Cómo detectar quién estaba accediendo al buzón compartido en Office 365

Auditoría Nativa

• Abra PowerShell → Ejecute el siguiente comando para conectarse con la instancia de Exchange Online e ingrese sus credenciales en la ventana emergente:

      $UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
      

• Para habilitar la auditoría de buzones de correo, ejecute:
  • Para un único buzón de correo:

      Set-Mailbox –Identity "TestUser" -AuditEnabled $true
      

• Para todos los buzones:

      $UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
      

• Para verificar qué buzones tienen la auditoría habilitada, ejecute:

      Get-Mailbox | FL Name,AuditEnabled
      

• Abra el Centro de Administración de Exchange → Navegue hasta "Gestión de Cumplimiento" Auditing.
• Haga clic en "Ejecutar un informe de acceso a buzones por no propietarios". Recibirá el informe sobre el acceso por no propietarios a todos los buzones con auditoría habilitada durante las últimas dos semanas.
• Para ver el acceso de no propietarios a un buzón específico, haga clic en un buzón para ver todos los eventos de acceso de no propietarios con los detalles.

Netwrix Auditor para Exchange

1. Ejecute Netwrix Auditor → Haga clic en "Informes" → Seleccione Exchange Online → Elija "Todos los eventos de acceso a buzones de correo no propietarios de Exchange" → Haga clic en "Ver".
2. Para guardar un informe, haga clic en el botón "Exportar" → PDF → Guardar como → Elija una ubicación para guardarlo.