Introduzione alle soluzioni di controllo
Microsoft Purview Audit (Standard) e Audit (Premium) consentono di cercare i record di controllo per le attività eseguite nei diversi servizi di Microsoft 365 da utenti e amministratori. Poiché Audit (Standard) è abilitato per impostazione predefinita per la maggior parte delle organizzazioni di Microsoft 365, è necessario eseguire solo alcune operazioni prima dell'utente e altri utenti dell'organizzazione possono eseguire ricerche nel log di controllo. È necessario completare alcuni altri passaggi di configurazione per usare le funzionalità disponibili solo in Audit (Premium).
Per altre informazioni sulle funzionalità di controllo (Standard) e Controllo (Premium), vedere Soluzioni di controllo di Microsoft Purview.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Passaggio 1: Verificare la sottoscrizione dell'organizzazione e le licenze utente
Le licenze per Audit (Standard) e Audit (Premium) richiedono la sottoscrizione dell'organizzazione appropriata che fornisce l'accesso allo strumento di ricerca dei log di controllo e alle licenze per utente necessarie per registrare e conservare i record di controllo.
Quando un'attività di controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo che viene archiviato nel log di controllo per l'organizzazione. In Audit (Standard) e Audit (Premium) i record di controllo vengono conservati e ricercabili nel log di controllo per 180 giorni.
Importante
Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.
Per un elenco dei requisiti di sottoscrizione e licenza per queste soluzioni di controllo, vedere i requisiti di sottoscrizione per Audit (Standard) e Audit (Premium).
Passaggio 2: Assegnare le autorizzazioni per la ricerca nel registro di controllo
Agli amministratori e ai membri dei team di indagine deve essere assegnato il ruolo Log di controllo o Log di controllo di sola visualizzazione nel portale di Microsoft Purview o il Portale di conformità di Microsoft Purview per cercare o esportare il log di controllo. Per impostazione predefinita, questi ruoli vengono assegnati ai gruppi di ruoli Lettore di controllo e Audit Manager nella pagina Gruppi di ruoli nel portale Di Microsoft Purview e alla pagina Autorizzazioni nel portale di conformità.
Nota
L'accesso per abilitare o disabilitare il controllo e l'accesso ai cmdlet di controllo richiede attualmente le autorizzazioni dall'interfaccia di amministrazione di Exchange. Usare i ruoli Log di controllo e Log di controllo di sola visualizzazione esistenti nell'interfaccia di amministrazione di Exchange per concedere l'accesso ai cmdlet di controllo. Usare il ruolo Log di controllo esistente nell'interfaccia di amministrazione di Exchange per concedere l'accesso per abilitare o disabilitare il controllo.
È anche possibile creare gruppi di ruoli personalizzati con la possibilità di eseguire ricerche nel log di controllo aggiungendo i ruoli Log di controllo di sola visualizzazione o Log di controllo a un gruppo di ruoli personalizzato. Per ulteriori informazioni, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.
Assegnare le autorizzazioni per l'ambito dei log di controllo
Per eseguire ricerche o esportare il log di controllo, gli amministratori o i membri dei team di indagine devono essere assegnati ad almeno uno dei gruppi di ruoli correlati al controllo seguenti nel portale di Microsoft Purview o nel portale di conformità:
- Audit Manager: un utente assegnato al gruppo di ruoli di Audit Manager può cercare ed esportare il log di controllo e gestire le impostazioni di controllo per il tenant , ad esempio abilitando o disabilitando la registrazione di controllo. Questo gruppo di ruoli concede all'utente i ruoli Log di controllo e Log di controllo di sola visualizzazione.
- Lettore di controllo: un utente assegnato al gruppo di ruoli Lettore di controllo può solo cercare ed esportare il log di controllo. Non possono abilitare o disabilitare la registrazione di controllo. Questo gruppo di ruoli concede all'utente il ruolo Log di controllo di sola visualizzazione .
