Exchange Online mailbox audit logging — konfiguracja, działanie i najlepsze praktyki bezpieczeństwa (2026)
Mailbox audit logging w Exchange Online to mechanizm automatycznego rejestrowania akcji wykonywanych na skrzynkach pocztowych przez właścicieli, delegatów i administratorów. W Microsoft 365 jest on włączony domyślnie dla całej organizacji — każda nowo utworzona skrzynka od razu podlega audytowi, a administrator może przeszukiwać zgromadzone rekordy przez portal Microsoft Purview lub PowerShell.
W 2026 roku audyt skrzynek pocztowych nie jest już tylko funkcją „dla bezpieczeństwa IT”. To element kontroli dostępu, reagowania na incydenty, zgodności z regulacjami, obsługi sporów pracowniczych, ochrony danych osobowych i zarządzania ryzykiem w środowisku, w którym poczta nadal pozostaje jednym z najważniejszych kanałów wymiany informacji. Dotyczy to zarówno klasycznych klientów Outlook, jak i środowisk z Windows 11 24H2/25H2, Office 2024, aplikacjami Microsoft 365, M365 Copilot, pocztą mobilną, skrzynkami współdzielonymi oraz hybrydami z Exchange Server Subscription Edition.
W skrócie
- Domyślnie włączony — nie musisz ręcznie aktywować audytu dla każdej skrzynki
- Obejmuje skrzynki użytkowników, współdzielone — Shared Mailbox — oraz Microsoft 365 Group
- Rejestruje trzy typy logowania: Owner, Delegate, Admin
- Zdarzenia trafiają do ujednoliconego dziennika audytu — Unified Audit Log — przeszukiwanego przez
Search-UnifiedAuditLoglub portal Microsoft Purview- Standardowa retencja: 180 dni — Audit Standard; Premium: 1 rok domyślnie lub do 10 lat z dodatkową licencją
- Wymaga licencji Microsoft 365 E3/E5 — Standard — lub E5/A5/G5 — Premium
- Jest kluczowy przy analizie usuniętych wiadomości, wysyłki „jako ktoś”, dostępu delegowanego, podejrzanych operacji administratorów i śladów po naruszeniu konta
Czym jest mailbox audit logging i dlaczego ma znaczenie w 2026 roku
Mailbox audit logging to część szerszego ekosystemu Microsoft Purview Audit. Gdy użytkownik, delegat lub administrator wykonuje akcję na skrzynce — otwiera folder, usuwa wiadomość, wysyła maila jako ktoś inny przez SendAs, przenosi elementy do usuniętych, wykonuje twarde usunięcie albo korzysta z uprawnień administracyjnych — Exchange Online generuje rekord audytu i wysyła go do ujednoliconego dziennika. Stamtąd rekord jest dostępny do przeszukiwania, eksportu i dalszej analizy.
W praktyce mailbox audit logging odpowiada na pytania, które pojawiają się podczas incydentów:
- kto usunął wiadomości z konkretnej skrzynki;
- czy delegat wysłał wiadomość jako właściciel skrzynki;
- czy administrator uzyskał dostęp do danych użytkownika;
- czy po przejęciu konta atakujący czytał, wysyłał lub usuwał pocztę;
- czy skrzynka współdzielona była używana zgodnie z procedurą;
- jakie operacje wykonano w okresie objętym reklamacją, kontrolą lub postępowaniem.
W 2026 roku kontekst jest szerszy niż kilka lat wcześniej. Firmy pracują na Windows 11 24H2 i przygotowują się lub przechodzą na Windows 11 25H2, część organizacji korzysta z Office 2024 jako pakietu wieczystego, a wiele środowisk używa aplikacji Microsoft 365 stale aktualizowanych w modelu subskrypcyjnym. Do tego dochodzą scenariusze z M365 Copilot, który może pomagać użytkownikom w pracy z informacjami z poczty, kalendarza, Teams i dokumentów, ale jednocześnie zwiększa wagę poprawnych uprawnień, klasyfikacji danych i audytu.
