Ativar ou desativar a auditoria

O log de auditoria será ativado por padrão para o Microsoft 365 e Office 365 corporativas. No entanto, ao configurar uma nova organização do Microsoft 365 ou Office 365, você deve verificar o status de auditoria da sua organização. Para obter instruções, consulte a seção Verificar o status de auditoria da sua organização neste artigo.

Quando a auditoria no portal de conformidade do Microsoft Purview é ativada, a atividade de usuário e administrador da sua organização é registrada no log de auditoria e mantida por 90 dias e até um ano, dependendo da licença atribuída aos usuários. No entanto, sua organização pode ter motivos para não querer registrar e reter dados de log de auditoria. Nesses casos, um administrador global pode decidir desativar a auditoria no Microsoft 365.

Importante

Se você desativar a auditoria no Microsoft 365, não poderá usar a API de Atividade de Gerenciamento do Office 365 ou o Microsoft Sentinel para acessar dados de auditoria para sua organização. Desativar a auditoria seguindo as etapas deste artigo significa que nenhum resultado será retornado quando você pesquisar o log de auditoria usando o portal de conformidade ou ao executar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell. Isso também significa que os logs de auditoria não estarão disponíveis por meio da API de Atividade de Gerenciamento Office 365 ou do Microsoft Sentinel.

Antes de ativar ou desativar a auditoria

  • Você precisa receber a função logs de auditoria Exchange Online ativar ou desativar a auditoria em sua organização do Microsoft 365. Por padrão, essa função é atribuída aos grupos de função Gerenciamento de Conformidade e Gerenciamento da Organização na página Permissões no Centro de administração do Exchange. Os administradores globais no Microsoft 365 são membros do grupo de função Gerenciamento da Organização no Exchange Online.

    Observação

    Os usuários precisam receber permissões Exchange Online ativar ou desativar a auditoria. Se você atribuir aos usuários a função Logs de Auditoria na página Permissões no portal de conformidade, eles não poderão ativar ou desativar a auditoria. Isso ocorre porque o cmdlet subjacente é Exchange Online cmdlet do PowerShell.

  • Para obter instruções passo a passo sobre como pesquisar o log de auditoria, consulte Pesquisar o log de auditoria. Para obter mais informações sobre a API de Atividade de Gerenciamento do Microsoft 365, consulte Introdução às APIs de Gerenciamento do Microsoft 365.

Verificar o status de auditoria da sua organização

Para verificar se a auditoria está ativada para sua organização, você pode executar o seguinte comando Exchange Online PowerShell:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Um valor da True propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está ativada. Um valor indica False que a auditoria não está ativada.

Observação

Certifique-se de executar o comando anterior no Exchange Online PowerShell. Você não pode usar o PowerShell de conformidade & segurança para executar esse comando.

Ativar a auditoria

Se a auditoria não estiver ativada para sua organização, você poderá ativá-la no portal de conformidade ou usando o Exchange Online PowerShell. Pode levar várias horas depois de ativar a auditoria antes de retornar resultados ao pesquisar o log de auditoria.

Usar o centro de conformidade para ativar a auditoria

  1. Vá para https://compliance.microsoft.com e entre.

  2. No painel de navegação esquerdo do portal de conformidade, clique em Auditoria.

    Se a auditoria não estiver ativada para sua organização, será exibida uma faixa solicitando que você inicie a gravação da atividade de usuário e administrador.

    Faixa na página Auditoria.

  3. Clique na faixa Iniciar gravação do usuário e da atividade de administrador.

    Pode levar até 60 minutos para que a alteração entre em vigor.

Usar o PowerShell para ativar a auditoria

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o comando do PowerShell a seguir para ativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Uma mensagem é exibida dizendo que pode levar até 60 minutos para que a alteração entre em vigor.

Desativar a auditoria

Você precisa usar o Exchange Online PowerShell para desativar a auditoria.

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o comando do PowerShell a seguir para desativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Após algum tempo, verifique se a auditoria está desativada (desabilitada). Há duas maneiras de fazer isso:

    • No Exchange Online PowerShell, execute o seguinte comando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      O valor da False propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está desativada.

    • Vá para a página Auditoria no portal de conformidade.

      Se a auditoria não estiver ativada para sua organização, será exibida uma faixa solicitando que você inicie a gravação da atividade de usuário e administrador.

Registros de auditoria quando o status de auditoria é alterado

As alterações no status de auditoria em sua organização são auditadas. Isso significa que os registros de auditoria são registrados quando a auditoria é ativada ou desativada. Você pode pesquisar no log de auditoria do administrador do Exchange esses registros de auditoria.

Para pesquisar no log de auditoria do administrador do Exchange registros de auditoria gerados ao ativar ou desativar a auditoria, execute o seguinte comando no Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Os registros de auditoria para esses eventos contêm informações sobre quando o status de auditoria foi alterado, o administrador que o alterou e o endereço IP do computador que foi usado para fazer a alteração. As capturas de tela a seguir mostram registros de auditoria que correspondem à alteração do status de auditoria em sua organização.

Registro de auditoria para ativar a auditoria

Registro de auditoria para ativar a auditoria

Confirm O valor da propriedade CmdletParameters indica que o log de auditoria unificado foi ativado no centro de conformidade ou executando o cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true.

Registro de auditoria para desativar a auditoria

Registro de auditoria para desativar a auditoria

O valor de Confirm não está incluído na propriedade CmdletParameters . Isso indica que o log de auditoria unificado foi desativado executando o comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Para obter mais informações sobre como pesquisar o log de auditoria do administrador do Exchange, consulte Search-AdminAuditLog.