Passaggio 3: Configurare audit (Premium) per gli utenti
Consiglio
Le organizzazioni che usano Audit (Standard) possono ignorare questo passaggio.
Le funzionalità di controllo (Premium), ad esempio la possibilità di registrare informazioni dettagliate intelligenti come MailItemsAccessed e Send , richiedono una licenza E5 appropriata assegnata agli utenti. Inoltre, è necessario che per tali utenti siano abilitati l'app Controllo avanzato e/o il piano di servizio.
Per verificare che l'app Controllo avanzato sia assegnata agli utenti, seguire questa procedura per ogni utente:
Nel interfaccia di amministrazione di Microsoft 365 passare a Utenti>attivi e selezionare un utente.
Nella pagina a comparsa delle proprietà utente selezionare Licenze e app.
Nella sezione Licenze verificare che all'utente sia assegnata una licenza E5 o che sia assegnata una licenza del componente aggiuntivo appropriata. Per un elenco delle licenze che supportano Audit (Premium), vedere Controllare i requisiti di licenza.
Espandere la sezione App e verificare che la casella di controllo Controllo avanzato Microsoft 365 sia selezionata.
Se la casella di controllo non è selezionata, selezionarla e quindi selezionare Salva modifiche.
La registrazione dei record di controllo per MailItemsAccessed e Send inizia entro 24 ore. È necessario eseguire il passaggio 2 per avviare la registrazione di altri due eventi Di controllo (Premium): SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint.
Inoltre, se sono state personalizzate le azioni delle cassette postali registrate nelle cassette postali degli utenti o nelle cassette postali condivise, tutti i nuovi eventi Di controllo (Premium) rilasciati da Microsoft non verranno controllati automaticamente in tali cassette postali. Per informazioni sulla modifica delle azioni della cassetta postale controllate per ogni tipo di accesso, vedere la sezione "Modificare o ripristinare le azioni della cassetta postale registrate per impostazione predefinita" in Gestire il controllo delle cassette postali.
Passaggio 4: Abilitare gli eventi di controllo (Premium)
Consiglio
Le organizzazioni che usano Audit (Standard) possono ignorare questo passaggio.
È necessario abilitare due eventi Audit (Premium) (SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint) da registrare quando gli utenti eseguono ricerche in Exchange Online e SharePoint Online.
Per abilitare il controllo di questi due eventi per gli utenti, eseguire il comando seguente (per ogni utente) in Exchange Online PowerShell:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
In un ambiente multi-geografico, è necessario eseguire il comando Set-Mailbox nella foresta di domini in cui si trova la cassetta postale dell'utente. Per identificare la posizione della cassetta postale dell'utente, eseguire il comando seguente:
Get-Mailbox <user identity> | FL MailboxLocations
Se il comando per abilitare il controllo delle query di ricerca è stato eseguito in precedenza in una foresta diversa da quella in cui si trova la cassetta postale dell'utente, è necessario rimuovere il valore SearchQueryInitiated dalla cassetta postale dell'utente eseguendolo Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} e quindi aggiungerlo alla cassetta postale dell'utente nella foresta in cui si trova la cassetta postale dell'utente.
Passaggio 5: Configurare i criteri di conservazione dei controlli in Controllo (Premium)
Consiglio
Le organizzazioni che usano Audit (Standard) possono ignorare questo passaggio.
Oltre ai criteri predefiniti che conservano i record di controllo di Microsoft Entra ID, Exchange, OneDrive e SharePoint per un anno, le organizzazioni che usano Audit (Premium) possono creare criteri di conservazione dei log di controllo per soddisfare i requisiti dei team di sicurezza, IT e conformità dell'organizzazione.
Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.
Passaggio 6: Search per gli eventi controllati
Dopo aver configurato Audit (Standard) o Audit (Premium) per l'organizzazione, è possibile eseguire ricerche nel log di controllo nel Portale di conformità di Microsoft Purview. Per indicazioni dettagliate, vedere Search il log di controllo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per