Przejdź do treści
Powrót do Centrum Pomocy
Exchange Server
Bezpieczeństwo

Exchange Online mailbox audit logging — konfiguracja, działanie i najlepsze praktyki (2026)

Mailbox audit logging to część szerszego ekosystemu Microsoft Purview Audit. Gdy użytkownik, delegat lub administrator wykonuje akcję na skrzynce — otwiera fold

19 min czytania·Zaktualizowano 1 miesiąc temu

Exchange Online mailbox audit logging — konfiguracja, działanie i najlepsze praktyki bezpieczeństwa (2026)

Mailbox audit logging w Exchange Online to mechanizm automatycznego rejestrowania akcji wykonywanych na skrzynkach pocztowych przez właścicieli, delegatów i administratorów. W Microsoft 365 jest on włączony domyślnie dla całej organizacji — każda nowo utworzona skrzynka od razu podlega audytowi, a administrator może przeszukiwać zgromadzone rekordy przez portal Microsoft Purview lub PowerShell.

W 2026 roku audyt skrzynek pocztowych nie jest już tylko funkcją „dla bezpieczeństwa IT”. To element kontroli dostępu, reagowania na incydenty, zgodności z regulacjami, obsługi sporów pracowniczych, ochrony danych osobowych i zarządzania ryzykiem w środowisku, w którym poczta nadal pozostaje jednym z najważniejszych kanałów wymiany informacji. Dotyczy to zarówno klasycznych klientów Outlook, jak i środowisk z Windows 11 24H2/25H2, Office 2024, aplikacjami Microsoft 365, M365 Copilot, pocztą mobilną, skrzynkami współdzielonymi oraz hybrydami z Exchange Server Subscription Edition.

W skrócie

  • Domyślnie włączony — nie musisz ręcznie aktywować audytu dla każdej skrzynki
  • Obejmuje skrzynki użytkowników, współdzielone — Shared Mailbox — oraz Microsoft 365 Group
  • Rejestruje trzy typy logowania: Owner, Delegate, Admin
  • Zdarzenia trafiają do ujednoliconego dziennika audytu — Unified Audit Log — przeszukiwanego przez Search-UnifiedAuditLog lub portal Microsoft Purview
  • Standardowa retencja: 180 dni — Audit Standard; Premium: 1 rok domyślnie lub do 10 lat z dodatkową licencją
  • Wymaga licencji Microsoft 365 E3/E5 — Standard — lub E5/A5/G5 — Premium
  • Jest kluczowy przy analizie usuniętych wiadomości, wysyłki „jako ktoś”, dostępu delegowanego, podejrzanych operacji administratorów i śladów po naruszeniu konta

Czym jest mailbox audit logging i dlaczego ma znaczenie w 2026 roku

Mailbox audit logging to część szerszego ekosystemu Microsoft Purview Audit. Gdy użytkownik, delegat lub administrator wykonuje akcję na skrzynce — otwiera folder, usuwa wiadomość, wysyła maila jako ktoś inny przez SendAs, przenosi elementy do usuniętych, wykonuje twarde usunięcie albo korzysta z uprawnień administracyjnych — Exchange Online generuje rekord audytu i wysyła go do ujednoliconego dziennika. Stamtąd rekord jest dostępny do przeszukiwania, eksportu i dalszej analizy.

W praktyce mailbox audit logging odpowiada na pytania, które pojawiają się podczas incydentów:

  • kto usunął wiadomości z konkretnej skrzynki;
  • czy delegat wysłał wiadomość jako właściciel skrzynki;
  • czy administrator uzyskał dostęp do danych użytkownika;
  • czy po przejęciu konta atakujący czytał, wysyłał lub usuwał pocztę;
  • czy skrzynka współdzielona była używana zgodnie z procedurą;
  • jakie operacje wykonano w okresie objętym reklamacją, kontrolą lub postępowaniem.

W 2026 roku kontekst jest szerszy niż kilka lat wcześniej. Firmy pracują na Windows 11 24H2 i przygotowują się lub przechodzą na Windows 11 25H2, część organizacji korzysta z Office 2024 jako pakietu wieczystego, a wiele środowisk używa aplikacji Microsoft 365 stale aktualizowanych w modelu subskrypcyjnym. Do tego dochodzą scenariusze z M365 Copilot, który może pomagać użytkownikom w pracy z informacjami z poczty, kalendarza, Teams i dokumentów, ale jednocześnie zwiększa wagę poprawnych uprawnień, klasyfikacji danych i audytu.

