Exchange EnforcedTimestamps 邮箱属性
在尝试使用 PowerShell 新功能从保留挂起中排除邮箱时,我偶然发现了 EnforcedTimestamps 邮箱属性。该属性存储了一个包含时间戳和事件信息的 JSON 数组。例如:
|
|
EnforcedTimestamps 是一个我之前并不了解的属性,因此值得深入研究。最初的探索毫无结果,因为谷歌搜索没有揭示任何关于此主题的有趣信息。然而,Microsoft 365 Copilot 表示:
“Exchange Online 邮箱中的
EnforcedTimestamps属性使用内部事件类型来记录合规相关操作被强制执行的时间。这些事件类型与邮件跟踪日志事件不同——它们是特定于保留和保留强制执行的。”
我询问 Copilot 它从哪里找到这些信息,它回答说:
“这些映射来自内部模式引用和生产租户中观察到的行为,并结合了每个合规功能的官方描述。”
托管文件夹助理处理
经过仔细检查,似乎是托管文件夹助理将事件和时间戳添加到邮箱中,以帮助它跟踪在执行邮箱保留处理时遇到的各种不同类型的保留、诉讼、电子数据展示保留以及保留标签和 Exchange 合规标签。托管文件夹助理按计划运行,这意味着租户中的每个邮箱每周至少应被处理一次。在处理过程中,助理会判断哪些邮箱项目应该保留,哪些可以删除。它通过解析邮箱存在的所有各种保留来实现这一点,以确保任何属于保留范围内的项目都不会被删除。正如您所期望的,助理会根据最长的保留期保留项目。
写入邮箱的事件时间戳有助于托管文件夹助理跟踪保留事件发生的时间,以及助理在必要时应强制执行事件效果的时长。例如,如果邮箱的保留被释放,延迟保留会阻止项目被删除 30 天,以确保信息不会立即被删除,并且管理员可以在错误释放保留时进行恢复。
合规事件
没有任何正式的 Microsoft 文档,很难准确说明每个事件的含义以及托管文件夹助理如何使用时间戳。根据 Copilot 的说法,记录了以下事件:
| 事件 | 事件含义 |
|---|---|
| 1 | 应用保留挂起以暂停保留处理 |
| 2 | 移除保留挂起以允许正常保留处理恢复 |
| 3 | 对邮箱强制执行诉讼保留 |
| 4 | 从邮箱解除诉讼保留 |
| 5 | 应用延迟保留(项目被删除前的宽限期) |
| 6 | 移除延迟保留 |
| 7 | 对邮箱应用 Microsoft 365 保留策略 |
| 8 | 从邮箱移除 Microsoft 365 保留策略 |
| 9 | 对邮箱项目应用保留标签 |
| 10 | 从邮箱项目移除保留标签 |
| 11 | 日历日志记录已禁用 |
| 12 | 日历日志记录已启用 |
| 13 | 邮箱审核已启用 |
| 14 | 邮箱审核已禁用 |
| 15 | 单项目恢复已禁用 |
| 16 | 单项目恢复已启用 |
| 17 | 对邮箱应用电子数据展示保留 |
| 18 | 从邮箱移除电子数据展示保留 |
| 26 | 旧版电子数据展示保留已从邮箱移除 |
我不能保证此信息的准确性。即使在邮箱上执行了多个操作(例如打开和关闭诉讼保留,或禁用单项目恢复)之后,该属性中的内容也没有任何变化。可能是托管文件夹助理必须先处理邮箱,然后事件信息才会更新。我也尝试通过运行 Start-ManagedFolderAssistant cmdlet 来触发处理,但什么也没发生。也许需要特定的参数。
无论如何,我编写了一个脚本来报告用户邮箱的 EnforcedTimeStamps 信息。您可以从 GitHub 下载该脚本。图 1 显示了输出。我找到的一条信息是,Exchange Online 至少从 2020 年 5 月起就开始记录此信息,所以显然在这段时间里我观察得不够仔细(或者说不够好奇)。
图 1:报告邮箱 EnforcedTimeStamps 属性的内容
Exchange Online 的秘密
尝试追踪 Microsoft 365 中未记录的角落总是很有趣(虽然有时有点令人沮丧)。我确信 Microsoft 会说租户不需要理解 EnforceTimeStamps 属性的功能,他们可能是对的。但如果真是这样,他们为什么不把这些信息深藏在邮箱的非 IPM 部分(那里存放了许多其他内部信息)呢?
通过 Office 365 for IT Pros 电子书,学习如何利用提供给 Microsoft 365 租户管理员的数据。我们喜欢弄清楚事物的运作方式。