Erste Schritte mit Überwachungslösungen

Mit Microsoft Purview Audit (Standard) und Audit (Premium) können Sie nach Überwachungsdatensätzen für Aktivitäten suchen, die in den verschiedenen Microsoft-Diensten von Benutzern und Administratoren ausgeführt werden. Da Die Überwachung (Standard) für die meisten Microsoft 365-Organisationen standardmäßig aktiviert ist, müssen Sie nur wenige Schritte ausführen, bevor Sie das Überwachungsprotokoll durchsuchen können. Es gibt einige weitere Konfigurationsschritte, die Sie ausführen müssen, um Features zu verwenden, die nur in Audit (Premium) verfügbar sind.

Weitere Informationen zu Überwachungsfunktionen (Standard) und Audit (Premium) finden Sie unter Microsoft Purview-Überwachungslösungen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Schritt 1: Organisationsabonnement und Benutzerlizenzierung überprüfen

Für die Lizenzierung für Audit (Standard) und Audit (Premium) ist das entsprechende Organisationsabonnement erforderlich, das Zugriff auf das Suchtool für Überwachungsprotokolle und die Benutzerlizenzierung bietet, die zum Protokollieren und Aufbewahren von Überwachungsdatensätzen erforderlich ist.

Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. In Audit (Standard) und Audit (Premium) werden Überwachungsdatensätze aufbewahrt und können 180 Tage lang im Überwachungsprotokoll durchsucht werden.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Eine Liste der Abonnement- und Lizenzierungsanforderungen für diese Überwachungslösungen finden Sie in den Abonnementanforderungen für Audit (Standard) und Audit (Premium).

Schritt 2: Zuweisen von Berechtigungen zum Durchsuchen des Überwachungsprotokolls

Administratoren und Mitgliedern von Untersuchungsteams muss die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal zugewiesen sein, um das Überwachungsprotokoll durchsuchen oder exportieren zu können. Standardmäßig werden diese Rollen den Rollengruppen "Audit Reader " und " Audit Manager " auf der Seite "Rollengruppen" im Microsoft Purview-Portal und auf der Seite "Berechtigungen" im Complianceportal zugewiesen.

Hinweis

Der Zugriff zum Aktivieren oder Deaktivieren der Überwachung und des Zugriffs auf Überwachungs-Cmdlets erfordert derzeit Berechtigungen aus dem Exchange Admin Center. Verwenden Sie die vorhandenen Rollen Überwachungsprotokolle und Überwachungsprotokolle anzeigen im Exchange Admin Center, um Zugriff auf Überwachungs-Cmdlets zu gewähren. Verwenden Sie die vorhandene Rolle Überwachungsprotokolle im Exchange Admin Center, um Zugriff zum Aktivieren oder Deaktivieren der Überwachung zu gewähren.

Sie können auch benutzerdefinierte Rollengruppen mit der Möglichkeit erstellen, das Überwachungsprotokoll zu durchsuchen, indem Sie die Rollen Nur anzeigen oder Überwachungsprotokolle zu einer benutzerdefinierten Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Zuweisen von Berechtigungen zu Bereichsüberwachungsprotokollen

Zum Durchsuchen oder Exportieren des Überwachungsprotokolls müssen Administratoren oder Mitglieder von Untersuchungsteams mindestens einer der folgenden überwachungsbezogenen Rollengruppen im Microsoft Purview-Portal oder im Complianceportal zugewiesen sein:

• Überwachungs-Manager: Ein Benutzer, der der Rollengruppe Audit Manager zugewiesen ist, kann das Überwachungsprotokoll durchsuchen und exportieren und Überwachungseinstellungen für den Mandanten verwalten (z. B. aktivieren oder deaktivieren der Überwachungsprotokollierung). Diese Rollengruppe gewährt dem Benutzer die Rollen Nur Anzeigen von Überwachungsprotokollen und Überwachungsprotokollen .
• Überwachungsleser: Ein Benutzer, der der Rollengruppe "Überwachungsleseberechtigter " zugewiesen ist, kann nur das Überwachungsprotokoll suchen und exportieren. Sie können die Überwachungsprotokollierung nicht aktivieren oder deaktivieren. Diese Rollengruppe gewährt dem Benutzer die Rolle Nur anzeigende Überwachungsprotokolle .