Audyt skrzynki nie jest narzędziem do bieżącego podsłuchiwania użytkownika. To rejestr zdarzeń bezpieczeństwa i zgodności. Działa po stronie usługi Exchange Online, niezależnie od tego, czy użytkownik korzysta z Outlooka w Office 2024, Outlooka klasycznego z Microsoft 365 Apps, Outlooka w przeglądarce, aplikacji mobilnej czy klienta skonfigurowanego przez protokoły wspierane w organizacji.
W środowiskach hybrydowych trzeba też rozróżnić Exchange Online od lokalnego Exchange. Exchange Server Subscription Edition — Exchange SE — ma znaczenie tam, gdzie organizacja utrzymuje serwery lokalne, np. do hybrydy, przepływu poczty, zarządzania adresami lub skrzynkami pozostającymi on-premises. Mailbox audit logging opisywany w tym przewodniku dotyczy Exchange Online i Microsoft Purview Audit; lokalne skrzynki wymagają osobnej konfiguracji oraz osobnych procedur audytowych.
Jak działa audyt skrzynki: typy logowania, akcje i Unified Audit Log
Mechanizm klasyfikuje każde zdarzenie według tego, kto wykonał akcję. To bardzo ważne, bo ta sama operacja — na przykład usunięcie wiadomości — może mieć inne znaczenie, gdy wykona ją właściciel skrzynki, delegat albo administrator.
| Typ logowania | Kto podlega | Przykładowe akcje domyślne | Typowy scenariusz bezpieczeństwa |
|---|---|---|---|
| Owner | Właściciel skrzynki | Update, SoftDelete, HardDelete, MoveToDeletedItems, Send, Create | Użytkownik usuwa wiadomości, tworzy elementy, wysyła pocztę lub modyfikuje dane w swojej skrzynce |
| Delegate | Użytkownik z uprawnieniem FullAccess, SendAs lub SendOnBehalf | FolderBind, SendAs, SendOnBehalf, MoveToDeletedItems, Update | Asystent, dział księgowości lub pracownik sekretariatu działa na cudzej lub współdzielonej skrzynce |
| Admin | Administrator używający eDiscovery, MAPI Editor lub impersonacji | FolderBind, HardDelete, SoftDelete, MoveToDeletedItems | Administrator, zespół bezpieczeństwa lub narzędzie administracyjne wykonuje operacje na skrzynce użytkownika |
Domyślny zestaw akcji jest zarządzany przez Microsoft. Jeżeli Microsoft dodaje nowe zdarzenie do katalogu, jest ono automatycznie włączane dla skrzynek, które nie mają ręcznie zmodyfikowanych ustawień audytu. To istotna zasada: im więcej ręcznych wyjątków, tym większe ryzyko, że organizacja nie skorzysta automatycznie z nowych domyślnych ustawień.
Zdarzenia z mailbox audit logging trafiają do Unified Audit Log. To wspólny dziennik dla wielu usług Microsoft 365, przeszukiwany w portalu Microsoft Purview lub przez PowerShell. W przypadku Exchange Online administrator najczęściej analizuje zdarzenia związane z operacjami na elementach skrzynki, wysyłką, dostępem delegowanym, usunięciami oraz działaniami administracyjnymi.
Przykładowe operacje, na które warto zwracać uwagę:
SendAs— ktoś wysłał wiadomość jako inna skrzynka;SendOnBehalf— ktoś wysłał wiadomość w imieniu innej osoby;HardDelete— element został trwale usunięty;SoftDelete— element został usunięty w sposób możliwy do odzyskania w ramach mechanizmów Exchange;MoveToDeletedItems— wiadomość przeniesiono do Elementów usuniętych;FolderBind— dostęp do folderu, szczególnie ważny dla delegatów i administratorów;MailboxLogin— logowanie do skrzynki, jeśli organizacja zdecyduje się dodać tę akcję;Update— modyfikacja elementu;Create— utworzenie elementu;Send— wysłanie wiadomości przez właściciela.
W audycie nie chodzi wyłącznie o pojedynczy wpis. Największą wartość daje korelacja: logowanie użytkownika, podejrzany dostęp z nowego kraju, reguły skrzynki, wysyłka wiadomości, usunięcia, delegacje i działania administracyjne tworzą linię czasu incydentu. Właśnie dlatego okres retencji ma znaczenie praktyczne, a nie tylko licencyjne.