Audyt skrzynki nie jest narzędziem do bieżącego podsłuchiwania użytkownika. To rejestr zdarzeń bezpieczeństwa i zgodności. Działa po stronie usługi Exchange Online, niezależnie od tego, czy użytkownik korzysta z Outlooka w Office 2024, Outlooka klasycznego z Microsoft 365 Apps, Outlooka w przeglądarce, aplikacji mobilnej czy klienta skonfigurowanego przez protokoły wspierane w organizacji.

W środowiskach hybrydowych trzeba też rozróżnić Exchange Online od lokalnego Exchange. Exchange Server Subscription Edition — Exchange SE — ma znaczenie tam, gdzie organizacja utrzymuje serwery lokalne, np. do hybrydy, przepływu poczty, zarządzania adresami lub skrzynkami pozostającymi on-premises. Mailbox audit logging opisywany w tym przewodniku dotyczy Exchange Online i Microsoft Purview Audit; lokalne skrzynki wymagają osobnej konfiguracji oraz osobnych procedur audytowych.

Jak działa audyt skrzynki: typy logowania, akcje i Unified Audit Log

Mechanizm klasyfikuje każde zdarzenie według tego, kto wykonał akcję. To bardzo ważne, bo ta sama operacja — na przykład usunięcie wiadomości — może mieć inne znaczenie, gdy wykona ją właściciel skrzynki, delegat albo administrator.

Typ logowaniaKto podlegaPrzykładowe akcje domyślneTypowy scenariusz bezpieczeństwa
OwnerWłaściciel skrzynkiUpdate, SoftDelete, HardDelete, MoveToDeletedItems, Send, CreateUżytkownik usuwa wiadomości, tworzy elementy, wysyła pocztę lub modyfikuje dane w swojej skrzynce
DelegateUżytkownik z uprawnieniem FullAccess, SendAs lub SendOnBehalfFolderBind, SendAs, SendOnBehalf, MoveToDeletedItems, UpdateAsystent, dział księgowości lub pracownik sekretariatu działa na cudzej lub współdzielonej skrzynce
AdminAdministrator używający eDiscovery, MAPI Editor lub impersonacjiFolderBind, HardDelete, SoftDelete, MoveToDeletedItemsAdministrator, zespół bezpieczeństwa lub narzędzie administracyjne wykonuje operacje na skrzynce użytkownika

Domyślny zestaw akcji jest zarządzany przez Microsoft. Jeżeli Microsoft dodaje nowe zdarzenie do katalogu, jest ono automatycznie włączane dla skrzynek, które nie mają ręcznie zmodyfikowanych ustawień audytu. To istotna zasada: im więcej ręcznych wyjątków, tym większe ryzyko, że organizacja nie skorzysta automatycznie z nowych domyślnych ustawień.

Zdarzenia z mailbox audit logging trafiają do Unified Audit Log. To wspólny dziennik dla wielu usług Microsoft 365, przeszukiwany w portalu Microsoft Purview lub przez PowerShell. W przypadku Exchange Online administrator najczęściej analizuje zdarzenia związane z operacjami na elementach skrzynki, wysyłką, dostępem delegowanym, usunięciami oraz działaniami administracyjnymi.

Przykładowe operacje, na które warto zwracać uwagę:

  • SendAs — ktoś wysłał wiadomość jako inna skrzynka;
  • SendOnBehalf — ktoś wysłał wiadomość w imieniu innej osoby;
  • HardDelete — element został trwale usunięty;
  • SoftDelete — element został usunięty w sposób możliwy do odzyskania w ramach mechanizmów Exchange;
  • MoveToDeletedItems — wiadomość przeniesiono do Elementów usuniętych;
  • FolderBind — dostęp do folderu, szczególnie ważny dla delegatów i administratorów;
  • MailboxLogin — logowanie do skrzynki, jeśli organizacja zdecyduje się dodać tę akcję;
  • Update — modyfikacja elementu;
  • Create — utworzenie elementu;
  • Send — wysłanie wiadomości przez właściciela.

W audycie nie chodzi wyłącznie o pojedynczy wpis. Największą wartość daje korelacja: logowanie użytkownika, podejrzany dostęp z nowego kraju, reguły skrzynki, wysyłka wiadomości, usunięcia, delegacje i działania administracyjne tworzą linię czasu incydentu. Właśnie dlatego okres retencji ma znaczenie praktyczne, a nie tylko licencyjne.

