Dieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge aus, um die neuesten Funktionen, Sicherheitsupdates und technischen Support zu nutzen.
Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn Sie jedoch eine neue Microsoft 365-organization einrichten, sollten Sie die Überwachungs-status für Ihre organization überprüfen. Anweisungen finden Sie im Abschnitt Überprüfen der status für Ihre organization in diesem Artikel.
Wenn die Überwachung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal aktiviert ist, werden Benutzer- und Administratoraktivitäten aus Ihrem organization im Überwachungsprotokoll aufgezeichnet und automatisch 180 Tage lang aufbewahrt. Die Aufbewahrungsdauer (Lebensdauer) für Überwachungsdaten beginnt, wenn sie dem Überwachungsprotokoll hinzugefügt werden, und wird basierend auf Überwachungsprotokollaufbewahrungsrichtlinien und der Benutzern zugewiesenen Lizenz beibehalten.
Wichtig
Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen in 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Änderungen an den Benutzerlizenzierungs- oder Aufbewahrungsrichtlinien ändern auch das Ablaufdatum von Überwachungsdaten.
Ihre organization hat möglicherweise Gründe dafür, dass Überwachungsprotokolldaten nicht aufgezeichnet und aufbewahrt werden sollen. In diesen Fällen kann ein globaler Administrator die Überwachung in Microsoft 365 für Ihre organization deaktivieren. Anweisungen finden Sie im Abschnitt Deaktivieren der Überwachung in diesem Artikel.
Wichtig
Wenn Sie die Überwachung in Microsoft 365 deaktivieren, können Sie die Office 365-Verwaltungsaktivitäts-API oder Microsoft Sentinel nicht verwenden, um auf Überwachungsdaten oder Protokolle für Ihre organization zuzugreifen. Wenn Sie die Überwachung deaktivieren, indem Sie die Schritte in diesem Artikel ausführen, werden keine Ergebnisse zurückgegeben, wenn Sie das Überwachungsprotokoll über das Microsoft Purview-Portal oder compliance-Portal durchsuchen oder das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell ausführen.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Ihnen muss die Rolle Überwachungsprotokolle in Exchange Online zugewiesen sein, um die Überwachung zu aktivieren oder zu deaktivieren. Standardmäßig wird diese Rolle den Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center zugewiesen.
Um zu überprüfen, ob die Überwachung für Ihre organization aktiviert ist, können Sie den folgenden Befehl in Exchange Online PowerShell ausführen:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Der Wert für True die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung aktiviert ist. Der Wert False gibt an, dass die Überwachung nicht aktiviert ist.
Wichtig
Stellen Sie sicher, dass Sie den vorherigen Befehl in Exchange Online PowerShell ausführen. Obwohl das Cmdlet Get-AdminAuditLogConfig auch in Security & Compliance PowerShell verfügbar ist, ist die UnifiedAuditLogIngestionEnabled-Eigenschaft immer False, auch wenn die Überwachung aktiviert ist.
Wenn die Überwachung für Ihre organization nicht aktiviert ist, können Sie sie im Microsoft Purview-Portal oder Complianceportal oder mithilfe von Exchange Online PowerShell aktivieren. Nach dem Aktivieren der Überwachung kann es mehrere Stunden dauern, bis Sie beim Durchsuchen des Überwachungsprotokolls Ergebnisse zurückgeben können.
Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.
Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.
Führen Sie die folgenden Schritte aus, um die Überwachung zu aktivieren:
Es kann bis zu 60 Minuten dauern, bis die Änderung wirksam wird.
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu aktivieren.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Es wird eine Meldung mit dem Hinweis angezeigt, dass es bis zu 60 Minuten dauern kann, bis die Änderung wirksam wird.
Sie müssen Exchange Online PowerShell verwenden, um die Überwachung zu deaktivieren.
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu deaktivieren.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Vergewissern Sie sich nach einer Weile, dass die Überwachung deaktiviert (deaktiviert) ist. Sie können auf zwei Arten vorgehen:
Führen Sie in Exchange Online PowerShell den folgenden Befehl aus:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Der Wert von False für die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung deaktiviert ist.
Wechseln Sie im Complianceportal zur Seite Überwachung .
Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.
Änderungen an den Überwachungs-status in Ihrem organization werden selbst überwacht. Dies bedeutet, dass Überwachungsdatensätze protokolliert werden, wenn die Überwachung aktiviert oder deaktiviert ist. Sie können das Exchange-Administratorüberwachungsprotokoll nach diesen Überwachungsdatensätzen durchsuchen.
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um das Exchange-Administratorüberwachungsprotokoll nach Überwachungsdatensätzen zu durchsuchen, die beim Aktivieren oder Deaktivieren der Überwachung generiert werden:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Überwachungsdatensätze für diese Ereignisse enthalten Informationen darüber, wann die Überwachungs-status geändert wurde, den Administrator, der sie geändert hat, und die IP-Adresse des Computers, der für die Änderung verwendet wurde. Die folgenden Screenshots zeigen Überwachungsdatensätze, die dem Ändern der Überwachungs-status in Ihrem organization entsprechen.
Suchen Sie in der AuditData-Eigenschaft nach dem Ergebniswert vonUnifiedAuditLogIngestionEnabled, der angibt, ob die einheitliche Überwachungsprotokollierung im Microsoft Purview-Portal oder Complianceportal aktiviert oder deaktiviert wurde, oder indem Sie das Cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false ausführen.
Weitere Informationen zum Durchsuchen des Exchange-Administratorüberwachungsprotokolls finden Sie unter Search-UnifiedAuditLog.
Schulung
Modul
Verwenden des universellen Überwachungsprotokolls (Universal Audit Log, UAL) von Microsoft Purview zum Untersuchen von Bedrohungen
Zertifizierung
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
Veranschaulichen der Grundlagen von Datensicherheit, Lebenszyklusverwaltung, Informationssicherheit und Compliance zum Schutz einer Microsoft 365-Bereitstellung