Licencje, retencja i różnice między Audit Standard a Audit Premium
Microsoft rozróżnia funkcje audytu w zależności od licencji. Dla wielu firm wystarczający będzie Audit Standard, ale organizacje o większych wymaganiach regulacyjnych, bezpieczeństwa lub dochodzeniowych powinny rozważyć Audit Premium.
| Cecha | Audit Standard | Audit Premium |
|---|---|---|
| Licencja | Microsoft 365 E3, A3, G3, Business Premium | Microsoft 365 E5, A5, G5, Compliance E5 |
| Domyślny okres retencji | 180 dni | 1 rok dla Exchange, SharePoint i Entra ID; 180 dni dla pozostałych |
| Maksymalna retencja | 180 dni | 10 lat z dodatkową licencją add-on |
Zaawansowane zdarzenia, np. MailItemsAccessed | ❌ | ✅ |
| Typowy odbiorca | Małe i średnie firmy, standardowa zgodność, podstawowa analiza incydentów | Organizacje regulowane, większe firmy, SOC, sektor publiczny, finanse, duże środowiska Microsoft 365 |
| Praktyczna wartość | Pozwala sprawdzić najważniejsze operacje w ostatnich 180 dniach | Ułatwia długie dochodzenia, audyty, śledzenie dostępu do elementów i spełnianie ostrzejszych wymagań retencyjnych |
Standardowa retencja 180 dni jest wystarczająca dla wielu firm, ale bywa zbyt krótka w przypadku incydentów wykrytych po czasie. Typowy przykład: konto pracownika działu handlowego zostało przejęte w styczniu, ale pierwsze objawy nadużycia widać dopiero we wrześniu. Przy retencji 180 dni część śladów może być już niedostępna. W Audit Premium domyślnie dostępny jest 1 rok dla Exchange, SharePoint i Entra ID, a przy dodatkowej licencji add-on możliwa jest retencja do 10 lat.
W polskich realiach warto patrzeć na licencjonowanie razem z księgowością i zakupami. Firmy często porównują koszt Microsoft 365 w PLN, oczekują faktury VAT 23%, a w kolejnych latach muszą uwzględniać także procesy elektronicznego fakturowania, w tym KSeF. Sam mailbox audit logging nie zmienia procesu fakturowania, ale wybór planu Microsoft 365, modelu zakupu i dostawcy licencji wpływa na dokumenty księgowe, przewidywalność kosztów i łatwość rozliczenia.
Jeżeli organizacja kupuje lub odnawia licencje Microsoft, warto upewnić się, że wybrany plan faktycznie odpowiada wymaganiom audytowym. Subtelnie: przy porównywaniu dostępnych wariantów można sprawdzić kategorie licencji na kluczesoft.pl/klucze-microsoft-office i zestawić je z potrzebami bezpieczeństwa, księgowości oraz zgodności.
Nie należy mylić „mam Microsoft 365” z „mam każdy poziom audytu”. To, że audyt skrzynek jest domyślnie włączony, nie oznacza automatycznie, że organizacja ma 10-letnią retencję albo zaawansowane zdarzenia dostępne w Audit Premium. Decyzja licencyjna powinna wynikać z ryzyka, wielkości firmy i wymagań prawnych.
Konfiguracja mailbox audit logging krok po kroku
Do zarządzania audytem skrzynek najczęściej używa się Exchange Online PowerShell. Administrator powinien mieć odpowiednie uprawnienia w Microsoft 365 i korzystać z aktualnego modułu Exchange Online Management. Poniższe przykłady pokazują podstawowy, bezpieczny schemat weryfikacji i konfiguracji.
Krok 1: Połącz się z Exchange Online PowerShell
Connect-ExchangeOnline
Po połączeniu warto pracować na konkretnych zakresach — pojedynczych skrzynkach, grupach testowych albo wybranych typach skrzynek — zamiast wykonywać masowe zmiany bez wcześniejszej walidacji.