Licencje, retencja i różnice między Audit Standard a Audit Premium

Microsoft rozróżnia funkcje audytu w zależności od licencji. Dla wielu firm wystarczający będzie Audit Standard, ale organizacje o większych wymaganiach regulacyjnych, bezpieczeństwa lub dochodzeniowych powinny rozważyć Audit Premium.

CechaAudit StandardAudit Premium
LicencjaMicrosoft 365 E3, A3, G3, Business PremiumMicrosoft 365 E5, A5, G5, Compliance E5
Domyślny okres retencji180 dni1 rok dla Exchange, SharePoint i Entra ID; 180 dni dla pozostałych
Maksymalna retencja180 dni10 lat z dodatkową licencją add-on
Zaawansowane zdarzenia, np. MailItemsAccessed
Typowy odbiorcaMałe i średnie firmy, standardowa zgodność, podstawowa analiza incydentówOrganizacje regulowane, większe firmy, SOC, sektor publiczny, finanse, duże środowiska Microsoft 365
Praktyczna wartośćPozwala sprawdzić najważniejsze operacje w ostatnich 180 dniachUłatwia długie dochodzenia, audyty, śledzenie dostępu do elementów i spełnianie ostrzejszych wymagań retencyjnych

Standardowa retencja 180 dni jest wystarczająca dla wielu firm, ale bywa zbyt krótka w przypadku incydentów wykrytych po czasie. Typowy przykład: konto pracownika działu handlowego zostało przejęte w styczniu, ale pierwsze objawy nadużycia widać dopiero we wrześniu. Przy retencji 180 dni część śladów może być już niedostępna. W Audit Premium domyślnie dostępny jest 1 rok dla Exchange, SharePoint i Entra ID, a przy dodatkowej licencji add-on możliwa jest retencja do 10 lat.

W polskich realiach warto patrzeć na licencjonowanie razem z księgowością i zakupami. Firmy często porównują koszt Microsoft 365 w PLN, oczekują faktury VAT 23%, a w kolejnych latach muszą uwzględniać także procesy elektronicznego fakturowania, w tym KSeF. Sam mailbox audit logging nie zmienia procesu fakturowania, ale wybór planu Microsoft 365, modelu zakupu i dostawcy licencji wpływa na dokumenty księgowe, przewidywalność kosztów i łatwość rozliczenia.

Jeżeli organizacja kupuje lub odnawia licencje Microsoft, warto upewnić się, że wybrany plan faktycznie odpowiada wymaganiom audytowym. Subtelnie: przy porównywaniu dostępnych wariantów można sprawdzić kategorie licencji na kluczesoft.pl/klucze-microsoft-office i zestawić je z potrzebami bezpieczeństwa, księgowości oraz zgodności.

Nie należy mylić „mam Microsoft 365” z „mam każdy poziom audytu”. To, że audyt skrzynek jest domyślnie włączony, nie oznacza automatycznie, że organizacja ma 10-letnią retencję albo zaawansowane zdarzenia dostępne w Audit Premium. Decyzja licencyjna powinna wynikać z ryzyka, wielkości firmy i wymagań prawnych.

Konfiguracja mailbox audit logging krok po kroku

Do zarządzania audytem skrzynek najczęściej używa się Exchange Online PowerShell. Administrator powinien mieć odpowiednie uprawnienia w Microsoft 365 i korzystać z aktualnego modułu Exchange Online Management. Poniższe przykłady pokazują podstawowy, bezpieczny schemat weryfikacji i konfiguracji.

Krok 1: Połącz się z Exchange Online PowerShell

Connect-ExchangeOnline

Po połączeniu warto pracować na konkretnych zakresach — pojedynczych skrzynkach, grupach testowych albo wybranych typach skrzynek — zamiast wykonywać masowe zmiany bez wcześniejszej walidacji.

Krok 2: Sprawdź, czy audyt na poziomie organizacji jest włączony

Get-OrganizationConfig | Format-List AuditDisabled

Wartość False oznacza, że audyt jest włączony dla całej organizacji. Jeśli pole zwróci True, włącz audyt:

Set-OrganizationConfig -AuditDisabled $false

W większości współczesnych tenantów Microsoft 365 audyt będzie już aktywny. Ten krok nadal ma sens podczas przeglądu bezpieczeństwa, migracji, przejęcia administracji po innym dostawcy IT albo porządkowania starszych środowisk.

