyślne |
|---|---|---|
| Owner | Właściciel skrzynki | Update, SoftDelete, HardDelete, MoveToDeletedItems, Send, Create |
| Delegate | Użytkownik z uprawnieniem FullAccess, SendAs lub SendOnBehalf | FolderBind, SendAs, SendOnBehalf, MoveToDeletedItems, Update |
| Admin | Administrator używający eDiscovery, MAPI Editor lub impersonacji | FolderBind, HardDelete, SoftDelete, MoveToDeletedItems |
Domyślny zestaw akcji jest zarządzany przez Microsoft — gdy Microsoft dodaje nowe zdarzenie do katalogu, jest ono automatycznie włączane dla skrzynek, które nie mają ręcznie zmodyfikowanych ustawień audytu.
Jak sprawdzić i skonfigurować mailbox audit logging
Krok 1: Połącz się z Exchange Online PowerShell
Connect-ExchangeOnline
Krok 2: Sprawdź, czy audyt na poziomie organizacji jest włączony
Get-OrganizationConfig | Format-List AuditDisabled
Wartość False oznacza, że audyt jest włączony dla całej organizacji. Jeśli zwróci True, włącz go:
Set-OrganizationConfig -AuditDisabled $false
Krok 3: Sprawdź stan audytu dla konkretnej skrzynki
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Format-List AuditEnabled, DefaultAuditSet
Gdy audyt organizacyjny jest włączony, AuditEnabled zawsze zwraca True — nawet jeśli na poziomie skrzynki było wyłączone. Wartość DefaultAuditSet pokazuje, które typy logowania mają domyślne akcje (np. Admin, Delegate, Owner).
Krok 4: Wyświetl listę audytowanych akcji dla każdego typu
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditAdmin
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditOwner
Krok 5: Zmodyfikuj audytowane akcje (jeśli potrzebujesz)
Dodaj nową akcję (np. MailboxLogin) bez nadpisywania istniejących:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditOwner @{Add="MailboxLogin"}
Usuń konkretną akcję:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditDelegate @{Remove="MoveToDeletedItems"}
Zastąp całą listę akcji:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditAdmin HardDelete, SoftDelete, FolderBind
Przywróć domyślny zestaw akcji zarządzany przez Microsoft:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -DefaultAuditSet Admin,Delegate,Owner
Krok 6: Przeszukaj dziennik audytu
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -Operations SendAs, HardDelete -UserIds "jan.kowalski@firma.pl" -ResultSize 1000
Możesz też użyć portalu Microsoft Purview: Purview → Audyt → Nowe wyszukiwanie.
Obsługiwane typy skrzynek
| Typ skrzynki | Audyt domyślnie | Możliwość personalizacji akcji |
|---|---|---|
| User Mailbox (użytkownika) | ✅ Tak | ✅ Tak |
| Shared Mailbox (współdzielona) | ✅ Tak | ✅ Tak |
| Microsoft 365 Group Mailbox | ✅ Tak | ❌ Nie (stały zestaw) |
| Resource Mailbox (zasobów) | ❌ Nie | ❌ Nie |
| Public Folder Mailbox | ❌ Nie | ❌ Nie |
Skrzynki Microsoft 365 Group mają sztywny zestaw audytowanych akcji: Create, HardDelete, MoveToDeletedItems, SendAs, SendOnBehalf, SoftDelete, Update — nie można go zmienić.
Porównanie Audit (Standard) vs Audit (Premium)
| Cecha | Audit (Standard) | Audit (Premium) |
|---|---|---|
| Licencja | Microsoft 365 E3, A3, G3, Business Premium | Microsoft 365 E5, A5, G5, Compliance E5 |
| Domyślny okres retencji | 180 dni | 1 rok (Exchange, SharePoint, Entra ID); 180 dni pozostałe |
| Maksymalna retencja | 180 dni | 10 lat (z dodatkową licencją add-on) |
| MailItemsAccessed | ❌ | ✅ |
| Inteligentne insighty (np. wyszukiwania użytkownika) | ❌ | ✅ |
| Przepustowość API (Management Activity API) | Bazowa (~2000 req/min) | ~2× wyższa |
| Custom retention policies | ❌ | ✅ |
| Domyślne zdarzenia audytu skrzynki | ✅ | ✅ |
Uwaga: od 17 października 2023 r. standardowa retencja wzrosła z 90 do 180 dni. Logi wygenerowane przed tą datą zachowują 90-dniową retencję.
Kiedy warto zmodyfikować domyślne ustawienia audytu
Domyślna konfiguracja pokrywa większość scenariuszy, ale są sytuacje, w których warto ją dostosować:
- Śledzenie logowań do skrzynek (MailboxLogin) — domyślnie nieaudytowane; warto dodać, jeśli potrzebujesz wiedzieć, kiedy użytkownik logował się do skrzynki.
- Monitorowanie wysyłki jako inny użytkownik (SendAs/SendOnBehalf) — domyślnie audytowane tylko dla delegata; rozważ dodanie dla Admin, jeśli administratorzy korzystają z impersonacji.
- Zgodność z RODO lub ISO 27001 — może wymagać rozszerzonego zestawu akcji (np.