Krok 2: Sprawdź, czy audyt na poziomie organizacji jest włączony
Get-OrganizationConfig | Format-List AuditDisabled
Wartość False oznacza, że audyt jest włączony dla całej organizacji. Jeśli pole zwróci True, włącz audyt:
Set-OrganizationConfig -AuditDisabled $false
W większości współczesnych tenantów Microsoft 365 audyt będzie już aktywny. Ten krok nadal ma sens podczas przeglądu bezpieczeństwa, migracji, przejęcia administracji po innym dostawcy IT albo porządkowania starszych środowisk.
Krok 3: Sprawdź stan audytu dla konkretnej skrzynki
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Format-List AuditEnabled, DefaultAuditSet
Gdy audyt organizacyjny jest włączony, AuditEnabled zawsze zwraca True — nawet jeśli na poziomie skrzynki było wyłączone. Wartość DefaultAuditSet pokazuje, które typy logowania mają domyślne akcje, np. Admin, Delegate, Owner.
To zachowanie jest ważne podczas audytu konfiguracji. Samo AuditEnabled: True nie wystarcza do stwierdzenia, że skrzynka ma niezmienione, aktualne ustawienia domyślne. Trzeba sprawdzić także DefaultAuditSet oraz listy akcji.
Krok 4: Wyświetl listę audytowanych akcji dla każdego typu
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditAdmin
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditOwner
Wyniki pozwalają porównać ustawienia z polityką organizacji. Dla skrzynek wysokiego ryzyka — zarząd, finanse, kadry, administracja Microsoft 365, konta serwisowe, skrzynki współdzielone do faktur i zamówień — warto dokumentować konfigurację oraz okresowo sprawdzać, czy nie wprowadzono wyjątków.
Krok 5: Zmodyfikuj audytowane akcje, jeśli potrzebujesz
Dodaj nową akcję, np. MailboxLogin, bez nadpisywania istniejących:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditOwner @{Add="MailboxLogin"}
Usuń konkretną akcję:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditDelegate @{Remove="MoveToDeletedItems"}
Zastąp całą listę akcji:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditAdmin HardDelete, SoftDelete, FolderBind
Przywróć domyślny zestaw akcji zarządzany przez Microsoft:
Set-Mailbox -Identity "jan.kowalski@firma.pl" -DefaultAuditSet Admin,Delegate,Owner
Najbezpieczniejsza praktyka to możliwie długo pozostawać przy domyślnych zestawach Microsoft, a odstępstwa stosować świadomie i dokumentować. Ręczne dostosowanie listy akcji może być uzasadnione, ale zwiększa odpowiedzialność administratora za utrzymanie kompletności audytu.
Krok 6: Przeszukaj dziennik audytu
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -Operations SendAs, HardDelete -UserIds "jan.kowalski@firma.pl" -ResultSize 1000
Możesz też użyć portalu Microsoft Purview: Purview → Audyt → Nowe wyszukiwanie.
PowerShell jest wygodny do powtarzalnych zapytań, eksportu i automatyzacji. Portal Purview sprawdza się przy pracy analitycznej, filtrowaniu, dochodzeniu prowadzonym przez osoby mniej techniczne albo przygotowywaniu materiałów dla działu bezpieczeństwa, prawnego lub compliance.
Obsługiwane typy skrzynek i ograniczenia
Nie każdy typ skrzynki w Exchange Online jest audytowany w ten sam sposób. To częsty powód błędnych założeń podczas wdrożeń: administrator widzi, że audyt działa dla użytkowników, ale nie sprawdza wyjątków dla zasobów, folderów publicznych albo grup.
| Typ skrzynki | Audyt domyślnie | Możliwość personalizacji akcji | Komentarz praktyczny |
|---|---|---|---|
| User Mailbox — skrzynka użytkownika | ✅ Tak | ✅ Tak | Podstawowy przypadek: pracownik, menedżer, konto imienne |
| Shared Mailbox — skrzynka współdzielona | ✅ Tak | ✅ Tak | Kluczowe dla faktury@, biuro@, zamowienia@, hr@ |
| Microsoft 365 Group Mailbox | ✅ Tak | ❌ Nie — stały zestaw | Audyt działa, ale lista akcji nie jest personalizowana |
| Resource Mailbox — skrzynka zasobów | ❌ Nie | ❌ Nie | Sale, urządzenia, zasoby rezerwowane |
| Public Folder Mailbox | ❌ Nie | ❌ Nie | Starsze scenariusze współdzielenia danych wymagają osobnej oceny |
Skrzynki Microsoft 365 Group mają sztywny zestaw audytowanych akcji: Create, HardDelete, MoveToDeletedItems, SendAs, SendOnBehalf, SoftDelete, Update — nie można go zmienić.