Krok 3: Sprawdź stan audytu dla konkretnej skrzynki

Get-Mailbox -Identity "jan.kowalski@firma.pl" | Format-List AuditEnabled, DefaultAuditSet

Gdy audyt organizacyjny jest włączony, AuditEnabled zawsze zwraca True — nawet jeśli na poziomie skrzynki było wyłączone. Wartość DefaultAuditSet pokazuje, które typy logowania mają domyślne akcje, np. Admin, Delegate, Owner.

To zachowanie jest ważne podczas audytu konfiguracji. Samo AuditEnabled: True nie wystarcza do stwierdzenia, że skrzynka ma niezmienione, aktualne ustawienia domyślne. Trzeba sprawdzić także DefaultAuditSet oraz listy akcji.

Krok 4: Wyświetl listę audytowanych akcji dla każdego typu

Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditAdmin
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditDelegate
Get-Mailbox -Identity "jan.kowalski@firma.pl" | Select-Object -ExpandProperty AuditOwner

Wyniki pozwalają porównać ustawienia z polityką organizacji. Dla skrzynek wysokiego ryzyka — zarząd, finanse, kadry, administracja Microsoft 365, konta serwisowe, skrzynki współdzielone do faktur i zamówień — warto dokumentować konfigurację oraz okresowo sprawdzać, czy nie wprowadzono wyjątków.

Krok 5: Zmodyfikuj audytowane akcje, jeśli potrzebujesz

Dodaj nową akcję, np. MailboxLogin, bez nadpisywania istniejących:

Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditOwner @{Add="MailboxLogin"}

Usuń konkretną akcję:

Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditDelegate @{Remove="MoveToDeletedItems"}

Zastąp całą listę akcji:

Set-Mailbox -Identity "jan.kowalski@firma.pl" -AuditAdmin HardDelete, SoftDelete, FolderBind

Przywróć domyślny zestaw akcji zarządzany przez Microsoft:

Set-Mailbox -Identity "jan.kowalski@firma.pl" -DefaultAuditSet Admin,Delegate,Owner

Najbezpieczniejsza praktyka to możliwie długo pozostawać przy domyślnych zestawach Microsoft, a odstępstwa stosować świadomie i dokumentować. Ręczne dostosowanie listy akcji może być uzasadnione, ale zwiększa odpowiedzialność administratora za utrzymanie kompletności audytu.

Krok 6: Przeszukaj dziennik audytu

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -Operations SendAs, HardDelete -UserIds "jan.kowalski@firma.pl" -ResultSize 1000

Możesz też użyć portalu Microsoft Purview: Purview → Audyt → Nowe wyszukiwanie.

PowerShell jest wygodny do powtarzalnych zapytań, eksportu i automatyzacji. Portal Purview sprawdza się przy pracy analitycznej, filtrowaniu, dochodzeniu prowadzonym przez osoby mniej techniczne albo przygotowywaniu materiałów dla działu bezpieczeństwa, prawnego lub compliance.

Obsługiwane typy skrzynek i ograniczenia

Nie każdy typ skrzynki w Exchange Online jest audytowany w ten sam sposób. To częsty powód błędnych założeń podczas wdrożeń: administrator widzi, że audyt działa dla użytkowników, ale nie sprawdza wyjątków dla zasobów, folderów publicznych albo grup.

Typ skrzynkiAudyt domyślnieMożliwość personalizacji akcjiKomentarz praktyczny
User Mailbox — skrzynka użytkownika✅ Tak✅ TakPodstawowy przypadek: pracownik, menedżer, konto imienne
Shared Mailbox — skrzynka współdzielona✅ Tak✅ TakKluczowe dla faktury@, biuro@, zamowienia@, hr@
Microsoft 365 Group Mailbox✅ Tak❌ Nie — stały zestawAudyt działa, ale lista akcji nie jest personalizowana
Resource Mailbox — skrzynka zasobów❌ Nie❌ NieSale, urządzenia, zasoby rezerwowane
Public Folder Mailbox❌ Nie❌ NieStarsze scenariusze współdzielenia danych wymagają osobnej oceny

Skrzynki Microsoft 365 Group mają sztywny zestaw audytowanych akcji: Create, HardDelete, MoveToDeletedItems, SendAs, SendOnBehalf, SoftDelete, Update — nie można go zmienić.

