O365 – Como funciona o Mailbox Audit em um cenário Cross-Premises

By: Caio Ribeiro César

Já discutimos as funcionalidades de Mailbox Audit no O365. Desta vez, iremos focar em algo mais específico: ambientes híbridos & acesso cross-premises.

A novidade é o suporte em “cross-premises mailbox permission” – ou seja, usuários on-premises acessando oncloud e vice-versa em ambientes híbridos. O suporteé concedido para acessos Full Mailbox via Outlook.

Ao procurar pelos logs de mailbox audit via ambiente on-premises ou online, seguimos os passos descritos no artigo TechNet “Mailbox Audit Logging in Exchange 2016".

Os cenários discutidos neste artigo serão:

1)     Acesso em uma mailbox on-cloud via usuário on-premises

2)     Acesso em uma mailbox on-premises via usuário on-cloud

Iremos efetuar o acesso, remover um email e posteriormente coletar e ler os logs.

Cenário 1 – usuário on-premises “onprem1” acessando mailbox on-cloud “hybrid1” (Outlook + FullMBx Permission)

a) Validando permissões “FullAccess” (Exchange Online):

1

b) Habilitando Mailbox Audit (Exchange Online):

2

c) Efetuando o acesso onprem1>hybrid1 e removemos um email

3

4

d) Coletamos o log de Mailbox Audit para a conta “Hybrid1” (Exchange Online):

5

RunspaceId : d0886b75-d964-4bdd-993a-f40902c20856
Operation : SoftDelete
OperationResult : Succeeded
LogonType : Delegate
ExternalAccess : False
DestFolderId :
DestFolderPathName :
FolderId : LgAAAACsuxmdF5MpSbKJK3JoFBgdAQDJFa5QkQeVS6fTHvqQ2KO7AAAAAAEMAAAB
FolderPathName : \Caixa de Entrada
ClientInfoString : Client=MSExchangeRPC
ClientMachineName :
ClientProcessName : OUTLOOK.EXE
ClientVersion : 15.0.4815.1000
InternalLogonType : Owner
MailboxOwnerUPN : hybrid1@o365lab.com
MailboxOwnerSid : S-1-5-21-2103643036-1067027473-1901050440-12484931
DestMailboxOwnerUPN :
DestMailboxOwnerSid :
DestMailboxGuid :
CrossMailboxOperation : False
LogonUserDisplayName : OnPrem User 1
LogonUserSid : S-1-5-21-2103643036-1067027473-1901050440-12486308
SourceItems : {RgAAAACsuxmdF5MpSbKJK3JoFBgdBwDJFa5QkQeVS6fTHvqQ2KO7AAAAAAEMAABdK189WNanSoUgfqILghUDAABkOn/gAAAA}
SourceFolders : {}
SourceItemIdsList : RgAAAACsuxmdF5MpSbKJK3JoFBgdBwDJFa5QkQeVS6fTHvqQ2KO7AAAAAAEMAABdK189WNanSoUgfqILghUDAABkOn/gAAAA
SourceItemSubjectsList : Email V
SourceItemAttachmentsList :
SourceItemFolderPathNamesList : Caixa de Entrada
SourceFolderPathNamesList :
ItemId :
ItemSubject :
ItemAttachments :
DirtyProperties :
OriginatingServer : DBXPR05MB494 (15.01.0466.022)
MailboxGuid : 812d0182-f4c5-47ac-8fc8-f7bb2f0e407c
MailboxResolvedOwnerName : Hybrid User 1
LastAccessed : 4/19/2016 6:05:08 PM
Identity : AAMkADMxOTgxNDVlLTA5ZGQtNDA5YS05NWQxLTQ1YzZiYzcyZDBjYQBGAAAAAACsuxmdF5MpSbKJK3JoFBgdBwBdK189WNanSoUgfqILghUDAABs5Bh5AABdK189WNanSoUgfqILghUDAABs5BxhAAA=
IsValid : True
ObjectState : New

e) Conclusão:

Podemos validar no log as ações em negrito.