Dla bezpieczeństwa szczególnie ważne są skrzynki współdzielone. W polskich firmach bardzo często obsługują one faktury, zamówienia, reklamacje, dane klientów i korespondencję z kontrahentami. Skrzynka faktury@firma.pl może być powiązana z obiegiem dokumentów, JPK, płatnościami, numerami rachunków bankowych, danymi kontrahentów i procesami przygotowanymi pod KSeF. Jeżeli kilka osób ma FullAccess, SendAs albo SendOnBehalf, audyt delegatów staje się podstawowym źródłem odpowiedzi na pytanie: kto faktycznie wykonał daną operację.
Trzeba też pamiętać, że audyt skrzynki nie zastępuje kontroli uprawnień. Jeśli dziesięć osób ma dostęp do skrzynki współdzielonej bez jasnego uzasadnienia, logi pomogą w dochodzeniu, ale nie naprawią nadmiernych uprawnień. Dobre wdrożenie łączy audyt, zasadę najmniejszych uprawnień, regularny przegląd delegacji i procedurę odbierania dostępu po zmianie stanowiska lub odejściu pracownika.
Scenariusze użycia: jak dobrać konfigurację do realnej firmy
Firma handlowa z 40 pracownikami i skrzynką faktury@
Firma X używa Microsoft 365 Business Premium, ma skrzynki biuro@, zamowienia@ i faktury@. Księgowość potrzebuje faktury VAT 23%, pracuje w PLN, a procesy zakupowe są przygotowywane pod KSeF. Największe ryzyka to błędna wysyłka z konta współdzielonego, usunięcie wiadomości z fakturą i podejrzane reguły po przejęciu konta.
W takim scenariuszu rozsądny wybór to pozostawienie audytu domyślnego, regularne sprawdzanie delegacji do skrzynek współdzielonych i okresowe wyszukiwania operacji SendAs, SendOnBehalf, HardDelete oraz MoveToDeletedItems. Audit Standard z retencją 180 dni może być wystarczający, o ile firma ma szybkie procedury zgłaszania incydentów i nie wymaga dłuższych dochodzeń.
Spółka usługowa z działem prawnym i zarządem
Firma Y ma zarząd, dział prawny, kadry i skrzynki zawierające dane osobowe, umowy oraz korespondencję z klientami. Incydenty są rzadkie, ale gdy się pojawiają, dochodzenie może dotyczyć okresu sprzed wielu miesięcy. Organizacja korzysta z Windows 11 24H2/25H2, aplikacji Microsoft 365 oraz M365 Copilot dla wybranych użytkowników.
Tutaj warto rozważyć Audit Premium, zwłaszcza jeśli wymagane są dłuższe okresy retencji i bardziej szczegółowe zdarzenia, takie jak MailItemsAccessed. Dodatkowo należy ograniczyć dostęp delegowany do skrzynek zarządu i działu prawnego, dokumentować wszystkie wyjątki oraz analizować logi w powiązaniu z Entra ID, DLP i alertami bezpieczeństwa.
Organizacja z hybrydą Exchange i Exchange SE
Firma Z utrzymuje środowisko hybrydowe: część skrzynek jest w Exchange Online, a infrastruktura lokalna opiera się na Exchange Server Subscription Edition. Poczta jest migrowana etapami, a niektóre systemy biznesowe nadal wysyłają wiadomości przez lokalne komponenty.