Dla bezpieczeństwa szczególnie ważne są skrzynki współdzielone. W polskich firmach bardzo często obsługują one faktury, zamówienia, reklamacje, dane klientów i korespondencję z kontrahentami. Skrzynka faktury@firma.pl może być powiązana z obiegiem dokumentów, JPK, płatnościami, numerami rachunków bankowych, danymi kontrahentów i procesami przygotowanymi pod KSeF. Jeżeli kilka osób ma FullAccess, SendAs albo SendOnBehalf, audyt delegatów staje się podstawowym źródłem odpowiedzi na pytanie: kto faktycznie wykonał daną operację.

Trzeba też pamiętać, że audyt skrzynki nie zastępuje kontroli uprawnień. Jeśli dziesięć osób ma dostęp do skrzynki współdzielonej bez jasnego uzasadnienia, logi pomogą w dochodzeniu, ale nie naprawią nadmiernych uprawnień. Dobre wdrożenie łączy audyt, zasadę najmniejszych uprawnień, regularny przegląd delegacji i procedurę odbierania dostępu po zmianie stanowiska lub odejściu pracownika.

Scenariusze użycia: jak dobrać konfigurację do realnej firmy

Firma handlowa z 40 pracownikami i skrzynką faktury@

Firma X używa Microsoft 365 Business Premium, ma skrzynki biuro@, zamowienia@ i faktury@. Księgowość potrzebuje faktury VAT 23%, pracuje w PLN, a procesy zakupowe są przygotowywane pod KSeF. Największe ryzyka to błędna wysyłka z konta współdzielonego, usunięcie wiadomości z fakturą i podejrzane reguły po przejęciu konta.

W takim scenariuszu rozsądny wybór to pozostawienie audytu domyślnego, regularne sprawdzanie delegacji do skrzynek współdzielonych i okresowe wyszukiwania operacji SendAs, SendOnBehalf, HardDelete oraz MoveToDeletedItems. Audit Standard z retencją 180 dni może być wystarczający, o ile firma ma szybkie procedury zgłaszania incydentów i nie wymaga dłuższych dochodzeń.

Spółka usługowa z działem prawnym i zarządem

Firma Y ma zarząd, dział prawny, kadry i skrzynki zawierające dane osobowe, umowy oraz korespondencję z klientami. Incydenty są rzadkie, ale gdy się pojawiają, dochodzenie może dotyczyć okresu sprzed wielu miesięcy. Organizacja korzysta z Windows 11 24H2/25H2, aplikacji Microsoft 365 oraz M365 Copilot dla wybranych użytkowników.

Tutaj warto rozważyć Audit Premium, zwłaszcza jeśli wymagane są dłuższe okresy retencji i bardziej szczegółowe zdarzenia, takie jak MailItemsAccessed. Dodatkowo należy ograniczyć dostęp delegowany do skrzynek zarządu i działu prawnego, dokumentować wszystkie wyjątki oraz analizować logi w powiązaniu z Entra ID, DLP i alertami bezpieczeństwa.

Organizacja z hybrydą Exchange i Exchange SE

Firma Z utrzymuje środowisko hybrydowe: część skrzynek jest w Exchange Online, a infrastruktura lokalna opiera się na Exchange Server Subscription Edition. Poczta jest migrowana etapami, a niektóre systemy biznesowe nadal wysyłają wiadomości przez lokalne komponenty.

W takim przypadku mailbox audit logging w Exchange Online zabezpiecza skrzynki chmurowe, ale nie rozwiązuje automatycznie audytu dla skrzynek lokalnych. Należy przygotować oddzielną procedurę dla Exchange SE, rozróżnić źródła logów, opisać odpowiedzialność administratorów i ustalić, gdzie prowadzone jest główne dochodzenie. Dla skrzynek po migracji do Exchange Online warto sprawdzić DefaultAuditSet oraz wykonać testowe wyszukiwanie w Unified Audit Log.

Biuro rachunkowe obsługujące wielu klientów

Biuro rachunkowe używa skrzynek współdzielonych dla klientów, przetwarza faktury, korekty, potwierdzenia płatności i dokumenty kadrowe. W takim środowisku audyt powinien być traktowany jako element procedury dowodowej. Kiedy klient pyta, czy wiadomość z fakturą została usunięta albo kto wysłał odpowiedź, administrator musi mieć szybki sposób sprawdzenia operacji.

