Aktivera eller inaktivera granskningar
Granskningsloggning är som standard aktiverat för Microsoft 365 och Office 365 Enterprise-organisationer. När du konfigurerar en ny Microsoft 365- eller Office 365-organisation bör du dock kontrollera granskningsstatusen för din organisation. Anvisningar finns i avsnittet Verifiera granskningsstatus för din organisation i den här artikeln.
När granskning i efterlevnadsportal i Microsoft Purview aktiveras registreras användar- och administratörsaktiviteten från din organisation i granskningsloggen och behålls i 90 dagar och upp till ett år beroende på vilken licens som tilldelats användarna. Din organisation kan dock ha skäl till att inte vilja registrera och behålla granskningsloggdata. I sådana fall kan en global administratör välja att inaktivera granskning i Microsoft 365.
Viktigt
Om du inaktiverar granskning i Microsoft 365 kan du inte använda API:et Office 365 Management Activity eller Microsoft Sentinel för att komma åt granskningsdata för din organisation. Om du inaktiverar granskning genom att följa stegen i den här artikeln returneras inga resultat när du söker i granskningsloggen med hjälp av efterlevnadsportalen eller när du kör cmdleten Search-UnifiedAuditLog i Exchange Online PowerShell. Det innebär också att granskningsloggar inte är tillgängliga via API:et för Office 365 Management Activity eller Microsoft Sentinel.
Tips
Om du inte är en E5-kund kan du använda den 90 dagar långa utvärderingsversionen av Microsoft Purview-lösningar för att utforska hur ytterligare Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.
Innan du aktiverar eller inaktiverar granskning
Du måste tilldelas rollen Granskningsloggar i Exchange Online för att aktivera eller inaktivera granskning i din Microsoft 365-organisation. Som standard tilldelas den här rollen rollgrupperna Efterlevnadshantering och Organisationshantering på sidan Behörigheter i administrationscentret för Exchange. Globala administratörer i Microsoft 365 är medlemmar i rollgruppen *Organisationshantering i Exchange Online.
Obs!
Användare måste tilldelas behörigheter i Exchange Online för att aktivera eller inaktivera granskning. Om du tilldelar användare rollen Granskningsloggar på sidan Behörigheter i efterlevnadsportalen kan de inte aktivera eller inaktivera granskning. Det beror på att den underliggande cmdleten är en Exchange Online PowerShell-cmdlet.
Stegvisa instruktioner om hur du söker i granskningsloggen finns i Sök i granskningsloggen.
Mer information om Microsoft 365 Management Activity API finns i Komma igång med Microsoft 365 Management API:er.
Kontrollera granskningsstatusen för din organisation
Om du vill kontrollera att granskning är aktiverat för din organisation kan du köra följande kommando i Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Värdet True
för egenskapen UnifiedAuditLogIngestionEnabled anger att granskning är aktiverat. Värdet False
anger att granskning inte är aktiverat.
Viktigt
Se till att köra föregående kommando i Exchange Online PowerShell. Även om cmdleten Get-AdminAuditLogConfig också är tillgänglig i PowerShell för säkerhetsefterlevnad & är egenskapen UnifiedAuditLogIngestionEnabled alltid False
, även när granskning är aktiverat.
Aktivera granskning
Om granskning inte är aktiverat för din organisation kan du aktivera det i efterlevnadsportalen eller med hjälp av Exchange Online PowerShell. Det kan ta flera timmar efter att du har aktiverat granskning innan du kan returnera resultat när du söker i granskningsloggen.
Använda efterlevnadsportalen för att aktivera granskning
I efterlevnadsportal i Microsoft Purview på https://compliance.microsoft.comgår du till Lösningsgranskning>. Om du vill gå direkt till sidan Granskning använder du https://compliance.microsoft.com/auditlogsearch.
Om granskning inte är aktiverat för din organisation visas en banderoll där du uppmanas att börja spela in användar- och administratörsaktivitet.
Välj banderollen Starta inspelning av användare och administratörsaktivitet .
Det kan ta upp till 60 minuter innan ändringen börjar gälla.
Använda PowerShell för att aktivera granskning
Kör följande PowerShell-kommando för att aktivera granskning.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Ett meddelande visas som säger att det kan ta upp till 60 minuter innan ändringen börjar gälla.
Inaktivera granskning
Du måste använda Exchange Online PowerShell för att inaktivera granskning.
Kör följande PowerShell-kommando för att inaktivera granskning.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Efter ett tag kontrollerar du att granskning är inaktiverat (inaktiverat). Du kan göra det på två sätt:
Kör följande kommando i Exchange Online PowerShell:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Värdet
False
för egenskapen UnifiedAuditLogIngestionEnabled anger att granskning är inaktiverat.Gå till sidan Granskning i efterlevnadsportalen.
Om granskning inte är aktiverat för din organisation visas en banderoll där du uppmanas att börja spela in användar- och administratörsaktivitet.
Granska poster när granskningsstatus ändras
Ändringar av granskningsstatusen i din organisation granskas själva. Det innebär att granskningsposter loggas när granskning är aktiverat eller inaktiverat. Du kan söka i granskningsloggen för Exchange-administratören efter dessa granskningsposter.
Om du vill söka i granskningsloggen för Exchange-administratören efter granskningsposter som genereras när granskning aktiveras eller inaktiveras kör du följande kommando i Exchange Online PowerShell:
Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled
Granskningsposter för dessa händelser innehåller information om när granskningsstatusen ändrades, administratören som ändrade den och IP-adressen för den dator som användes för att göra ändringen. Följande skärmbilder visar granskningsposter som motsvarar ändring av granskningsstatus i din organisation.
Granskningspost för att aktivera granskning
Värdet Confirm
för i egenskapen CmdletParameters anger att enhetlig granskningsloggning har aktiverats i efterlevnadsportalen eller genom att köra cmdleten Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .
Granskningspost för att stänga av granskning
Värdet för Confirm
ingår inte i egenskapen CmdletParameters . Detta anger att enhetlig granskningsloggning stängdes av genom att köra kommandot Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .
Mer information om hur du söker i granskningsloggen för Exchange-administratör finns i Search-AdminAuditLog.