MailItemsAccessedwymaga Premium).
Jak ominąć audyt dla wybranych użytkowników (Bypass)
Nie możesz wyłączyć audytu dla pojedynczej skrzynki (gdy organizacyjny jest włączony), ale możesz pominąć rejestrowanie akcji konkretnego użytkownika na wszystkich skrzynkach:
Set-MailboxAuditBypassAssociation -Identity "audytor@firma.pl" -AuditByPassEnabled $true
To przydatne np. dla kont systemowych lub narzędzi monitorujących, które generują szum w logach.
Najczęstsze problemy i pułapki
| Problem | Rozwiązanie |
|---|---|
Set-Mailbox -AuditEnabled $true ignorowane | Audyt organizacyjny nadpisuje ustawienia skrzynki — sprawdź Get-OrganizationConfig | fl AuditDisabled |
| Nowe akcje Microsoftu nie są audytowane | Oznacza, że ręcznie zmodyfikowałeś akcje na skrzynce — przywróć -DefaultAuditSet |
| Brak rekordów w wyszukiwaniu | 1. Sprawdź zakres dat 2. Sprawdź licencję użytkownika (Premium akcje wymagają E5) 3. Poczekaj do 30 minut na propagację |
Częste pytania
Czy mailbox audit logging jest włączony domyślnie w Exchange Online?
Tak. Od 2019 roku Microsoft domyślnie włącza mailbox audit logging dla wszystkich nowych organizacji i skrzynek. Ustawienie AuditDisabled w OrganizationConfig ma wartość $false, co oznacza aktywny audyt na poziomie całego tenanta. Nie musisz podejmować żadnych działań — każda nowa skrzynka jest automatycznie audytowana.
Jakie akcje są domyślnie rejestrowane dla właściciela skrzynki?
Dla typu Owner domyślnie audytowane są: Create (tworzenie elementu w kalendarzu/kontaktach), Update (modyfikacja wiadomości lub jej właściwości), SoftDelete (przeniesienie do folderu Elementy możliwe do odzyskania), HardDelete (trwałe usunięcie z Recoverable Items), MoveToDeletedItems (przeniesienie do Kosza), Send (wysłanie, odpowiedź, przekazanie), UpdateFolderPermissions, UpdateInboxRules, UpdateCalendarDelegation i ApplyRecord. Dokładna lista może się zmieniać, bo zarządza nią Microsoft.
Jak długo przechowywane są logi audytu skrzynki?
W Audit (Standard) — 180 dni. W Audit (Premium) — domyślnie 1 rok dla Exchange, SharePoint i Entra ID, a dla pozostałych usług — 180 dni. Z dodatkową licencją 10-Year Audit Log Retention add-on możesz wydłużyć retencję do 10 lat. Uwaga: polityka 10-letnia nie działa wstecz — obejmuje tylko logi wygenerowane po jej utworzeniu.
Czy skrzynki współdzielone (Shared Mailbox) są audytowane?
Tak, skrzynki współdzielone są w pełni objęte audytem domyślnym. Możesz też modyfikować zestaw audytowanych akcji dla skrzynki współdzielonej tak samo jak dla zwykłej skrzynki użytkownika — za pomocą parametrów -AuditOwner, -AuditDelegate, -AuditAdmin. Uwaga: w środowisku multigeo akcje między lokalizacjami geograficznymi nie są rejestrowane w dzienniku skrzynki.
Czy potrzebuję licencji E5, żeby korzystać z mailbox audit logging?
Nie. Podstawowy audyt skrzynki działa z licencją Microsoft 365 E3, Business Premium lub dowolną zawierającą Audit (Standard). Licencja E5/A5/G5 (lub Compliance E5 add-on) odblokowuje Audit (Premium): retencję 1 rok/10 lat, zdarzenia MailItemsAccessed, insighty i wyższą przepustowość API. Samo rejestrowanie akcji na skrzynce nie wymaga E5.
Czy mogę wyłączyć audyt dla jednej konkretnej skrzynki?
Nie bezpośrednio. Gdy audyt organizacyjny jest włączony, ustawienie -AuditEnabled $false na pojedynczej skrzynce jest ignorowane. Możesz jednak użyć Set-MailboxAuditBypassAssociation, aby wykluczyć konkretnego użytkownika z audytu na wszystkich skrzynkach — jego akcje nie będą wtedy rejestrowane nigdzie w organizacji.
Jak przywrócić domyślne akcje audytu, jeśli wcześniej je zmieniłem?
Użyj polecenia Set-Mailbox -Identity "użytkownik@firma.pl" -DefaultAuditSet Admin,Delegate,Owner. To przywraca zarządzany przez Microsoft zestaw akcji i sprawia, że wszystkie przyszłe nowe akcje dodawane przez Microsoft będą automatycznie audytowane dla tej skrzynki.
Jeśli konfigurujesz środowisko Exchange Online dla firmy i potrzebujesz legalnych licencji Microsoft 365 w korzystnej cenie — sprawdź naszą ofertę Microsoft 365 Business Premium i Enterprise. Wszystkie klucze pochodzą z legalnego obrotu wtórnego w UE, z fakturą VAT i natychmiastową dostawą.