W takim przypadku mailbox audit logging w Exchange Online zabezpiecza skrzynki chmurowe, ale nie rozwiązuje automatycznie audytu dla skrzynek lokalnych. Należy przygotować oddzielną procedurę dla Exchange SE, rozróżnić źródła logów, opisać odpowiedzialność administratorów i ustalić, gdzie prowadzone jest główne dochodzenie. Dla skrzynek po migracji do Exchange Online warto sprawdzić DefaultAuditSet oraz wykonać testowe wyszukiwanie w Unified Audit Log.
Biuro rachunkowe obsługujące wielu klientów
Biuro rachunkowe używa skrzynek współdzielonych dla klientów, przetwarza faktury, korekty, potwierdzenia płatności i dokumenty kadrowe. W takim środowisku audyt powinien być traktowany jako element procedury dowodowej. Kiedy klient pyta, czy wiadomość z fakturą została usunięta albo kto wysłał odpowiedź, administrator musi mieć szybki sposób sprawdzenia operacji.
Rekomendowane minimum to przegląd uprawnień FullAccess, SendAs i SendOnBehalf, dokumentowanie członkostwa w grupach, testy wyszukiwania Search-UnifiedAuditLog oraz uzgodnienie, czy 180 dni retencji wystarcza. Jeśli biuro obsługuje większych klientów lub branże regulowane, Audit Premium może być bardziej uzasadniony niż standardowy poziom audytu.
Najlepsze praktyki bezpieczeństwa i zgodności
Mailbox audit logging działa najlepiej, gdy jest częścią szerszej architektury bezpieczeństwa Microsoft 365. Samo włączenie audytu nie wystarczy, jeśli nikt nie przegląda logów, nie ma procedury incydentowej, a uprawnienia do skrzynek współdzielonych są nadawane bez kontroli.
Najważniejsze praktyki:
-
Nie wyłączaj audytu organizacyjnego. Wartość
AuditDisabledpowinna pozostaćFalse. Wyłączenie audytu pozbawia organizację jednego z podstawowych źródeł informacji po incydencie. -
Pozostawiaj domyślne zestawy Microsoft, jeśli nie masz silnego powodu do zmian. Domyślne zestawy są aktualizowane przez Microsoft. Ręczne modyfikacje powinny mieć właściciela, uzasadnienie i dokumentację.
-
Monitoruj skrzynki wysokiego ryzyka. Zarząd, finanse, kadry, dział prawny, administratorzy, skrzynki współdzielone i konta używane do komunikacji z klientami wymagają szczególnej uwagi.
-
Regularnie przeglądaj delegacje. Uprawnienia
FullAccess,SendAsiSendOnBehalfpowinny być nadawane zgodnie z zasadą najmniejszych uprawnień. Dostęp tymczasowy powinien mieć datę przeglądu lub automatyczne wycofanie. -
Koreluj logi z innymi źródłami. Audyt skrzynki należy łączyć z logami Entra ID, alertami Defender, regułami transportowymi, DLP, eDiscovery i informacjami o logowaniach.
-
Ustal minimalny okres retencji na podstawie ryzyka. 180 dni może być wystarczające dla małej firmy, ale nie dla organizacji, która wykrywa nadużycia po wielu miesiącach albo musi przechowywać ślady do postępowań prawnych.
-
Testuj wyszukiwanie przed incydentem. Administrator powinien wcześniej wiedzieć, jak znaleźć
SendAs,HardDelete,SoftDelete,FolderBindi inne kluczowe operacje. Pierwszy test nie powinien odbywać się w dniu naruszenia bezpieczeństwa. -
Nie traktuj M365 Copilot jako wyjątku od zasad dostępu. Copilot działa w ramach uprawnień użytkownika, więc jakość modelu bezpieczeństwa zależy od poprawnego nadawania dostępu do poczty, plików, grup i zespołów. Audyt pomaga analizować działania w ekosystemie, ale nie zastępuje porządku w uprawnieniach.
-
Dokumentuj procedurę eksportu i przekazania logów. Jeśli logi mają trafić do działu prawnego, zarządu, audytora lub organów ścigania, organizacja powinna mieć opisany sposób eksportu, zakres danych, osobę odpowiedzialną i zasady przechowywania.
-
Uważaj na nadinterpretację zdarzeń. Pojedynczy wpis
FolderBindalboUpdatenie zawsze oznacza nadużycie. Liczy się kontekst: czas, użytkownik, źródło logowania, typ uprawnienia, sekwencja działań i zgodność z obowiązkami służbowymi.
