Attivare o disattivare il controllo

La registrazione di controllo è attivata per impostazione predefinita per le organizzazioni di Microsoft 365. Tuttavia, quando si configura una nuova organizzazione di Microsoft 365, è necessario verificare lo stato di controllo per l'organizzazione. Per istruzioni, vedere la sezione Verificare lo stato del controllo per l'organizzazione in questo articolo.

Quando il controllo è attivato nel Portale di conformità di Microsoft Purview, l'attività dell'utente e dell'amministratore dell'organizzazione viene registrata nel log di controllo e mantenuta automaticamente per 180 giorni. La conservazione (durata) per i dati di controllo viene avviata quando viene aggiunta al log di controllo e viene mantenuta in base ai criteri di conservazione dei log di controllo e alla licenza assegnata agli utenti.

Importante

Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.

Le modifiche apportate ai criteri di licenza o conservazione degli utenti modificano anche la data di scadenza dei dati di controllo.

L'organizzazione potrebbe avere motivi per non voler registrare e conservare i dati del log di controllo. In questi casi, un amministratore globale può disattivare il controllo in Microsoft 365 per l'organizzazione. Per istruzioni, vedere la sezione Disattiva controllo in questo articolo.

Importante

Se si disattiva il controllo in Microsoft 365, non è possibile usare l'API attività di gestione Office 365 o Microsoft Sentinel per accedere ai dati o ai log di controllo per l'organizzazione. Se si disattiva il controllo seguendo la procedura descritta in questo articolo, non verranno restituiti risultati quando si esegue una ricerca nel log di controllo usando il portale di conformità o quando si esegue il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Prima di attivare o disattivare il controllo

Per attivare o disattivare il controllo, è necessario assegnare il ruolo Log di controllo in Exchange Online. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioni nell'interfaccia di amministrazione di Exchange.

Verificare lo stato del controllo per l'organizzazione

Per verificare che il controllo sia attivato per l'organizzazione, è possibile eseguire il comando seguente in Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Il valore per True la proprietà UnifiedAuditLogIngestionEnabled indica che il controllo è attivato. Il valore False indica che il controllo non è attivato.

Importante

Assicurarsi di eseguire il comando precedente in Exchange Online PowerShell. Anche se il cmdlet Get-AdminAuditLogConfig è disponibile anche in PowerShell sicurezza & conformità, la proprietà UnifiedAuditLogIngestionEnabled è sempre False, anche quando il controllo è attivato.

Attivare il controllo

Se il controllo non è attivato per l'organizzazione, è possibile attivarlo nel portale di conformità o usando Exchange Online PowerShell. L'attivazione del controllo potrebbe richiedere diverse ore prima di poter restituire i risultati durante la ricerca nel log di controllo.

Usare il portale di conformità per attivare il controllo

  1. Nella Portale di conformità di Microsoft Purview in https://compliance.microsoft.compassare a Controllo soluzioni>. In alternativa, per passare direttamente alla pagina Controllo , usare https://compliance.microsoft.com/auditlogsearch.

  2. Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore.

    Banner nella pagina Controllo.

  3. Selezionare il banner Avvia registrazione dell'attività utente e amministratore .

    L'applicazione della modifica può richiedere fino a 60 minuti.

Usare PowerShell per attivare il controllo

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il comando di PowerShell seguente per attivare il controllo.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Viene visualizzato un messaggio che indica che potrebbero essere necessari fino a 60 minuti prima che la modifica venga applicata.

Disattiva controllo

È necessario usare Exchange Online PowerShell per disattivare il controllo.

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il comando di PowerShell seguente per disattivare il controllo.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Dopo un po', verificare che il controllo sia disattivato (disabilitato). È possibile eseguire questa operazione in due modi:

    • In Exchange Online PowerShell eseguire il comando seguente:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Il valore di False per la proprietà UnifiedAuditLogIngestionEnabled indica che il controllo è disattivato.

    • Passare alla pagina Controllo nel portale di conformità.

      Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore.

Controllare i record quando viene modificato lo stato del controllo

Le modifiche apportate allo stato di controllo nell'organizzazione vengono controllate a loro volta. Ciò significa che i record di controllo vengono registrati quando il controllo è attivato o disattivato. È possibile cercare questi record di controllo nel log di controllo dell'amministratore di Exchange.

Per cercare nel log di controllo dell'amministratore di Exchange i record di controllo generati quando si attiva o disattiva il controllo, eseguire il comando seguente in Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

I record di controllo per questi eventi contengono informazioni su quando è stato modificato lo stato di controllo, l'amministratore che lo ha modificato e l'indirizzo IP del computer usato per apportare la modifica. Gli screenshot seguenti mostrano i record di controllo che corrispondono alla modifica dello stato del controllo nell'organizzazione.

Record di controllo per l'attivazione del controllo

Record di controllo per l'attivazione del controllo

Il valore di Confirm nella proprietà CmdletParameters indica che la registrazione di controllo unificata è stata attivata nel portale di conformità o eseguendo il cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestion $true Enabled .

Record di controllo per la disattivazione del controllo

Record di controllo per la disattivazione del controllo

Il valore di Confirm non è incluso nella proprietà CmdletParameters . Ciò indica che la registrazione di controllo unificata è stata disattivata eseguendo il comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Per altre informazioni sulla ricerca nel log di controllo dell'amministratore di Exchange, vedere Search-AdminAuditLog.