A operação de SoftDelete foi efetuada com sucesso na pasta de origem “Caixa de Entrada” para o email com subject “Email V”. O programa utilizado para o acesso foi o Outlook 2013, a mailbox de origem é a do usuário "hybrid1@o365lab.com" , a mailbox que efetua a ação é "onprem1@o365lab.com".

Cenário 2 – usuário on-cloud “hybrid1” acessando mailbox on-premises “onpem1” (Outlook + FullMBx Permission)

a) Validando permissões “FullAccess” (Exchange On-Premises):

6

b) Habilitando Mailbox Audit (Exchange On-Premises):

7

c) Efetuando o acesso hybrid1>onprem1 e removemos um email

8

9

d) Coletamos o log de Mailbox Audit para a conta “Onprem1” (Exchange On-Premises):

10

RunspaceId : 256fc3c4-0eb8-43c9-9176-8b581125aa0d
Operation : SoftDelete
OperationResult : Succeeded
LogonType : Delegate
ExternalAccess : False
DestFolderId :
DestFolderPathName :
FolderId : LgAAAADISX+WmpC4T7PckAt9aeV2AQAWkvaZhWZwRbYTrKuYg46LAAAAAAEMAAAB
FolderPathName : \Caixa de Entrada
ClientInfoString : Client=MSExchangeRPC
ClientMachineName :
ClientProcessName : OUTLOOK.EXE
ClientVersion : 16.0.6868.6512
InternalLogonType : Owner
MailboxOwnerUPN : OnPrem1@o365lab.com
MailboxOwnerSid : S-1-5-21-4092936703-4063989580-4119582238-1178
DestMailboxOwnerUPN :
DestMailboxOwnerSid :
DestMailboxGuid :
CrossMailboxOperation : False
LogonUserDisplayName : Hybrid User 1
LogonUserSid : S-1-5-21-4092936703-4063989580-4119582238-1137
SourceItems : {RgAAAADISX+WmpC4T7PckAt9aeV2BwAWkvaZhWZwRbYTrKuYg46LAAAAAAEMAAAWkvaZhWZwRbYTrKuYg46LAA
A2wBKOAAAA}
SourceFolders : {}
SourceItemIdsList : RgAAAADISX+WmpC4T7PckAt9aeV2BwAWkvaZhWZwRbYTrKuYg46LAAAAAAEMAAAWkvaZhWZwRbYTrKuYg46LAAA
2wBKOAAAA
SourceItemSubjectsList : Email1
SourceItemAttachmentsList :
SourceItemFolderPathNamesList : Caixa de Entrada
SourceFolderPathNamesList :
ItemId :
ItemSubject :
ItemAttachments :
DirtyProperties :
OriginatingServer : O365LAB-EXCH (15.01.0225.037)
MailboxGuid : da2d2dca-0868-463c-8ffc-cef6df4829f5
MailboxResolvedOwnerName : OnPrem User 1
LastAccessed : 4/19/2016 8:44:15 PM
Identity : AAMkADEyY2FjZjQ0LTNiZjYtNDE4OC1hZWU4LWM0NDFlYjZjNjAwYwBGAAAAAADISX+WmpC4T7PckAt9aeV2BwA
WkvaZhWZwRbYTrKuYg46LAAA2vv8KAAAWkvaZhWZwRbYTrKuYg46LAAA2wBpeAAA=
IsValid : True
ObjectState : New

e) Conclusão:

Podemos validar no log as ações em negrito.

A operação de SoftDelete foi efetuada com sucesso na pasta de origem “Caixa de Entrada” para o email com subject “Email1”. O programa utilizado para o acesso foi o Outlook 2016, a mailbox de origem é a do usuário "onprem1@o365lab.com" , a mailbox que efetua a ação é "hybrid1@o365lab.com".


If you want this article “How Mailbox Audit works in a cross-premises scenario” to be translated to EN or ES, please comment below.