Rekomendowane minimum to przegląd uprawnień FullAccess, SendAs i SendOnBehalf, dokumentowanie członkostwa w grupach, testy wyszukiwania Search-UnifiedAuditLog oraz uzgodnienie, czy 180 dni retencji wystarcza. Jeśli biuro obsługuje większych klientów lub branże regulowane, Audit Premium może być bardziej uzasadniony niż standardowy poziom audytu.

Najlepsze praktyki bezpieczeństwa i zgodności

Mailbox audit logging działa najlepiej, gdy jest częścią szerszej architektury bezpieczeństwa Microsoft 365. Samo włączenie audytu nie wystarczy, jeśli nikt nie przegląda logów, nie ma procedury incydentowej, a uprawnienia do skrzynek współdzielonych są nadawane bez kontroli.

Najważniejsze praktyki:

  1. Nie wyłączaj audytu organizacyjnego. Wartość AuditDisabled powinna pozostać False. Wyłączenie audytu pozbawia organizację jednego z podstawowych źródeł informacji po incydencie.

  2. Pozostawiaj domyślne zestawy Microsoft, jeśli nie masz silnego powodu do zmian. Domyślne zestawy są aktualizowane przez Microsoft. Ręczne modyfikacje powinny mieć właściciela, uzasadnienie i dokumentację.

  3. Monitoruj skrzynki wysokiego ryzyka. Zarząd, finanse, kadry, dział prawny, administratorzy, skrzynki współdzielone i konta używane do komunikacji z klientami wymagają szczególnej uwagi.

  4. Regularnie przeglądaj delegacje. Uprawnienia FullAccess, SendAs i SendOnBehalf powinny być nadawane zgodnie z zasadą najmniejszych uprawnień. Dostęp tymczasowy powinien mieć datę przeglądu lub automatyczne wycofanie.

  5. Koreluj logi z innymi źródłami. Audyt skrzynki należy łączyć z logami Entra ID, alertami Defender, regułami transportowymi, DLP, eDiscovery i informacjami o logowaniach.

  6. Ustal minimalny okres retencji na podstawie ryzyka. 180 dni może być wystarczające dla małej firmy, ale nie dla organizacji, która wykrywa nadużycia po wielu miesiącach albo musi przechowywać ślady do postępowań prawnych.

  7. Testuj wyszukiwanie przed incydentem. Administrator powinien wcześniej wiedzieć, jak znaleźć SendAs, HardDelete, SoftDelete, FolderBind i inne kluczowe operacje. Pierwszy test nie powinien odbywać się w dniu naruszenia bezpieczeństwa.

  8. Nie traktuj M365 Copilot jako wyjątku od zasad dostępu. Copilot działa w ramach uprawnień użytkownika, więc jakość modelu bezpieczeństwa zależy od poprawnego nadawania dostępu do poczty, plików, grup i zespołów. Audyt pomaga analizować działania w ekosystemie, ale nie zastępuje porządku w uprawnieniach.

  9. Dokumentuj procedurę eksportu i przekazania logów. Jeśli logi mają trafić do działu prawnego, zarządu, audytora lub organów ścigania, organizacja powinna mieć opisany sposób eksportu, zakres danych, osobę odpowiedzialną i zasady przechowywania.

  10. Uważaj na nadinterpretację zdarzeń. Pojedynczy wpis FolderBind albo Update nie zawsze oznacza nadużycie. Liczy się kontekst: czas, użytkownik, źródło logowania, typ uprawnienia, sekwencja działań i zgodność z obowiązkami służbowymi.

W praktyce dobry proces może wyglądać tak: co miesiąc zespół IT eksportuje listę uprawnień do skrzynek współdzielonych, co kwartał weryfikuje skrzynki wysokiego ryzyka, a po każdym zgłoszeniu podejrzanej aktywności wykonuje zestaw zapytań w Unified Audit Log. Przy większej organizacji te działania warto połączyć z SIEM lub procesem SOC.

Przykładowe zapytania i procedura analizy incydentu

Podstawowe wyszukiwanie dla operacji SendAs i HardDelete w ostatnich 7 dniach:

Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -Operations SendAs, HardDelete -UserIds "jan.kowalski@firma.pl" -ResultSize 1000

W przypadku skrzynki współdzielonej można szukać operacji wykonywanych przez delegatów. Jeżeli firma analizuje skrzynkę faktury@firma.pl, sensowne będą operacje SendAs, SendOnBehalf, MoveToDeletedItems, SoftDelete i HardDelete.

