Como Detectar Quem Acessou uma Caixa de Correio Compartilhada no Office 365

Auditoria Nativa

• Abra o PowerShell → Execute o seguinte comando para se conectar com a instância do Exchange Online e insira suas credenciais na janela pop-up:

      $UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
      

• Para habilitar a auditoria de caixa de correio, execute:
  • Para uma única caixa de correio:

      Set-Mailbox –Identity "TestUser" -AuditEnabled $true
      

• Para todas as caixas de correio:

      $UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')} $UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
      

• Para verificar quais caixas de correio têm auditoria ativada, execute:

      Get-Mailbox | FL Name,AuditEnabled
      

• Abra o Centro de Administração do Exchange → Navegue até "Gerenciamento de Conformidade" Auditing.
• Clique em "Executar um relatório de acesso a caixa de correio por não proprietários". Você receberá o relatório sobre o acesso por não proprietários a todas as caixas de correio com auditoria ativada nas últimas duas semanas.
• Para visualizar o acesso por não proprietários a uma caixa de correio específica, clique em uma caixa de correio para ver todos os eventos de acesso por não proprietários com os detalhes.

Netwrix Auditor para Exchange

1. Execute o Netwrix Auditor → Clique em "Relatórios" → Escolha Exchange Online → Escolha "Todos os Eventos de Acesso Não Proprietário às Caixas de Correio do Exchange" → Clique em "Visualizar".
2. Para salvar um relatório, clique no botão "Exportar" → PDF → Salvar como → Escolha um local para salvá-lo.