Включение и отключение аудита

Ведение журнала аудита включено по умолчанию для организаций Microsoft 365. Однако при настройке новой организации Microsoft 365 необходимо проверить состояние аудита вашей организации. Инструкции см. в разделе Проверка состояния аудита для вашей организации этой статьи.

Если аудит включен на портале Microsoft Purview или в Портал соответствия требованиям Microsoft Purview, действия пользователей и администраторов из вашей организации записываются в журнал аудита и автоматически сохраняются в течение 180 дней. Хранение (время существования) для данных аудита начинается, когда они добавляются в журнал аудита и хранятся на основе политик хранения журнала аудита и лицензии, назначенной пользователям.

Важно!

Срок хранения по умолчанию для аудита (Standard) изменился с 90 до 180 дней. Журналы аудита (Standard), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (Standard), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Изменения в политиках лицензирования или хранения пользователей также изменяют дату окончания срока действия данных аудита.

У вашей организации могут быть причины, по которым не требуется записывать и хранить данные журнала аудита. В таких случаях глобальный администратор может отключить аудит в Microsoft 365 для вашей организации. Инструкции см. в разделе Отключение аудита этой статьи.

Важно!

Если вы отключите аудит в Microsoft 365, вы не сможете использовать API действий управления Office 365 или Microsoft Sentinel для доступа к данным аудита или журналам вашей организации. Отключение аудита, выполнив действия, описанные в этой статье, означает, что результаты не возвращаются при поиске в журнале аудита с помощью портала Microsoft Purview или портала соответствия требованиям, а также при выполнении командлета Search-UnifiedAuditLog в Exchange Online PowerShell.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед включением или отключением аудита

Вам должна быть назначена роль Журналы аудита в Exchange Online, чтобы включить или отключить аудит. По умолчанию эта роль назначается группам ролей "Управление соответствием требованиям" и "Управление организацией " на странице "Разрешения" в Центре администрирования Exchange.

• Пошаговые инструкции по поиску в журнале аудита см. в разделе Поиск в журнале аудита.
• Дополнительные сведения об API действий управления Microsoft 365 см. в статье Начало работы с API управления Microsoft 365.

Проверка состояния аудита для организации

Чтобы убедиться, что аудит включен для вашей организации, можно выполнить следующую команду в Exchange Online PowerShell:

PowerShell

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Значение True свойства UnifiedAuditLogIngestionEnabled указывает, что аудит включен. Значение False указывает, что аудит не включен.

Важно!

Не забудьте выполнить предыдущую команду в Exchange Online PowerShell. Хотя командлет Get-AdminAuditLogConfig также доступен в PowerShell по обеспечению соответствия безопасности &, свойство UnifiedAuditLogIngestionEnabled всегда Falseимеет значение , даже если аудит включен.

Включение аудита

Если аудит не включен для вашей организации, его можно включить на портале Microsoft Purview или на портале соответствия требованиям, а также с помощью Exchange Online PowerShell. После включения аудита может потребоваться несколько часов, прежде чем вы сможете вернуть результаты при поиске в журнале аудита.

Выберите соответствующую вкладку для используемого портала. В зависимости от плана Microsoft 365 Портал соответствия требованиям Microsoft Purview будет прекращена или будет прекращена в ближайшее время.

Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

Чтобы включить аудит, выполните следующие действия.

1. Войдите на портал Microsoft Purview.
2. Выберите карта решение аудит. Если карта Решение аудита не отображается, выберите Просмотреть все решения, а затем выберите Аудит в разделе Основные.
3. Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
4. Выберите баннер Начать запись действий пользователей и администраторов .

Чтобы изменения вступают в силу, может потребоваться до 60 минут.

Портал соответствия требованиям

Чтобы включить аудит, выполните следующие действия.

1. В Портал соответствия требованиям Microsoft Purview по адресу https://compliance.microsoft.comвыберите Аудит решений>. Или, чтобы перейти непосредственно на страницу Аудит , используйте https://compliance.microsoft.com/auditlogsearch.
2. Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.
3. Выберите баннер Начать запись действий пользователей и администраторов .

Чтобы изменения вступают в силу, может потребоваться до 60 минут.

Включение аудита с помощью PowerShell

1. Подключение к Exchange Online PowerShell.

2. Выполните следующую команду PowerShell, чтобы включить аудит.

   PowerShell

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
   

   Появится сообщение о том, что изменение может занять до 60 минут.

Отключение аудита

Для отключения аудита необходимо использовать Exchange Online PowerShell.

1. Подключение к Exchange Online PowerShell.

2. Выполните следующую команду PowerShell, чтобы отключить аудит.

   PowerShell

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
   

3. Через некоторое время убедитесь, что аудит отключен (отключен). Это можно сделать двумя способами:

   • В Exchange Online PowerShell выполните следующую команду:

     PowerShell

     Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
     

     Значение False свойства UnifiedAuditLogIngestionEnabled указывает, что аудит отключен.

   • Перейдите на страницу Аудит на портале соответствия требованиям.

     Если аудит не включен для вашей организации, отобразится баннер с предложением начать запись действий пользователей и администраторов.

Записи аудита при изменении состояния аудита

Изменения состояния аудита в организации сами по себе проверяются. Это означает, что записи аудита регистрируются при включении или отключении аудита. Эти записи аудита можно найти в журнале аудита администратора Exchange.

Чтобы найти в журнале аудита администратора Exchange записи аудита, которые создаются при включении или отключении аудита, выполните следующую команду в Exchange Online PowerShell:

PowerShell

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

Записи аудита для этих событий содержат сведения о том, когда было изменено состояние аудита, администратор, который изменил его, и IP-адрес компьютера, который использовался для изменения. На следующих снимках экрана показаны записи аудита, соответствующие изменению состояния аудита в организации.

Запись аудита для Set-AdminAuditLogConfig

Найдите значение UnifiedAuditLogIngestionEnabled результата в свойстве AuditData , которое указывает, было ли включено или отключено единое ведение журнала аудита на портале Microsoft Purview или на портале соответствия требованиям, или путем выполнения командлета Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .

Дополнительные сведения о поиске в журнале аудита администратора Exchange см. в разделе Search-UnifiedAuditLog.