Procedura analizy incydentu może wyglądać następująco:

  1. Zdefiniuj zakres. Ustal skrzynkę, użytkowników, daty, typ operacji i podejrzane objawy. Przykład: „zniknęła wiadomość z fakturą od kontrahenta między 3 a 6 marca”.

  2. Sprawdź uprawnienia. Zweryfikuj, kto miał dostęp do skrzynki, kto mógł wysyłać jako skrzynka i kto mógł działać w imieniu właściciela.

  3. Przeszukaj Unified Audit Log. Użyj portalu Purview lub Search-UnifiedAuditLog, ograniczając zakres dat i operacji.

  4. Zbuduj linię czasu. Połącz usunięcia, wysyłkę, dostęp delegowany, logowania i zmiany konfiguracji.

  5. Porównaj z innymi logami. Sprawdź Entra ID, alerty bezpieczeństwa, reguły skrzynki, aktywność urządzeń i ewentualne incydenty Defender.

  6. Zabezpiecz dowody. Eksportuj wyniki, zapisz parametry wyszukiwania i ogranicz liczbę osób modyfikujących skrzynkę w trakcie dochodzenia.

  7. Usuń przyczynę. Zmień hasła, wycofaj sesje, odbierz nadmiarowe uprawnienia, usuń złośliwe reguły, wzmocnij MFA i przeprowadź przegląd dostępu.

  8. Zaktualizuj procedury. Jeśli incydent wynikał z nadmiarowych delegacji lub zbyt krótkiej retencji, popraw politykę, a nie tylko konkretną skrzynkę.

W małej firmie całość może wykonać administrator Microsoft 365. W większej organizacji powinni uczestniczyć: IT, bezpieczeństwo, właściciel procesu biznesowego, dział prawny lub compliance, a czasem także zewnętrzny dostawca usług bezpieczeństwa.

Częste pytania

Czy mailbox audit logging trzeba ręcznie włączać dla każdej skrzynki?

Nie, w Exchange Online mailbox audit logging jest domyślnie włączony dla całej organizacji. Każda nowo utworzona skrzynka użytkownika, skrzynka współdzielona i skrzynka Microsoft 365 Group podlega audytowi zgodnie z obsługiwanym zakresem.

Co oznacza AuditDisabled: False?

Wartość False oznacza, że audyt na poziomie organizacji jest włączony. Jeżeli Get-OrganizationConfig | Format-List AuditDisabled zwróci True, audyt organizacyjny jest wyłączony i należy go włączyć poleceniem Set-OrganizationConfig -AuditDisabled $false.

Dlaczego AuditEnabled pokazuje True, skoro kiedyś audyt skrzynki był wyłączony?

Gdy audyt organizacyjny jest włączony, AuditEnabled dla skrzynki zwraca True nawet wtedy, gdy wcześniej próbowano wyłączyć audyt na poziomie skrzynki. Dlatego oprócz AuditEnabled warto sprawdzać DefaultAuditSet oraz konkretne listy AuditAdmin, AuditDelegate i AuditOwner.

Czy skrzynki współdzielone są audytowane?

Tak, skrzynki współdzielone — Shared Mailbox — są audytowane domyślnie i można personalizować ich akcje audytu. To szczególnie ważne dla adresów typu faktury@, biuro@, hr@ i zamowienia@, gdzie wiele osób może działać na jednej skrzynce.

Czy Microsoft 365 Group Mailbox ma konfigurowalny audyt?

Nie. Skrzynki Microsoft 365 Group są audytowane domyślnie, ale mają stały zestaw akcji: Create, HardDelete, MoveToDeletedItems, SendAs, SendOnBehalf, SoftDelete, Update. Nie można go zmienić.

Jak długo przechowywane są logi audytu?

W Audit Standard standardowa retencja wynosi 180 dni. W Audit Premium domyślna retencja to 1 rok dla Exchange, SharePoint i Entra ID oraz 180 dni dla pozostałych, a maksymalnie można uzyskać 10 lat z dodatkową licencją add-on.

Czy Audit Standard wystarczy małej firmie?

Często tak, szczególnie jeśli firma szybko reaguje na incydenty i nie ma wymagań dotyczących długiego przechowywania śladów. Jeśli jednak dochodzenia mogą dotyczyć okresu dłuższego niż 180 dni albo organizacja potrzebuje zaawansowanych zdarzeń, warto rozważyć Audit Premium.

Czy mailbox audit logging pokaże, kto przeczytał konkretną wiadomość?

