Ativar ou desativar a auditoria
O log de auditoria é ativado por padrão para organizações do Microsoft 365. No entanto, ao configurar uma nova organização do Microsoft 365, você deve verificar o status de auditoria para sua organização. Para obter instruções, consulte a seção Verificar o status de auditoria para sua organização neste artigo.
Quando a auditoria é ativada no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, a atividade de usuário e administrador de sua organização é registrada no log de auditoria e retida automaticamente por 180 dias. A retenção (tempo de vida) para dados de auditoria começa quando ele é adicionado ao log de auditoria e é mantido com base nas políticas de retenção de log de auditoria e na licença atribuída aos usuários.
Importante
O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.
Alterações nas políticas de licenciamento ou retenção do usuário também alteram a data de validade dos dados de auditoria.
Sua organização pode ter motivos para não querer registrar e reter dados de log de auditoria. Nesses casos, um administrador global pode desativar a auditoria no Microsoft 365 para sua organização. Para obter instruções, consulte a seção Desativar auditoria neste artigo.
Importante
Se você desativar a auditoria no Microsoft 365, não poderá usar a API de Atividade de Gerenciamento Office 365 ou o Microsoft Sentinel para acessar dados de auditoria ou logs para sua organização. Desativar a auditoria seguindo as etapas deste artigo significa que nenhum resultado será retornado ao pesquisar o log de auditoria usando o portal ou o portal de conformidade do Microsoft Purview ou quando você executar o cmdlet Pesquisa-UnifiedAuditLog no Exchange Online PowerShell.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Antes de ativar ou desativar a auditoria
Você deve receber a função Logs de Auditoria no Exchange Online para ativar ou desativar a auditoria. Por padrão, essa função é atribuída aos grupos de funções gerenciamento de conformidade e gerenciamento de organização na página Permissões no centro de administração do Exchange.
- Para obter instruções passo a passo sobre como pesquisar o log de auditoria, consulte Pesquisa log de auditoria.
- Para obter mais informações sobre a API de Atividade de Gerenciamento do Microsoft 365, consulte Introdução às APIs de Gerenciamento do Microsoft 365.
Verificar o status de auditoria para sua organização
Para verificar se a auditoria está ativada para sua organização, você pode executar o seguinte comando no Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Um valor da True propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está ativada. Um valor de False indica que a auditoria não está ativada.
Importante
Execute o comando anterior no Exchange Online PowerShell. Embora o cmdlet Get-AdminAuditLogConfig também esteja disponível no Security & Compliance PowerShell, a propriedade UnifiedAuditLogIngestionEnabled é sempre False, mesmo quando a auditoria é ativada.
Ativar a auditoria
Se a auditoria não estiver ativada para sua organização, você poderá ativá-la no portal ou portal de conformidade do Microsoft Purview ou usando Exchange Online PowerShell. Pode levar várias horas após você ativar a auditoria antes de retornar os resultados ao pesquisar o log de auditoria.
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.
Conclua as seguintes etapas para ativar a auditoria:
- Entre no portal do Microsoft Purview.
- Selecione a solução de auditoria cartão. Se a solução auditar cartão não for exibida, selecione Exibir todas as soluções e selecione Auditoria na seção Core.
- Se a auditoria não estiver ativada para sua organização, uma faixa será exibida solicitando que você comece a gravar atividades de usuário e administrador.
- Selecione a faixa iniciar a gravação do usuário e da atividade de administrador .
Pode levar até 60 minutos para que a alteração entre em vigor.
Usar o PowerShell para ativar a auditoria
Execute o comando do PowerShell a seguir para ativar a auditoria.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueUma mensagem é exibida dizendo que pode levar até 60 minutos para que a alteração entre em vigor.
Desativar a auditoria
Você precisa usar Exchange Online PowerShell para desativar a auditoria.
Execute o comando do PowerShell a seguir para desativar a auditoria.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseDepois de um tempo, verifique se a auditoria está desativada (desabilitada). Há duas maneiras de fazer isso:
Em Exchange Online PowerShell, execute o seguinte comando:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledO valor da
Falsepropriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está desativada.Acesse a página Auditoria no portal de conformidade.
Se a auditoria não estiver ativada para sua organização, uma faixa será exibida solicitando que você comece a gravar atividades de usuário e administrador.
Registros de auditoria ao auditar status são alterados
As alterações no status de auditoria em sua organização são auditadas. Isso significa que os registros de auditoria são registrados quando a auditoria é ativada ou desativada. Você pode pesquisar no log de auditoria de administrador do Exchange esses registros de auditoria.
Para pesquisar no log de auditoria de administrador do Exchange os registros de auditoria gerados ao ativar ou desativar a auditoria, execute o seguinte comando no Exchange Online PowerShell:
Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled
Os registros de auditoria desses eventos contêm informações sobre quando o status de auditoria foi alterado, o administrador que o alterou e o endereço IP do computador que foi usado para fazer a alteração. As capturas de tela a seguir mostram registros de auditoria que correspondem à alteração do status de auditoria em sua organização.
Registro de auditoria para ativar a auditoria
O valor da propriedade CmdletParameters indica que o log de auditoria unificado foi ativado no portal ou no portal de Confirm conformidade do Microsoft Purview ou executando o cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true.
Registro de auditoria para desativar auditoria
O valor de Confirm não está incluído na propriedade CmdletParameters . Isso indica que o log de auditoria unificado foi desativado executando o comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .
Para obter mais informações sobre como pesquisar o log de auditoria de administrador do Exchange, consulte Pesquisa-AdminAuditLog.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários