Compartilhar via

Ativar ou desativar a auditoria

O registo de auditoria está ativado por predefinição para as organizações do Microsoft 365. No entanto, quando configurar uma nova organização do Microsoft 365, verifique o status de auditoria da sua organização. Para obter instruções, consulte a secção Verificar o status de auditoria da sua organização neste artigo.

Quando ativa a auditoria no portal do Microsoft Purview, o registo de auditoria regista a atividade do utilizador e do administrador da sua organização e retém-na automaticamente durante 180 dias. A retenção (duração) dos dados de auditoria começa quando são adicionados ao registo de auditoria e são retidos com base nas políticas de retenção do registo de auditoria e na licença atribuída aos utilizadores.

Importante

A auditoria não está ativada por predefinição para licenças de Pequenas e Médias Empresas (SMB), incluindo Microsoft 365 Business Basic, Business Standard e Business Premium. Além disso, os inquilinos não geridos que utilizam avaliações gratuitas de licenças empresariais não têm a auditoria ativada por predefinição. Em ambos os casos, tem de ativar manualmente a auditoria para a sua organização.

As alterações às políticas de licenciamento ou retenção do utilizador também alteram a data de expiração dos dados de auditoria.

A sua organização pode ter motivos para não querer registar e reter dados de registo de auditoria. Nestes casos, um administrador global pode desativar a auditoria no Microsoft 365 para a sua organização. Para obter instruções, consulte a secção Desativar auditoria neste artigo.

Importante

Se desativar a auditoria no Microsoft 365, não poderá utilizar a API de Atividade de Gestão de Office 365 ou o Microsoft Sentinel para aceder a dados ou registos de auditoria da sua organização. Quando desativa a auditoria, as pesquisas do registo de auditoria no Microsoft Purview não devolvem resultados. A execução do cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell também não devolve resultados.

Antes de ativar ou desativar a auditoria

Tem de lhe ser atribuída a função Registos de Auditoria no Exchange Online para ativar ou desativar a auditoria. Por predefinição, os grupos de funções Gestão de Conformidade e Gestão da Organização na página Permissões no centro de administração do Exchange têm esta função.

Verificar o status de auditoria da sua organização

Para verificar se a auditoria está ativada para a sua organização, execute o seguinte comando no Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Um valor de True para a propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está ativada. Um valor de False indica que a auditoria não está ativada.

Importante

Certifique-se de que executa o comando anterior no Exchange Online PowerShell. Embora o cmdlet Get-AdminAuditLogConfig também esteja disponível no PowerShell de Conformidade do & de Segurança, a propriedade UnifiedAuditLogIngestionEnabled é sempre False, mesmo quando a auditoria está ativada.

Ativar a auditoria

Se a auditoria não estiver ativada para a sua organização, ative-a no portal do Microsoft Purview ou através do Exchange Online PowerShell. Poderá demorar várias horas depois de ativar a auditoria antes de poder devolver resultados ao procurar no registo de auditoria.

Conclua os seguintes passos para ativar a auditoria:

  1. Inicie sessão no portal do Microsoft Purview.
  2. Selecione a solução auditoria card. Se a solução auditoria card não for apresentada, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo.
  3. Se a auditoria não estiver ativada para a sua organização, é apresentada uma faixa a pedir-lhe para começar a gravar a atividade de utilizador e administrador.
  4. Selecione a faixa Iniciar gravação do utilizador e da atividade de administrador .

A alteração pode demorar até 60 minutos a entrar em vigor.

Utilizar o PowerShell para ativar a auditoria

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o seguinte comando do PowerShell para ativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    É apresentada uma mensagem a indicar que a alteração pode demorar até 60 minutos a entrar em vigor.

Desativar a auditoria

Utilize Exchange Online PowerShell para desativar a auditoria.

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o seguinte comando do PowerShell para desativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. Após algum tempo, verifique se a auditoria está desativada (desativada). Você pode fazer isso de duas maneiras:

    • No Exchange Online PowerShell, execute o seguinte comando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      O valor de False para a propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está desativada.

    • Aceda à página Auditoria no portal do Microsoft Purview.

      Se a auditoria não estiver ativada para a sua organização, uma faixa pede-lhe para começar a gravar a atividade de utilizador e administrador.

Registos de auditoria ao auditar status é alterado

A sua organização faz uma auditoria às alterações à status de auditoria. Este processo audita as alterações à status de auditoria. Os registos de auditoria são registados quando a auditoria está ativada ou desativada. Pode procurar estes registos de auditoria no registo de auditoria do administrador do Exchange.

Para procurar registos de auditoria do administrador do Exchange que são gerados ao ativar ou desativar a auditoria, execute o seguinte comando no Exchange Online PowerShell:

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

Os registos de auditoria para estes eventos contêm informações sobre quando o status de auditoria foi alterado, o administrador que o alterou e o endereço IP do computador que foi utilizado para efetuar a alteração. As capturas de ecrã seguintes mostram registos de auditoria que correspondem à alteração do status de auditoria na sua organização.

Registo de auditoria para Set-AdminAuditLogConfig

Registo de auditoria para alterar a auditoria

Procure o valor de resultado de UnifiedAuditLogIngestionEnabled na propriedade AuditData . Este valor indica se o registo de auditoria unificado foi ativado ou desativado no portal do Microsoft Purview ou ao executar o cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .

Para obter mais informações sobre como procurar no registo de auditoria do administrador do Exchange, veja Search-UnifiedAuditLog.

  • Last updated on