Standardowe logi nie zawsze odpowiadają na to pytanie z taką szczegółowością, jakiej oczekuje użytkownik biznesowy. Zaawansowane zdarzenia, takie jak MailItemsAccessed, są związane z Audit Premium i mogą mieć znaczenie przy dokładniejszym badaniu dostępu do elementów.

Czy M365 Copilot zmienia zasady audytu skrzynek?

Copilot nie powinien być traktowany jako obejście zabezpieczeń — działa w ramach uprawnień użytkownika. W środowiskach z Copilotem jeszcze ważniejsze staje się poprawne nadawanie dostępu, klasyfikacja danych, DLP, retencja i audyt aktywności w Microsoft 365.

Czy Exchange SE korzysta z tego samego audytu co Exchange Online?

Nie wprost. Exchange Server Subscription Edition dotyczy środowisk lokalnych lub hybrydowych, natomiast opisany mechanizm mailbox audit logging w tym przewodniku odnosi się do Exchange Online i Microsoft Purview Audit. Skrzynki lokalne wymagają osobnej konfiguracji i osobnych procedur audytowych.

<!-- IL-V1 -->

Powiązane artykuły

Powiązane produkty

Najczęściej zadawane pytania

Nie, w Exchange Online mailbox audit logging jest domyślnie włączony dla całej organizacji. Każda nowo utworzona skrzynka użytkownika, skrzynka współdzielona i skrzynka Microsoft 365 Group podlega audytowi zgodnie z obsługiwanym zakresem.
Wartość `False` oznacza, że audyt na poziomie organizacji jest włączony. Jeżeli `Get-OrganizationConfig | Format-List AuditDisabled` zwróci `True`, audyt organizacyjny jest wyłączony i należy go włączyć poleceniem `Set-OrganizationConfig -AuditDisabled $false`.
Gdy audyt organizacyjny jest włączony, `AuditEnabled` dla skrzynki zwraca `True` nawet wtedy, gdy wcześniej próbowano wyłączyć audyt na poziomie skrzynki. Dlatego oprócz `AuditEnabled` warto sprawdzać `DefaultAuditSet` oraz konkretne listy `AuditAdmin`, `AuditDelegate` i `AuditOwner`.
Tak, skrzynki współdzielone — Shared Mailbox — są audytowane domyślnie i można personalizować ich akcje audytu. To szczególnie ważne dla adresów typu `faktury@`, `biuro@`, `hr@` i `zamowienia@`, gdzie wiele osób może działać na jednej skrzynce.
Nie. Skrzynki Microsoft 365 Group są audytowane domyślnie, ale mają stały zestaw akcji: `Create`, `HardDelete`, `MoveToDeletedItems`, `SendAs`, `SendOnBehalf`, `SoftDelete`, `Update`. Nie można go zmienić.
W Audit Standard standardowa retencja wynosi **180 dni**. W Audit Premium domyślna retencja to **1 rok** dla Exchange, SharePoint i Entra ID oraz 180 dni dla pozostałych, a maksymalnie można uzyskać **10 lat** z dodatkową licencją add-on.
Często tak, szczególnie jeśli firma szybko reaguje na incydenty i nie ma wymagań dotyczących długiego przechowywania śladów. Jeśli jednak dochodzenia mogą dotyczyć okresu dłuższego niż 180 dni albo organizacja potrzebuje zaawansowanych zdarzeń, warto rozważyć Audit Premium.
Standardowe logi nie zawsze odpowiadają na to pytanie z taką szczegółowością, jakiej oczekuje użytkownik biznesowy. Zaawansowane zdarzenia, takie jak `MailItemsAccessed`, są związane z Audit Premium i mogą mieć znaczenie przy dokładniejszym badaniu dostępu do elementów.
Copilot nie powinien być traktowany jako obejście zabezpieczeń — działa w ramach uprawnień użytkownika. W środowiskach z Copilotem jeszcze ważniejsze staje się poprawne nadawanie dostępu, klasyfikacja danych, DLP, retencja i audyt aktywności w Microsoft 365.
Nie wprost. Exchange Server Subscription Edition dotyczy środowisk lokalnych lub hybrydowych, natomiast opisany mechanizm mailbox audit logging w tym przewodniku odnosi się do Exchange Online i Microsoft Purview Audit. Skrzynki lokalne wymagają osobnej konfiguracji i osobnych procedur audytowych.

Czy ten artykuł był pomocny?