Erste Schritte mit Überwachungslösungen

mit Microsoft Purview Audit (Standard) und Audit (Premium) können Sie nach Überwachungsdatensätzen für Aktivitäten suchen, die von Benutzern und Administratoren in den verschiedenen Microsoft 365-Diensten ausgeführt werden. Da Die Überwachung (Standard) für die meisten Microsoft 365-Organisationen standardmäßig aktiviert ist, müssen Sie nur einige Dinge tun, bevor Sie das Überwachungsprotokoll durchsuchen können, und andere in Ihrer organization können das Überwachungsprotokoll durchsuchen. Es gibt einige weitere Konfigurationsschritte, die Sie ausführen müssen, um Features zu verwenden, die nur in Audit (Premium) verfügbar sind.

Weitere Informationen zu Überwachungsfunktionen (Standard) und Audit (Premium) finden Sie unter Microsoft Purview-Überwachungslösungen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Schritt 1: Organisationsabonnement und Benutzerlizenzierung überprüfen

Für die Lizenzierung für Audit (Standard) und Audit (Premium) ist das entsprechende organization-Abonnement erforderlich, das Zugriff auf das Überwachungsprotokollsuchtool und die Benutzerlizenzierung bietet, die zum Protokollieren und Aufbewahren von Überwachungsdatensätzen erforderlich ist.

Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. In Audit (Standard) und Audit (Premium) werden Überwachungsdatensätze aufbewahrt und können 180 Tage lang im Überwachungsprotokoll durchsucht werden.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Eine Liste der Abonnement- und Lizenzierungsanforderungen für diese Überwachungslösungen finden Sie in den Abonnementanforderungen für Audit (Standard) und Audit (Premium).

Schritt 2: Zuweisen von Berechtigungen zum Durchsuchen des Überwachungsprotokolls

Administratoren und Mitgliedern von Untersuchungsteams muss die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle im Complianceportal zugewiesen werden, um das Überwachungsprotokoll durchsuchen oder exportieren zu können. Standardmäßig werden diese Rollen den Rollengruppen Überwachungsleser und Überwachungs-Manager auf der Seite Berechtigungen im Complianceportal zugewiesen.

Hinweis

Der Zugriff zum Aktivieren oder Deaktivieren der Überwachung und des Zugriffs auf Überwachungs-Cmdlets erfordert derzeit Berechtigungen aus dem Exchange Admin Center. Verwenden Sie die vorhandenen Rollen Überwachungsprotokolle und Nur anzeigende Überwachungsprotokolle im Exchange Admin Center, um Zugriff zum Aktivieren oder Deaktivieren der Überwachung und des Zugriffs auf Überwachungs-Cmdlets zu gewähren.

Sie können auch benutzerdefinierte Rollengruppen mit der Möglichkeit erstellen, das Überwachungsprotokoll zu durchsuchen, indem Sie die Rollen Nur anzeigen oder Überwachungsprotokolle zu einer benutzerdefinierten Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Zuweisen von Berechtigungen aus dem Complianceportal zum Bereich von Überwachungsprotokollen

Zum Durchsuchen oder Exportieren des Überwachungsprotokolls müssen Administratoren oder Mitglieder von Untersuchungsteams mindestens einer der folgenden überwachungsbezogenen Rollengruppen im Complianceportal zugewiesen sein:

  • Überwachungs-Manager: Ein Benutzer, der der Rollengruppe Audit Manager zugewiesen ist, kann das Überwachungsprotokoll durchsuchen und exportieren und Überwachungseinstellungen für den Mandanten verwalten (z. B. aktivieren oder deaktivieren der Überwachungsprotokollierung). Diese Rollengruppe gewährt dem Benutzer die Rollen Nur Anzeigen von Überwachungsprotokollen und Überwachungsprotokollen .
  • Überwachungsleser: Ein Benutzer, der der Rollengruppe "Überwachungsleseberechtigter " zugewiesen ist, kann nur das Überwachungsprotokoll durchsuchen und exportieren. Sie können die Überwachungsprotokollierung nicht aktivieren oder deaktivieren. Diese Rollengruppe gewährt dem Benutzer die Rolle Nur anzeigende Überwachungsprotokolle .

Schritt 3: Einrichten der Überwachung (Premium) für Benutzer

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Überwachungsfeatures (Premium), z. B. die Möglichkeit, intelligente Erkenntnisse wie MailItemsAccessed und Senden zu protokollieren, erfordern eine entsprechende E5-Lizenz, die Benutzern zugewiesen ist. Darüber hinaus muss die Erweiterte Überwachungs-App/ der Serviceplan für diese Benutzer aktiviert sein.

Führen Sie die folgenden Schritte für jeden Benutzer aus, um zu überprüfen, ob die App "Erweiterte Überwachung" Benutzern zugewiesen ist:

  1. Wechseln Sie im Microsoft 365 Admin Center zu Benutzer>Aktive Benutzer, und wählen Sie einen Benutzer aus.

  2. Wählen Sie auf der Flyoutseite für Benutzereigenschaften die Option Lizenzen und Apps aus.

  3. Überprüfen Sie im Abschnitt Lizenzen , ob dem Benutzer eine E5-Lizenz oder eine entsprechende Add-On-Lizenz zugewiesen ist. Eine Liste der Lizenzen, die Audit (Premium) unterstützen, finden Sie unter Überwachungslizenzanforderungen.

  4. Erweitern Sie den Abschnitt Apps und bestätigen Sie das Kontrollkästchen Microsoft 365 – Erweiterte Überwachung aktiviert ist.

