打开或关闭审核

默认情况下，Microsoft 365 组织的审核日志记录处于打开状态。 但是，在设置新的 Microsoft 365 组织时，应验证组织的审核状态。 有关说明，请参阅本文 中的验证组织的审核状态 部分。

在 Microsoft Purview 门户或Microsoft Purview 合规门户中启用审核时，组织中的用户和管理员活动将记录在审核日志中，并自动保留 180 天。 审核数据的保留 (生存期) 在添加到审核日志时开始，并根据 审核日志保留策略 和分配给用户的许可证进行保留。

重要

Audit (Standard) 的默认保留期已从 90 天更改为 180 天。 审核 (2023 年 10 月 17 日之前生成的标准) 日志将保留 90 天。 审核 (2023 年 10 月 17 日或之后生成的标准) 日志遵循新的默认保留期 180 天。

对用户许可或保留策略的更改也会更改审核数据的到期日期。

你的组织可能有理由不想记录和保留审核日志数据。 在这些情况下，全局管理员可以在 Microsoft 365 中为组织关闭审核。 有关说明，请参阅本文中的 关闭审核 部分。

重要

如果在 Microsoft 365 中关闭审核，则无法使用Office 365管理活动 API 或Microsoft Sentinel访问组织的审核数据或日志。 按照本文中的步骤关闭审核意味着，使用 Microsoft Purview 门户或合规性门户搜索审核日志时，或者在 PowerShell Exchange Online 运行 Search-UnifiedAuditLog cmdlet 时，不会返回任何结果。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

在打开或关闭审核之前

必须在 Exchange Online 中分配审核日志角色才能打开或关闭审核。 默认情况下，此角色分配给 Exchange 管理中心“权限”页上的“合规性管理和组织管理”角色组。

• 有关搜索审核日志的分步说明，请参阅 搜索审核日志。
• 有关 Microsoft 365 管理活动 API 的详细信息，请参阅 Microsoft 365 管理 API 入门。

验证组织的审核状态

若要验证是否已为组织启用审核，可以在 PowerShell Exchange Online 运行以下命令：

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled 属性的值True指示审核已打开。 值 指示 False 未启用审核。

重要

请务必在 Exchange Online PowerShell 中运行上一个命令。 尽管安全性 & 合规性 PowerShell 中也提供了 Get-AdminAuditLogConfig cmdlet，但 UnifiedAuditLogIngestionEnabled 属性始终 False为 ，即使审核处于打开状态也是如此。

启用审核

如果未为组织启用审核，则可以在 Microsoft Purview 门户或合规性门户中或使用 Exchange Online PowerShell 启用审核。 启用审核后，可能需要几个小时才能在搜索审核日志时返回结果。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

完成以下步骤以启用审核：

1. 登录到 Microsoft Purview 门户。
2. 选择“审核解决方案”卡。 如果未显示“审核解决方案卡，请选择”查看所有解决方案“，然后从”核心“部分选择”审核”。
3. 如果未为组织启用审核，则会显示一个横幅，提示你开始记录用户和管理员活动。
4. 选择 “开始录制用户和管理员活动 ”横幅。

更改可能需要长达 60 分钟才能生效。

合规性门户

完成以下步骤以启用审核：

1. 在 Microsoft Purview 合规门户 中https://compliance.microsoft.com，转到“解决方案>审核”。 或者，若要直接转到 “审核 ”页，请使用 https://compliance.microsoft.com/auditlogsearch。
2. 如果未为组织启用审核，则会显示一个横幅，提示你开始记录用户和管理员活动。
3. 选择 “开始录制用户和管理员活动 ”横幅。

更改可能需要长达 60 分钟才能生效。

使用 PowerShell 启用审核

1. 连接到 Exchange Online PowerShell。

2. 运行以下 PowerShell 命令以启用审核。

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
   

   将显示一条消息，指出更改可能需要长达 60 分钟才能生效。

关闭审核

必须使用 Exchange Online PowerShell 关闭审核。

1. 连接到 Exchange Online PowerShell。

2. 运行以下 PowerShell 命令以关闭审核。

   Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
   

3. 一段时间后，验证审核是否已关闭 (禁用) 。 可以通过两种方式来执行此操作：

   • 在 Exchange Online PowerShell 中运行以下命令：

     Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
     

     UnifiedAuditLogIngestionEnabled 属性的值False指示审核已关闭。

   • 转到合规性门户中的 “审核 ”页。

     如果未为组织启用审核，则会显示一个横幅，提示你开始记录用户和管理员活动。

审核状态更改时的审核记录

对组织中审核状态的更改本身会进行审核。 这意味着在打开或关闭审核时会记录审核记录。 可以在 Exchange 管理员审核日志中搜索这些审核记录。

若要在 Exchange 管理员审核日志中搜索打开或关闭审核时生成的审核记录，请在 Exchange Online PowerShell 中运行以下命令：

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

这些事件的审核记录包含有关审核状态更改时间、更改审核状态的管理员以及用于进行更改的计算机的 IP 地址的信息。 以下屏幕截图显示了与更改组织中的审核状态相对应的审核记录。

用于启用审核的审核记录

CmdletParameters 属性中的 值Confirm指示已在 Microsoft Purview 门户或合规性门户中或通过运行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true cmdlet 启用统一审核日志记录。

用于关闭审核的审核记录

的值 Confirm 不包含在 CmdletParameters 属性中。 这表示通过运行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false 命令关闭了统一审核日志记录。

有关搜索 Exchange 管理员审核日志的详细信息，请参阅 Search-UnifiedAuditLog。