W praktyce dobry proces może wyglądać tak: co miesiąc zespół IT eksportuje listę uprawnień do skrzynek współdzielonych, co kwartał weryfikuje skrzynki wysokiego ryzyka, a po każdym zgłoszeniu podejrzanej aktywności wykonuje zestaw zapytań w Unified Audit Log. Przy większej organizacji te działania warto połączyć z SIEM lub procesem SOC.
Przykładowe zapytania i procedura analizy incydentu
Podstawowe wyszukiwanie dla operacji SendAs i HardDelete w ostatnich 7 dniach:
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -Operations SendAs, HardDelete -UserIds "jan.kowalski@firma.pl" -ResultSize 1000
W przypadku skrzynki współdzielonej można szukać operacji wykonywanych przez delegatów. Jeżeli firma analizuje skrzynkę faktury@firma.pl, sensowne będą operacje SendAs, SendOnBehalf, MoveToDeletedItems, SoftDelete i HardDelete.
Procedura analizy incydentu może wyglądać następująco:
-
Zdefiniuj zakres. Ustal skrzynkę, użytkowników, daty, typ operacji i podejrzane objawy. Przykład: „zniknęła wiadomość z fakturą od kontrahenta między 3 a 6 marca”.
-
Sprawdź uprawnienia. Zweryfikuj, kto miał dostęp do skrzynki, kto mógł wysyłać jako skrzynka i kto mógł działać w imieniu właściciela.
-
Przeszukaj Unified Audit Log. Użyj portalu Purview lub
Search-UnifiedAuditLog, ograniczając zakres dat i operacji. -
Zbuduj linię czasu. Połącz usunięcia, wysyłkę, dostęp delegowany, logowania i zmiany konfiguracji.
-
Porównaj z innymi logami. Sprawdź Entra ID, alerty bezpieczeństwa, reguły skrzynki, aktywność urządzeń i ewentualne incydenty Defender.
-
Zabezpiecz dowody. Eksportuj wyniki, zapisz parametry wyszukiwania i ogranicz liczbę osób modyfikujących skrzynkę w trakcie dochodzenia.
-
Usuń przyczynę. Zmień hasła, wycofaj sesje, odbierz nadmiarowe uprawnienia, usuń złośliwe reguły, wzmocnij MFA i przeprowadź przegląd dostępu.
-
Zaktualizuj procedury. Jeśli incydent wynikał z nadmiarowych delegacji lub zbyt krótkiej retencji, popraw politykę, a nie tylko konkretną skrzynkę.
W małej firmie całość może wykonać administrator Microsoft 365. W większej organizacji powinni uczestniczyć: IT, bezpieczeństwo, właściciel procesu biznesowego, dział prawny lub compliance, a czasem także zewnętrzny dostawca usług bezpieczeństwa.
Częste pytania
Czy mailbox audit logging trzeba ręcznie włączać dla każdej skrzynki?
Nie, w Exchange Online mailbox audit logging jest domyślnie włączony dla całej organizacji. Każda nowo utworzona skrzynka użytkownika, skrzynka współdzielona i skrzynka Microsoft 365 Group podlega audytowi zgodnie z obsługiwanym zakresem.
Co oznacza AuditDisabled: False?
Wartość False oznacza, że audyt na poziomie organizacji jest włączony. Jeżeli Get-OrganizationConfig | Format-List AuditDisabled zwróci True, audyt organizacyjny jest wyłączony i należy go włączyć poleceniem Set-OrganizationConfig -AuditDisabled $false.
Dlaczego AuditEnabled pokazuje True, skoro kiedyś audyt skrzynki był wyłączony?
Gdy audyt organizacyjny jest włączony, AuditEnabled dla skrzynki zwraca True nawet wtedy, gdy wcześniej próbowano wyłączyć audyt na poziomie skrzynki. Dlatego oprócz AuditEnabled warto sprawdzać DefaultAuditSet oraz konkretne listy AuditAdmin, AuditDelegate i AuditOwner.
Czy skrzynki współdzielone są audytowane?
