Ativar ou desativar a auditoria

O registro em log de auditoria será ativado por padrão para Microsoft 365 e Office 365 organizações empresariais. No entanto, ao configurar um novo Microsoft organização 365 ou Office 365, você deve verificar o status de auditoria da sua organização. Para obter instruções, consulte a seção Verificar o status de auditoria da sua organização neste artigo.

Quando a auditoria no portal de conformidade do Microsoft Purview é ativada, a atividade de usuário e administrador de sua organização é registrada no log de auditoria e retida por 90 dias e até um ano, dependendo da licença atribuída aos usuários. No entanto, sua organização pode ter motivos para não querer registrar e reter dados de log de auditoria. Nesses casos, um administrador global pode decidir desativar a auditoria no Microsoft 365.

Importante

Se você desativar a auditoria no Microsoft 365, não poderá usar a API de Atividade de Gerenciamento Office 365 ou Microsoft Sentinel para acessar dados de auditoria para sua organização. Desativar a auditoria seguindo as etapas deste artigo significa que nenhum resultado será retornado ao pesquisar o log de auditoria usando o portal de conformidade ou quando você executar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell. Isso também significa que os logs de auditoria não estarão disponíveis por meio da API de Atividade de Gerenciamento de Office 365 ou Microsoft Sentinel.

Dica

Se você não for um cliente E5, poderá experimentar todos os recursos premium no Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de ativar ou desativar a auditoria

  • Você precisa receber a função Logs de Auditoria no Exchange Online para ativar ou desativar a auditoria em sua organização Microsoft 365. Por padrão, essa função é atribuída aos grupos de funções gerenciamento de conformidade e gerenciamento de organização na página Permissões no centro de administração do Exchange. Os administradores globais no Microsoft 365 são membros do grupo de funções *Gerenciamento de Organizações no Exchange Online.

    Observação

    Os usuários precisam receber permissões no Exchange Online para ativar ou desativar a auditoria. Se você atribuir aos usuários a função Logs de Auditoria na página Permissões no portal de conformidade, eles não poderão ativar ou desativar a auditoria. Isso ocorre porque o cmdlet subjacente é um cmdlet Exchange Online PowerShell.

  • Para obter instruções passo a passo sobre como pesquisar o log de auditoria, consulte Pesquisar o log de auditoria.

  • Para obter mais informações sobre a API de Atividade de Gerenciamento do Microsoft 365, consulte Introdução às MICROSOFT 365 APIs de Gerenciamento.

Verificar o status de auditoria da sua organização

Para verificar se a auditoria está ativada para sua organização, você pode executar o seguinte comando no Exchange Online PowerShell:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Um valor da True propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está ativada. Um valor de False indica que a auditoria não está ativada.

Observação

Execute o comando anterior no Exchange Online PowerShell. Você não pode usar o PowerShell de Conformidade de Segurança & para executar esse comando.

Ativar a auditoria

Se a auditoria não estiver ativada para sua organização, você poderá ativá-la no portal de conformidade ou usando Exchange Online PowerShell. Pode levar várias horas após você ativar a auditoria antes de retornar os resultados ao pesquisar o log de auditoria.

Usar o portal de conformidade para ativar a auditoria

  1. Vá para https://compliance.microsoft.com e entre.

  2. No painel de navegação esquerdo do portal de conformidade, selecione Auditoria.

    Se a auditoria não estiver ativada para sua organização, uma faixa será exibida solicitando que você comece a gravar atividades de usuário e administrador.

    Banner na página Auditoria.

  3. Selecione a faixa iniciar a gravação do usuário e da atividade de administrador .

    Pode levar até 60 minutos para que a alteração entre em vigor.

Usar o PowerShell para ativar a auditoria

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o comando do PowerShell a seguir para ativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Uma mensagem é exibida dizendo que pode levar até 60 minutos para que a alteração entre em vigor.

Desativar a auditoria

Você precisa usar Exchange Online PowerShell para desativar a auditoria.

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o comando do PowerShell a seguir para desativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Depois de um tempo, verifique se a auditoria está desativada (desabilitada). Há duas maneiras de fazer isso:

    • Em Exchange Online PowerShell, execute o seguinte comando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      O valor da False propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está desativada.

    • Acesse a página Auditoria no portal de conformidade.

      Se a auditoria não estiver ativada para sua organização, uma faixa será exibida solicitando que você comece a gravar atividades de usuário e administrador.

Registros de auditoria ao auditar o status são alterados

As alterações no status de auditoria em sua organização são auditadas. Isso significa que os registros de auditoria são registrados quando a auditoria é ativada ou desativada. Você pode pesquisar no log de auditoria de administrador do Exchange esses registros de auditoria.

Para pesquisar no log de auditoria de administrador do Exchange os registros de auditoria gerados ao ativar ou desativar a auditoria, execute o seguinte comando no Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Os registros de auditoria desses eventos contêm informações sobre quando o status de auditoria foi alterado, o administrador que o alterou e o endereço IP do computador que foi usado para fazer a alteração. As capturas de tela a seguir mostram registros de auditoria que correspondem à alteração do status de auditoria em sua organização.

Registro de auditoria para ativar a auditoria

Registro de auditoria para ativar a auditoria

O valor da propriedade CmdletParameters indica que o registro em log de auditoria unificado foi ativado no portal de Confirm conformidade ou executando o cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true cmdlet.

Registro de auditoria para desativar auditoria

Registro de auditoria para desativar auditoria

O valor de Confirm não está incluído na propriedade CmdletParameters . Isso indica que o registro em log de auditoria unificado foi desativado executando o comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Para obter mais informações sobre como pesquisar o log de auditoria de administrador do Exchange, consulte Search-AdminAuditLog.