审核解决方案入门

  • 项目

Microsoft Purview 审核 (标准) 和审核 (高级版) ,可以搜索用户和管理员在不同 Microsoft 365 服务中执行的活动的审核记录。 由于大多数 Microsoft 365 组织默认启用了审核 (标准版) ,因此在完成之前只需执行一些操作,组织中的其他人可以搜索审核日志。 还需要完成一些配置步骤才能使用仅在审核 (Premium) 中提供的功能。

有关审核 (标准) 和审核 (高级版) 功能的详细信息,请参阅 Microsoft Purview 审核解决方案

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

步骤 1:验证组织订阅和用户许可

审核 (Standard) 和 Audit (Premium) 的许可需要适当的组织订阅,该订阅提供对审核日志搜索工具的访问权限,以及记录和保留审核记录所需的每个用户许可。

当用户或管理员执行审核活动时,将生成审核记录并将其存储在组织的审核日志中。 在“审核 (标准) 和审核 (高级) ”中,审核记录将保留并在审核日志中搜索 180 天。

重要

Audit (Standard) 的默认保留期已从 90 天更改为 180 天。 审核 (2023 年 10 月 17 日之前生成的标准) 日志将保留 90 天。 审核 (2023 年 10 月 17 日或之后生成的标准) 日志遵循新的默认保留期 180 天。

有关这些审核解决方案的订阅和许可要求列表,请参阅审核 (标准版) 和审核 (高级版) 的 订阅要求

步骤 2:分配搜索审核日志的权限

必须在 Microsoft Purview 门户或Microsoft Purview 合规门户中为管理员和调查团队的成员分配“仅查看审核日志”或“审核日志”角色,才能搜索或导出审核日志。 默认情况下,这些角色将分配给 Microsoft Purview 门户中“角色组”页上的“审核读取者”和“审核管理员”角色组,以及合规性门户中的“权限”页。

注意

若要启用或禁用审核以及审核 cmdlet 的访问权限,当前需要 Exchange 管理中心的权限。 使用 Exchange 管理中心中的现有 审核日志仅查看审核日志 角色授予对审核 cmdlet 的访问权限。 使用 Exchange 管理中心中的现有 审核日志 角色授予启用或禁用审核的访问权限。

还可以通过将 “仅查看 审核日志”或“ 审核 日志”角色添加到自定义角色组来创建能够搜索审核日志的自定义角色组。 有关详细信息,请参阅 Microsoft Purview 合规门户中的权限

分配权限以限定审核日志的范围

若要搜索或导出审核日志,必须在 Microsoft Purview 门户或合规性门户中将管理员或调查团队的成员至少分配到以下与审核相关的角色组之一:

  • 审核管理员:分配给 审核管理员 角色组的用户可以搜索和导出审核日志,并管理租户 (的审核设置,例如启用或禁用审核日志记录) 。 此角色组向用户授予 “仅查看审核日志 ”和“ 审核日志” 角色。
  • 审核读取者:分配给 审核读取者 角色组的用户只能搜索和导出审核日志。 他们无法启用或禁用审核日志记录。 此角色组向用户授予 “仅查看审核日志” 角色。

步骤 3:为用户设置审核 (Premium)

提示

使用审核 (标准版) 的组织可以跳过此步骤。

审核 (Premium) 功能(例如,记录 MailItemsAccessedSend 等智能见解的功能)需要向用户分配适当的 E5 许可证。 此外,必须为这些用户启用“高级审核”应用程序/服务计划。

若要验证高级审核应用是否已分配给用户,请为每个用户完成以下步骤:

  1. 在Microsoft 365 管理中心中,转到“活动用户>,然后选择一个用户。

  2. 在“用户属性”浮出控件页上,选择“ 许可证和应用”。

  3. “许可证 ”部分中,验证是否为用户分配了 E5 许可证或是否分配了相应的附加许可证。 有关支持审核 (Premium) 的许可证列表,请参阅 审核许可要求

  4. 展开“应用程序”部分,并验证是否选中了“Microsoft 365 高级审核”复选框。

  5. 如果未选中该复选框,请选中它,然后选择“ 保存更改”。

    MailItemsAccessedSend 的审核记录的日志记录在 24 小时内开始。 必须执行步骤 2 才能开始记录其他两个 Audit (Premium) 事件: SearchQueryInitiatedExchangeSearchQueryInitiatedSharePoint

此外,如果你已自定义登录用户邮箱或共享邮箱的邮箱操作,则 Microsoft 发布的任何新审核 (Premium) 事件都不会在这些邮箱上自动审核。 有关更改为每个登录类型审核的邮箱操作的信息,请参阅管理邮箱审核中的“更改或还原默认记录的邮箱操作”部分。

步骤 4:启用审核 (Premium) 事件

提示

使用审核 (标准版) 的组织可以跳过此步骤。

当用户在 Exchange Online 和 SharePoint Online 中执行搜索时,必须启用两个 Audit (Premium) 事件, (SearchQueryInitiatedExchangeSearchQueryInitiatedSharePoint) 记录。

若要为用户启用审核这两个事件,请在 Exchange Online PowerShell 中为每个用户 () 运行以下命令:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

在多地理环境中,必须在用户邮箱所在的林中运行 Set-Mailbox 命令。 若要确定用户的邮箱位置,请运行以下命令:

Get-Mailbox <user identity> | FL MailboxLocations

如果用于启用搜索查询审核的命令以前在与用户邮箱所在的林不同的林中运行,则必须通过运行 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} ,从用户邮箱中删除 SearchQueryInitiated 值,然后将其添加到用户邮箱所在的林中的用户邮箱。

步骤 5:在审核 (高级版) 中设置审核保留策略

提示

使用审核 (标准版) 的组织可以跳过此步骤。

除了将Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 审核记录保留一年的默认策略外,使用审核 (高级版) 的组织还可以创建审核日志保留策略,以满足组织安全运营、IT 和合规性团队的要求。

有关详细信息,请参阅管理审核日志保留策略

步骤 6:已审核事件的搜索

现在,你已为组织配置了 Audit (Standard) 或 Audit (Premium) ,现在可以在Microsoft Purview 合规门户中搜索审核日志了。 有关详细指导,请参阅搜索审核日志