Tak, skrzynki współdzielone — Shared Mailbox — są audytowane domyślnie i można personalizować ich akcje audytu. To szczególnie ważne dla adresów typu faktury@, biuro@, hr@ i zamowienia@, gdzie wiele osób może działać na jednej skrzynce.
Czy Microsoft 365 Group Mailbox ma konfigurowalny audyt?
Nie. Skrzynki Microsoft 365 Group są audytowane domyślnie, ale mają stały zestaw akcji: Create, HardDelete, MoveToDeletedItems, SendAs, SendOnBehalf, SoftDelete, Update. Nie można go zmienić.
Jak długo przechowywane są logi audytu?
W Audit Standard standardowa retencja wynosi 180 dni. W Audit Premium domyślna retencja to 1 rok dla Exchange, SharePoint i Entra ID oraz 180 dni dla pozostałych, a maksymalnie można uzyskać 10 lat z dodatkową licencją add-on.
Czy Audit Standard wystarczy małej firmie?
Często tak, szczególnie jeśli firma szybko reaguje na incydenty i nie ma wymagań dotyczących długiego przechowywania śladów. Jeśli jednak dochodzenia mogą dotyczyć okresu dłuższego niż 180 dni albo organizacja potrzebuje zaawansowanych zdarzeń, warto rozważyć Audit Premium.
Czy mailbox audit logging pokaże, kto przeczytał konkretną wiadomość?
Standardowe logi nie zawsze odpowiadają na to pytanie z taką szczegółowością, jakiej oczekuje użytkownik biznesowy. Zaawansowane zdarzenia, takie jak MailItemsAccessed, są związane z Audit Premium i mogą mieć znaczenie przy dokładniejszym badaniu dostępu do elementów.
Czy M365 Copilot zmienia zasady audytu skrzynek?
Copilot nie powinien być traktowany jako obejście zabezpieczeń — działa w ramach uprawnień użytkownika. W środowiskach z Copilotem jeszcze ważniejsze staje się poprawne nadawanie dostępu, klasyfikacja danych, DLP, retencja i audyt aktywności w Microsoft 365.
Czy Exchange SE korzysta z tego samego audytu co Exchange Online?
Nie wprost. Exchange Server Subscription Edition dotyczy środowisk lokalnych lub hybrydowych, natomiast opisany mechanizm mailbox audit logging w tym przewodniku odnosi się do Exchange Online i Microsoft Purview Audit. Skrzynki lokalne wymagają osobnej konfiguracji i osobnych procedur audytowych.
<!-- IL-V1 -->Powiązane artykuły
- SharePoint Online Search — konfiguracja, dostrajanie i najlepsze praktyki w Microsoft 365 — SharePoint Online Search to wbudowana wyszukiwarka Microsoft 365, która umożliwia użytkownikom szybkie odnajdywanie dokumentów, stron, list.
- WSUS (Windows Server Update Services) — konfiguracja, wdrożenie i najlepsze praktyki (2026) — WSUS to rola serwerowa, która działa jako pośrednik aktualizacyjny między infrastrukturą Microsoftu a wewnętrzną siecią organizacji.
- SQL Server tempdb — konfiguracja i najlepsze praktyki (2026) — Tempdb to baza systemowa obecna w każdej instancji SQL Servera, odtwarzana od nowa przy każdym restarcie serwera.
- Entra ID Privileged Identity Management (PIM) — konfiguracja krok po kroku i najlepsze praktyki (2026) — Privileged Identity Management to nie pojedyncze narzędzie, a warstwa bezpieczeństwa osadzona w ekosystemie Microsoft Entra (dawniej Azure A.
- Exchange Online DLP (Data Loss Prevention) — konfiguracja, zasady działania i wdrożenie krok po kroku — Data Loss Prevention w Exchange Online to warstwa ochrony przed wyciekiem danych wbudowana bezpośrednio w infrastrukturę pocztową Microsoft.
Powiązane produkty
- Microsoft Exchange Online Plan 1 NCE 1 rok subskrypcja — sprawdź dostępność i cenę w naszym sklepie
- Zobacz wszystkie exchange online — pełna oferta w kategorii
