Exchange Online - Melhorias em Mailbox Auditing

  • Article

Pingback de https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Exchange-Mailbox-Auditing-will-be-enabled-by-default/ba-p/215171

Nossas preces foram ouvidas! Após diversos feedbacks e sugestões, a Microsoft irá trazer a funcionalidade de Mailbox Audit Habilitada por default nas mailboxes!

Isto significa que administradores terão mais informações em um cenário comum em suporte - emails sumiram ou foram movidos sem ter que habilitar a funcionalidade manualmente.

Além de habilitar mailbox audit para as mailboxes que ainda não possuem a funcionalidade habilitada, iremos expandir os tags de audit que estão configurados para as mailboxes que já possuem audit.

Quando a Microsoft irá habilitar esta funcionalidade?

Nos meses seguintes, iremos efetuar em etapas para todos os tenants do mundo. Nenhuma ação será necessária por parte do administrador, porém eu recomendo não fechar esta janela do browser ainda já que irei discutir um pouco o impacto da alteração =)

Impacto

Como podem entender, a Microsoft demorou um tempo para efetuar esta alteração de comportamento do produto. A resposta é simples - storage. Adicionar logging em todas as mailboxes do mundo requer espaço.

O impacto para o administrador é inexistente.

a) Logging de mailbox audit, mesmo com o Owner habilitado, não ultrapassa GBs de Storage. Lembrando que ele irá utilizar o RecoverableItemQuota de cada Mailbox , um pequeno Storage de 100GB (as entradas de Mailbox Audit são armazenadas na pasta "Audits" localizada em Recoverable Items).

b) Você pode monitorar o espaço de RecoverableItemQuota, caso o AuditLogAgeLimit seja aumentado para um valor maior de 90 dias e entender se existe algum API ou Delegate utilizando recursos da mailbox de tempos em tempos. Caso exista um crescimento elevado em storage pela parte de RecoverableItemQuota, recomendamos o Cmdlet Set-MailboxAuditBypassAssociation.

Caso queira, o comando "Set-OrganizationConfig -AuditDisabled $True" pode ser executado, para que nenhum objeto do tenant tenha auditoria habilitado - obviamente, não recomendamos tal ação.

Discussões anteriores sobre o tema:

https://blogs.technet.microsoft.com/latam/2016/07/01/o365-mbxaudit-hybrid/

https://blogs.technet.microsoft.com/latam/2015/11/11/exchange-online-o-que-esperar-nas-mudanas-em-auditing/

https://blogs.technet.microsoft.com/latam/2016/12/08/o365-sec-talk/

https://blogs.technet.microsoft.com/latam/2012/12/28/o365-shared-mailbox-auditing-melhores-praticas/