開啟或關閉稽核

Microsoft 365 組織預設會開啟稽核記錄。 不過，設定新的 Microsoft 365 組織時，您應該確認組織的稽核狀態。 如需指示，請參閱本文中的 驗證貴組織的稽核狀態 一節。

在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中開啟稽核時，組織的使用者和系統管理員活動會記錄在稽核記錄中，並自動保留 180 天。 稽核數據的保留 (存留期) 會在稽核數據新增至稽核記錄時開始，並根據 稽核記錄保留 原則和指派給使用者的授權來保留。

重要事項

稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。

用戶授權或保留原則的變更也會變更稽核數據的到期日。

您的組織可能有不想記錄和保留稽核記錄數據的原因。 在這些情況下，全域系統管理員可以為您的組織關閉 Microsoft 365 中的稽核。 如需指示，請參閱本文中的 關閉稽核 一節。

重要事項

如果您在 Microsoft 365 中關閉稽核，就無法使用 Office 365 管理活動 API 或 Microsoft Sentinel 來存取組織的稽核數據或記錄。 依照本文中的步驟關閉稽核，表示當您使用 Microsoft Purview 入口網站或合規性入口網站搜尋稽核記錄，或在 Exchange Online PowerShell 中執行 搜尋-UnifiedAuditLog Cmdlet 時，不會傳回任何結果。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

開啟或關閉稽核之前

您必須在 Exchange Online 中獲指派稽核記錄角色，才能開啟或關閉稽核。 根據預設，此角色會指派給 Exchange 系統管理中心 [許可權] 頁面上的 [合規性管理] 和 [組織管理] 角色群組。

• 如需搜尋稽核記錄的逐步指示，請參閱 搜尋 稽核記錄。
• 如需 Microsoft 365 管理活動 API 的詳細資訊，請參閱 開始使用 Microsoft 365 管理 API。

確認組織的稽核狀態

若要確認已為您的組織開啟稽核，您可以在 Exchange Online PowerShell 中執行下列命令：

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled 屬性的 True 值表示已開啟稽核。 的 False 值表示稽核未開啟。

重要事項

請務必在 Exchange Online PowerShell 中執行先前的命令。 雖然 Get-AdminAuditLogConfig Cmdlet 也可在 Security & Compliance PowerShell 中使用，但 UnifiedAuditLogIngestionEnabled 属性一律 False為 ，即使開啟稽核也一樣。

開啟稽核

如果您的組織未開啟稽核，您可以在 Microsoft Purview 入口網站或合規性入口網站中，或使用 Exchange Online PowerShell 來開啟稽核。 開啟稽核后可能需要數小時的時間，您才能在搜尋稽核記錄檔時傳回結果。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

完成下列步驟以開啟稽核：

1. 登入 Microsoft Purview 入口網站。
2. 選取 [ 稽核 解決方案] 卡片。 如果未顯示稽核解決方案卡片，請選取 [檢視所有解決方案]，然後從 [核心] 區段選取 [稽核]。
3. 如果未為您的組織開啟稽核，則會顯示橫幅，提示您開始錄製使用者和系統管理員活動。
4. 選取 [開始錄製使用者和系統管理員活動 ] 橫幅。

變更最多可能需要 60 分鐘才會生效。

合規性入口網站

完成下列步驟以開啟稽核：

1. 在 的 Microsoft Purview 合規性入口網站 https://compliance.microsoft.com中，移至 [解決方案>稽核]。 或者，若要直接移至 [稽核 ] 頁面，請使用 https://compliance.microsoft.com/auditlogsearch。
2. 如果未為您的組織開啟稽核，則會顯示橫幅，提示您開始錄製使用者和系統管理員活動。
3. 選取 [開始錄製使用者和系統管理員活動 ] 橫幅。

變更最多可能需要 60 分鐘才會生效。

使用 PowerShell 開啟稽核

1. 連線至 Exchange Online PowerShell。

2. 執行下列 PowerShell 命令以開啟稽核。

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
   

   顯示訊息，指出變更最多可能需要 60 分鐘才會生效。

關閉稽核

您必須使用 Exchange Online PowerShell 來關閉稽核。

1. 連線至 Exchange Online PowerShell。

2. 執行下列 PowerShell 命令以關閉稽核。

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
   

3. 一段時間之後，請確認稽核已關閉 (停用) 。 執行這項作業的方法有兩種：

   • 在 Exchange Online PowerShell 中，執行下列命令：

     Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
     

     UnifiedAuditLogIngestionEnabled 屬性的 False 值表示稽核已關閉。

   • 移至合規性入口網站中的 [ 稽 核] 頁面。

     如果未為您的組織開啟稽核，則會顯示橫幅，提示您開始錄製使用者和系統管理員活動。

稽核狀態變更時的稽核記錄

系統會稽核貴組織中稽核狀態的變更。 這表示稽核記錄會在開啟或關閉稽核時記錄。 您可以在 Exchange 系統管理員稽核記錄中搜尋這些稽核記錄。

若要在 Exchange 系統管理員稽核記錄中搜尋開啟或關閉稽核時產生的稽核記錄，請在 Exchange Online PowerShell 中執行下列命令：

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

這些事件的稽核記錄包含稽核狀態變更的相關信息、變更該事件的系統管理員，以及用來進行變更之計算機的IP位址。 下列螢幕快照顯示與變更組織中的稽核狀態相對應的稽核記錄。

開啟稽核的稽核記錄

CmdletParameters 屬性中的 值Confirm表示已在 Microsoft Purview 入口網站或合規性入口網站中開啟統一稽核記錄，或執行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true Cmdlet。

關閉稽核的稽核記錄

的值 Confirm 不包含在 CmdletParameters 屬性中。 這表示已藉由執行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false 命令來關閉整合稽核記錄。

如需搜尋 Exchange 系統管理員稽核記錄的詳細資訊，請參閱 搜尋-AdminAuditLog。