Schritt 3: Einrichten der Überwachung (Premium) für Benutzer

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Überwachungsfeatures (Premium), z. B. die Möglichkeit, intelligente Erkenntnisse zu protokollieren, erfordern eine entsprechende E5-Lizenz, die Benutzern zugewiesen ist. Darüber hinaus muss die Erweiterte Überwachungs-App/ der Serviceplan für diese Benutzer aktiviert sein.

Führen Sie die folgenden Schritte für jeden Benutzer aus, um zu überprüfen, ob die App "Erweiterte Überwachung" Benutzern zugewiesen ist:

1. Wechseln Sie im Microsoft 365 Admin Center zu Benutzer>Aktive Benutzer, und wählen Sie einen Benutzer aus.

2. Wählen Sie auf der Flyoutseite für Benutzereigenschaften die Option Lizenzen und Apps aus.

3. Überprüfen Sie im Abschnitt Lizenzen , ob dem Benutzer eine E5-Lizenz oder eine entsprechende Add-On-Lizenz zugewiesen ist. Eine Liste der Lizenzen, die Audit (Premium) unterstützen, finden Sie unter Überwachungslizenzanforderungen.

4. Erweitern Sie den Abschnitt Apps und bestätigen Sie das Kontrollkästchen Microsoft 365 – Erweiterte Überwachung aktiviert ist.

5. Wenn das Kontrollkästchen nicht aktiviert ist, aktivieren Sie es, und wählen Sie dann Änderungen speichern aus.

   Die Protokollierung von Audit (Premium) Insights beginnt innerhalb von 24 Stunden.

Wenn Sie die Postfachaktionen angepasst haben, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle neuen Audit (Premium)-Ereignisse, die von Microsoft veröffentlicht werden, nicht automatisch für diese Postfächer überwacht. Weitere Informationen über das Ändern von Postfachaktionen, die für jeden Anmeldetyp überwacht werden, finden Sie unter „Standardmäßig überwachte Postfachaktionen ändern oder wiederherstellen“ in Verwalten der Postfächern.

Schritt 4: Aktivieren von SearchQueryInitiated-Ereignissen

Sie müssen explizit aktivieren, dass zwei Ereignisse (SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint) protokolliert werden, wenn Benutzer Suchvorgänge in Exchange Online und SharePoint Online ausführen.

Um die Überwachung dieser beiden Ereignisse für Benutzer zu ermöglichen, führen Sie den folgenden Befehl (für jeden Benutzer) in Exchange Online PowerShell aus:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In einer Multi-Geo-Umgebung müssen Sie den vorherigen Set-Mailbox-Befehl in der Gesamtstruktur ausführen, in der sich das Postfach des Benutzers befindet. Führen Sie den folgenden Befehl aus, um den Postfachspeicherort des Benutzers zu identifizieren:

Get-Mailbox <user identity> | FL MailboxLocations

Wenn der Befehl zum Aktivieren der Überwachung von Suchabfragen zuvor in einer Gesamtstruktur ausgeführt wurde, die sich von der Gesamtstruktur unterscheidet, in der sich das Postfach des Benutzers befindet, müssen Sie den SearchQueryInitiated-Wert aus dem Postfach des Benutzers entfernen, indem Sie ausführen Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} und ihn dann dem Postfach des Benutzers in der Gesamtstruktur hinzufügen, in der sich das Postfach des Benutzers befindet.

Schritt 5: Einrichten von Überwachungsaufbewahrungsrichtlinien in Audit (Premium)

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Zusätzlich zur Standardrichtlinie, die Microsoft Entra ID, Exchange, OneDrive und SharePoint-Überwachungsdatensätze für ein Jahr aufbewahrt, können Organisationen, die Audit (Premium) verwenden, Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um die Anforderungen der Sicherheits-, IT- und Complianceteams Ihrer Organisation zu erfüllen.

Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Schritt 6: Suchen nach überwachten Ereignissen

Nachdem Sie Audit (Standard) oder Audit (Premium) für Ihre Organisation konfiguriert haben, können Sie das Überwachungsprotokoll im Microsoft Purview-Complianceportal durchsuchen. Ausführliche Anleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls.