Aktivieren oder Deaktivieren der Überwachung

Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn Sie jedoch eine neue Microsoft 365-organization einrichten, sollten Sie die Überwachungs-status für Ihre organization überprüfen. Anweisungen finden Sie im Abschnitt Überprüfen der status für Ihre organization in diesem Artikel.

Wenn die Überwachung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal aktiviert ist, werden Benutzer- und Administratoraktivitäten aus Ihrem organization im Überwachungsprotokoll aufgezeichnet und automatisch 180 Tage lang aufbewahrt. Die Aufbewahrungsdauer (Lebensdauer) für Überwachungsdaten beginnt, wenn sie dem Überwachungsprotokoll hinzugefügt werden, und wird basierend auf Überwachungsprotokollaufbewahrungsrichtlinien und der Benutzern zugewiesenen Lizenz beibehalten.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Änderungen an den Benutzerlizenzierungs- oder Aufbewahrungsrichtlinien ändern auch das Ablaufdatum von Überwachungsdaten.

Ihre organization hat möglicherweise Gründe dafür, dass Überwachungsprotokolldaten nicht aufgezeichnet und aufbewahrt werden sollen. In diesen Fällen kann ein globaler Administrator die Überwachung in Microsoft 365 für Ihre organization deaktivieren. Anweisungen finden Sie im Abschnitt Deaktivieren der Überwachung in diesem Artikel.

Wichtig

Wenn Sie die Überwachung in Microsoft 365 deaktivieren, können Sie die Office 365 Management Activity API oder Microsoft Sentinel nicht verwenden, um auf Überwachungsdaten oder Protokolle für Ihre organization zuzugreifen. Wenn Sie die Überwachung deaktivieren, indem Sie die Schritte in diesem Artikel ausführen, werden keine Ergebnisse zurückgegeben, wenn Sie das Überwachungsprotokoll über das Microsoft Purview-Portal oder das Complianceportal durchsuchen oder das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell ausführen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie die Überwachung aktivieren oder deaktivieren

Ihnen muss die Rolle Überwachungsprotokolle in Exchange Online zugewiesen sein, um die Überwachung zu aktivieren oder zu deaktivieren. Standardmäßig wird diese Rolle den Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center zugewiesen.

• Schritt-für-Schritt-Anweisungen zum Durchsuchen des Überwachungsprotokolls finden Sie unter Search überwachungsprotokoll.
• Weitere Informationen zur Microsoft 365-Verwaltungsaktivitäts-API finden Sie unter Erste Schritte mit Microsoft 365-Verwaltungs-APIs.

Überprüfen Sie die status für Ihre organization

Um zu überprüfen, ob die Überwachung für Ihre organization aktiviert ist, können Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Der Wert für True die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung aktiviert ist. Der Wert False gibt an, dass die Überwachung nicht aktiviert ist.

Wichtig

Stellen Sie sicher, dass Sie den vorherigen Befehl in Exchange Online PowerShell ausführen. Obwohl das Cmdlet Get-AdminAuditLogConfig auch in Security & Compliance PowerShell verfügbar ist, ist die UnifiedAuditLogIngestionEnabled-Eigenschaft immer False, auch wenn die Überwachung aktiviert ist.

Aktivieren der Überwachung

Wenn die Überwachung für Ihre organization nicht aktiviert ist, können Sie sie im Microsoft Purview-Portal oder Complianceportal oder mithilfe von Exchange Online PowerShell aktivieren. Nach dem Aktivieren der Überwachung kann es mehrere Stunden dauern, bis Sie beim Durchsuchen des Überwachungsprotokolls Ergebnisse zurückgeben können.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

Führen Sie die folgenden Schritte aus, um die Überwachung zu aktivieren:

1. Melden Sie sich beim Microsoft Purview-Portal an.
2. Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.
3. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.
4. Wählen Sie das Banner Aufzeichnung von Benutzer- und Administratoraktivitäten starten aus.

Es kann bis zu 60 Minuten dauern, bis die Änderung wirksam wird.

Compliance-Portal

Führen Sie die folgenden Schritte aus, um die Überwachung zu aktivieren:

1. Navigieren Sie im Microsoft Purview-Complianceportal unter https://compliance.microsoft.comzu Lösungsüberwachung>. Oder verwenden Sie https://compliance.microsoft.com/auditlogsearch, um direkt zur Seite Überwachung zu wechseln.
2. Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.
3. Wählen Sie das Banner Aufzeichnung von Benutzer- und Administratoraktivitäten starten aus.

Es kann bis zu 60 Minuten dauern, bis die Änderung wirksam wird.

Verwenden von PowerShell zum Aktivieren der Überwachung

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu aktivieren.

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
   

   Es wird eine Meldung mit dem Hinweis angezeigt, dass es bis zu 60 Minuten dauern kann, bis die Änderung wirksam wird.

Deaktivieren der Überwachung

Sie müssen Exchange Online PowerShell verwenden, um die Überwachung zu deaktivieren.

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu deaktivieren.

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
   

3. Vergewissern Sie sich nach einer Weile, dass die Überwachung deaktiviert (deaktiviert) ist. Sie können auf zwei Arten vorgehen:

   • Führen Sie in Exchange Online PowerShell den folgenden Befehl aus:

     Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
     

     Der Wert von False für die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung deaktiviert ist.

   • Wechseln Sie im Complianceportal zur Seite Überwachung .

     Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.

Überwachen von Datensätzen beim Ändern status

Änderungen an den Überwachungs-status in Ihrem organization werden selbst überwacht. Dies bedeutet, dass Überwachungsdatensätze protokolliert werden, wenn die Überwachung aktiviert oder deaktiviert ist. Sie können das Exchange-Administratorüberwachungsprotokoll nach diesen Überwachungsdatensätzen durchsuchen.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um das Exchange-Administratorüberwachungsprotokoll nach Überwachungsdatensätzen zu durchsuchen, die beim Aktivieren oder Deaktivieren der Überwachung generiert werden:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Überwachungsdatensätze für diese Ereignisse enthalten Informationen darüber, wann die Überwachungs-status geändert wurde, den Administrator, der sie geändert hat, und die IP-Adresse des Computers, der für die Änderung verwendet wurde. Die folgenden Screenshots zeigen Überwachungsdatensätze, die dem Ändern der Überwachungs-status in Ihrem organization entsprechen.

Überwachungsdatensatz zum Aktivieren der Überwachung

Der Wert von Confirm in der CmdletParameters-Eigenschaft gibt an, dass die einheitliche Überwachungsprotokollierung im Microsoft Purview-Portal oder Complianceportal oder durch Ausführen des $true Cmdlets Set-AdminAuditLogLogConfig -UnifiedAuditLogIngestionEnabled aktiviert wurde.

Überwachungsdatensatz zum Deaktivieren der Überwachung

Der Wert von Confirm ist nicht in der CmdletParameters-Eigenschaft enthalten. Dies gibt an, dass die einheitliche Überwachungsprotokollierung durch Ausführen des Befehls Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false deaktiviert wurde.

Weitere Informationen zum Durchsuchen des Exchange-Administratorüberwachungsprotokolls finden Sie unter Search-AdminAuditLog.