Начало работы с решениями для аудита

Аудит Microsoft Purview (Standard) и аудит (премиум) позволяют искать записи аудита действий, выполняемых пользователями и администраторами в различных службах Майкрософт. Так как аудит (Standard) включен по умолчанию для большинства организаций Microsoft 365, необходимо выполнить всего несколько шагов, прежде чем вы и другие пользователи вашей организации сможете выполнять поиск в журнале аудита. Чтобы использовать функции, доступные только в аудите (премиум), необходимо выполнить несколько дополнительных шагов по настройке.

Дополнительные сведения о возможностях аудита (Standard) и аудита (премиум) см. в статье Решения аудита Microsoft Purview.

Шаг 1. Проверка подписки организации и выставления счетов

Для лицензирования аудита (Standard) и аудита (премиум) требуется соответствующая подписка организации, которая предоставляет доступ к средству поиска по журналам аудита и лицензирование для каждого пользователя, необходимое для ведения журнала и хранения записей аудита.

Когда пользователь или администратор выполняет действие аудита, система создает запись аудита и сохраняет ее в журнале аудита для вашей организации. В разделе Аудит (Standard) и Аудит (Премиум) записи аудита можно хранить и искать в журнале аудита в течение 180 дней.

Важно!

Срок хранения по умолчанию для аудита (Standard) изменился с 90 дней на 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 года или позже, следуют новому сроку хранения по умолчанию— 180 дней.

Список требований к подписке и лицензированию для этих решений аудита см. в разделе Требования к подписке для аудита (Standard) и Аудита (премиум).

Для аудита взаимодействия пользователей с данными ИИ, не связанными с Microsoft 365, которые включают сведения из других приложений на основе искусственного интеллекта от Корпорации Майкрософт и подключенных внешних приложений ИИ, необходимо включить выставление счетов с оплатой по мере использования в организации. Этот тип данных включает Copilot в Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio и любое подключенное или облачное приложение ИИ.

Шаг 2. Назначьте разрешения на поиск в журнале аудита.

Для поиска или экспорта журнала аудита администраторам и членам групп по расследованию должна быть назначена роль "Только просмотр журналов аудита " или "Журналы аудита " на портале Microsoft Purview. По умолчанию на странице Группы ролей на портале Microsoft Purview эти роли назначаются группам ролей Читатель аудита и Диспетчер аудита .

Примечание.

В настоящее время разрешения Центра администрирования Exchange необходимы для включения или отключения аудита и доступа к командлетам аудита. Используйте существующие роли "Журналы аудита " и "Только просмотр журналов аудита " в Центре администрирования Exchange для предоставления доступа к командлетам аудита. Используйте существующую роль журналов аудита в Центре администрирования Exchange, чтобы предоставить доступ к включению или отключению аудита.

Вы также можете создать настраиваемые группы ролей с возможностью поиска в журнале аудита, добавив в настраиваемую группу ролей роли Журналы аудита только для просмотра или Журналы аудита . Дополнительные сведения см. в разделе Разрешения на портале Microsoft Purview.

Примечание.

Для доступа к API Graph аудита поиска требуется настройка дополнительных разрешений в Microsoft Graph. Дополнительные сведения см. в разделе Разрешения в API Graph аудита поиска.

Назначение разрешений область журналам аудита

Для поиска или экспорта журнала аудита администраторы или члены групп расследований должны быть назначены по крайней мере одной из следующих групп ролей, связанных с аудитом, на портале Microsoft Purview:

• Диспетчер аудита. Пользователь, назначенный группе ролей Диспетчер аудита , может искать и экспортировать журнал аудита, а также управлять параметрами аудита для клиента (например, включение или отключение ведения журнала аудита). Эта группа ролей предоставляет пользователю роли "Журналы аудита только просмотр " и "Журналы аудита ".
• Читатель аудита. Пользователь, назначенный группе ролей Читатель аудита , может выполнять только поиск и экспорт журнала аудита. Они не могут включить или отключить ведение журнала аудита. Эта группа ролей предоставляет пользователю роль Журналы аудита только для просмотра .

Шаг 3. Включение событий SearchQueryInitiated

Необходимо явно включить два события (SearchQueryInitiatedExchange и SearchQueryInitiatedSharePoint) для ведения журнала, когда пользователи выполняют поиск в Exchange Online и SharePoint.

Чтобы включить аудит этих двух событий для пользователей, выполните следующий командлет (для каждого пользователя) в Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

В среде с поддержкой нескольких регионов необходимо выполнить команду Set-Mailbox в лесу, в котором находится почтовый ящик пользователя. Чтобы определить расположение почтового ящика пользователя, выполните следующий командлет:

Get-Mailbox <user identity> | FL MailboxLocations

Если ранее вы выполняли командлет для включения аудита поисковых запросов в лесу, который отличается от леса, в котором находится почтовый ящик пользователя, удалите значение SearchQueryInitiated из почтового ящика пользователя. Чтобы удалить значение, выполните команду Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}. Затем добавьте его в почтовый ящик пользователя в лесу, где находится почтовый ящик пользователя.

Примечание.

Эти командлеты PowerShell допустимы только для событий SearchQueryInitiated и не применяются к другим событиям в журнале аудита.

Шаг 4. Настройка аудита (премиум) для пользователей

Совет

Организации, использующие аудит (Standard), могут пропустить этот шаг.

Функции аудита (премиум), такие как возможность ведения журнала интеллектуальной аналитики, требуют соответствующей лицензии E5, назначенной пользователям. Кроме того, необходимо включить план "Расширенный аудит" для этих пользователей.

Чтобы включить план службы "Расширенный аудит" для пользователей, выполните следующие действия для каждого пользователя:

1. В Центр администрирования Microsoft 365 выберите Пользователи>Активные пользователи и выберите пользователя.
2. На всплывающей странице свойств пользователя выберите Лицензии и приложения.
3. В разделе Лицензии убедитесь, что пользователю назначена лицензия E5 или назначена соответствующая лицензия надстройки. Список лицензий, поддерживающих аудит (премиум), см. в разделе Требования к лицензированию аудита.
4. Разверните раздел Приложения и установите флажок Расширенный аудит Microsoft 365 .
5. Нажмите Сохранить изменения. Ведение журнала аналитических сведений аудита (премиум) начинается в течение 24 часов.

При настройке действий почтового ящика, зарегистрированных в почтовых ящиках пользователей или общих почтовых ящиках, новые события аудита (премиум), выпущенные корпорацией Майкрософт, не будут автоматически проверяться в этих почтовых ящиках. Сведения об изменении действий с почтовыми ящиками, аудит которых проводится для каждого типа входа, см. в разделе "Изменение или восстановление действий с почтовыми ящиками, зарегистрированных по умолчанию" статьи Управление аудитом почтовых ящиков.

Шаг 5. Настройка политик хранения аудита в разделе Аудит (премиум)

Совет

Организации, использующие аудит (Standard), могут пропустить этот шаг.

В дополнение к политике по умолчанию, которая хранит записи аудита Microsoft Entra ID, Exchange, OneDrive и SharePoint в течение одного года, организации, использующие аудит (премиум), могут создавать политики хранения журналов аудита в соответствии с требованиями операций безопасности, ИТ-отделов и групп соответствия требованиям вашей организации.

Дополнительные сведения см. в статье Управление политиками хранения журнала аудита.

Шаг 6. Поиск событий аудита

Теперь, когда для вашей организации настроен аудит (Standard) или аудит (премиум), вы можете выполнить поиск по журналу аудита на портале Microsoft Purview. Подробные рекомендации см. в разделе Поиск в журнале аудита.