  5. Wenn das Kontrollkästchen nicht aktiviert ist, aktivieren Sie es, und wählen Sie dann Änderungen speichern aus.

    Die Protokollierung von Überwachungsdatensätzen für MailItemsAccessed und Send beginnt innerhalb von 24 Stunden. Sie müssen Schritt 2 ausführen, um die Protokollierung von zwei anderen Überwachungsereignissen (Premium) zu starten: SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint.

Wenn Sie die Postfachaktionen angepasst haben, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle neuen Audit (Premium)-Ereignisse, die von Microsoft veröffentlicht werden, nicht automatisch für diese Postfächer überwacht. Weitere Informationen über das Ändern von Postfachaktionen, die für jeden Anmeldetyp überwacht werden, finden Sie unter „Standardmäßig überwachte Postfachaktionen ändern oder wiederherstellen“ in Verwalten der Postfächern.

Schritt 4: Aktivieren von Überwachungsereignissen (Premium)

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Sie müssen zwei Audit (Premium)-Ereignisse (SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint) aktivieren, die protokolliert werden, wenn Benutzer Suchvorgänge in Exchange Online und SharePoint Online ausführen.

Um die Überwachung dieser beiden Ereignisse für Benutzer zu ermöglichen, führen Sie den folgenden Befehl (für jeden Benutzer) in Exchange Online PowerShell aus:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In einer Multi-Geo-Umgebung müssen Sie den vorherigen Set-Mailbox-Befehl in der Gesamtstruktur ausführen, in der sich das Postfach des Benutzers befindet. Führen Sie den folgenden Befehl aus, um den Postfachspeicherort des Benutzers zu identifizieren:

Get-Mailbox <user identity> | FL MailboxLocations

Wenn der Befehl zum Aktivieren der Überwachung von Suchabfragen zuvor in einer Gesamtstruktur ausgeführt wurde, die sich von der Gesamtstruktur unterscheidet, in der sich das Postfach des Benutzers befindet, müssen Sie den SearchQueryInitiated-Wert aus dem Postfach des Benutzers entfernen, indem Sie ausführen Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} und ihn dann dem Postfach des Benutzers in der Gesamtstruktur hinzufügen, in der sich das Postfach des Benutzers befindet.

Schritt 5: Einrichten von Überwachungsaufbewahrungsrichtlinien in Audit (Premium)

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Zusätzlich zu der Standardrichtlinie, die Microsoft Entra ID-, Exchange-, OneDrive- und SharePoint-Überwachungsdatensätze für ein Jahr aufbewahrt, können Organisationen, die Audit (Premium) verwenden, Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um die Anforderungen der Sicherheitsvorgänge, IT- und Complianceteams Ihres organization zu erfüllen.

Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Schritt 6: Suchen nach überwachten Ereignissen

Nachdem Sie audit (Standard) oder Audit (Premium) für Ihre organization konfiguriert haben, können Sie das Überwachungsprotokoll im Microsoft Purview-Complianceportal durchsuchen.

  1. Navigieren Sie zu , https://compliance.microsoft.com und melden Sie sich mit einem Konto an, dem die entsprechenden Überwachungsberechtigungen zugewiesen sind.

  2. Wählen Sie im linken Navigationsbereich des Complianceportals alle anzeigen und dann Überwachen aus.

  3. Konfigurieren Sie auf der Seite Überwachung die Suche mit den folgenden Bedingungen auf der Registerkarte Neue Suche .

    Wichtig

    Die klassische Suche wurde zum 30. November 2023 eingestellt. Die neue Suche umfasst Verbesserungen wie schnellere Suchzeiten, zusätzliche Suchoptionen, die Möglichkeit zum Speichern von Suchvorgängen und vieles mehr.

    1. Datums- und Uhrzeitbereich. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Aktivitäten anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Datum und Uhrzeit werden in koordinierter Weltzeit (UTC) angezeigt. Standardmäßig sind die letzten sieben Tage ausgewählt.

    2. Aktivitäten. Wählen Sie die Aktivitäten aus, nach denen gesucht werden soll. Verwenden Sie das Suchfeld, um nach Aktivitäten zu suchen, die der Liste hinzugefügt werden sollen. Eine partielle Liste der überwachten Aktivitäten finden Sie unter Überwachte Aktivitäten. Lassen Sie dieses Feld leer, um Einträge für alle Dateien und Ordner in Ihrer Organisation zurückzugeben.

    3. Benutzer. Wählen Sie dieses Feld aus, und geben Sie den Namen der Benutzer ein, für die Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsprotokolleinträge für die ausgewählten Aktivitäten angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben. Lassen Sie dieses Feld leer, um die Einträge für alle Benutzer (und Dienstkonten) in Ihrer Organisation zurückzugeben.

    4. Datei, Ordner oder Website. Geben Sie einen Datei- oder Ordnernamen ganz oder teilweise ein, um nach Aktivitäten für die Datei oder den Ordner zu suchen, die bzw. der das angegebene Schlüsselwort enthält. Sie können auch die URL einer Datei oder eines Ordners verwenden. Wenn Sie eine URL einer Datei oder eines Ordners verwenden wollen, geben Sie unbedingt den vollständigen URL-Pfad ein. Falls Sie nur einen Teil der URL eingeben, verwenden Sie bitte keine Sonder- oder Leerzeichen. Lassen Sie dieses Feld leer, um Einträge für alle Dateien und Ordner in Ihrer Organisation zurückzugeben.

  4. Klicken Sie auf Suchen, um die Suche durchzuführen.

Eine neue Seite wird angezeigt, die anzeigt, dass die Überwachungsprotokollsuche ausgeführt wird. Wenn die Suche abgeschlossen ist, werden Überwachungsdatensätze auf der Seite angezeigt. Wählen Sie einen Datensatz aus, um eine Flyout-Seite mit detaillierten Eigenschaften anzuzeigen.

Ausführlichere Anweisungen finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.