在 Microsoft Teams 中搜尋活動的稽核記錄
重要事項
Microsoft Teams 系統管理中心會逐漸取代 商務用 Skype 系統管理中心,而我們會將 Teams 設定從 Microsoft 365 系統管理中心 移轉至該系統管理中心。 如果已移轉設定,您會看到通知,然後被導向至Teams系統管理中心的設定位置。 如需詳細資訊,請 參閱在轉換至Teams系統管理中心期間管理Teams。
稽核記錄可協助您調查跨Microsoft服務的特定活動。 針對 Microsoft Teams,以下是一些已稽核的活動:
- 團隊建立
- 團隊刪除
- 新增頻道
- 已刪除頻道
- 已變更的頻道設定
如需已稽核的 Teams 活動完整清單,請參閱 稽核記錄中的 Teams 活動。
注意事項
也會記錄來自私人頻道的稽核事件,因為其適用於小組和標準頻道。
在 Teams 中開啟稽核
您必須先在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中開啟稽核,才能查看稽核數據。 如需詳細資訊, 請參閱開啟或關閉稽核。
重要事項
只有當您開啟稽核時,才能使用稽核數據。
從稽核記錄中擷取 Teams 資料
若要擷取 Teams 活動的稽核記錄,請使用 Microsoft Purview 入口網站或合規性入口網站。 如需逐步指示,請 參閱搜尋稽核記錄。
重要事項
只有在開啟稽核時,稽核數據才會顯示在稽核記錄中。
稽核記錄保留並可在稽核記錄中搜尋的時間長度取決於您的Microsoft 365 或 Office 365 訂用帳戶,特別是指派給使用者的授權類型。 若要深入瞭解,請 參閱安全性 & 合規性中心服務說明。
搜尋稽核記錄的祕訣
以下是在稽核記錄中搜尋Teams活動的秘訣。
按一或多個活動旁邊的複選框,即可選取要搜尋的特定活動。 如果已選取活動,您可以按一下它以取消選取。 您也可以使用搜尋方塊顯示含有您輸入的關鍵字之活動。
若要顯示使用 Cmdlet 執行之活動的事件,請選取 [活動] 清單中所有活動的 [顯示結果]。 如果您知道這些活動的作業名稱,請在搜尋方塊中輸入它以顯示活動,然後選取它。
若要清除目前的搜尋準則,請選取 [ 全部清除]。 日期範圍會回到過去七天的預設值。
如果找到 5,000 個結果,您可能可以假設有超過 5,000 個符合搜尋準則的結果。 您可以精簡搜尋準則,然後重新執行搜尋以傳回較少的結果,也可以選>取 [匯出下載所有結果] 來匯出所有搜尋結果。 如需匯出稽核記錄的逐步指示,請參閱 搜尋稽核記錄。
請參閱 這段影片 以使用音訊記錄搜尋。 加入 Teams 計劃經理 Ansuman Acharya,他示範如何執行 Teams 的稽核記錄搜尋。
Teams 活動
如需在 Microsoft 365 稽核記錄中針對 Teams 中使用者和系統管理活動記錄的所有事件清單,請參閱:
Office 365 管理活動 API
您可以使用 Office 365 管理活動 API 來擷取 Teams 事件的相關信息。 若要深入瞭解 Teams 的管理活動 API 架構,請參閱 Teams 架構。
Teams 稽核記錄中的屬性
Teams (的成員資格變更,例如透過 Microsoft Entra ID、Microsoft 365 系統管理入口網站或 Microsoft 365 群組 圖形 API 新增或刪除) 的使用者,都會出現在Teams稽核訊息和 [一般] 頻道中,其中具有現有小組擁有者的屬性,而不是動作的實際啟動者。 在這些案例中,請參閱 Microsoft Entra ID 或Microsoft 365 群組稽核記錄,以查看相關信息。
使用 Defender for Cloud Apps 設定活動原則
使用 Microsoft Defender for Cloud Apps整合,您可以設定活動原則,以使用應用程式提供者的 API 強制執行各種自動化程式。 這些原則可讓您監視各種使用者所執行的特定活動,或遵循某一種特定活動類型的非預期高比率。
設定活動偵測原則之後,它會開始產生警示。 警示只會在您建立原則之後發生的活動上產生。 以下是一些範例案例,說明如何在 Defender for Cloud Apps 中使用活動原則來監視 Teams 活動。
外部使用者案例
從商務觀點來看,您可能想要留意的其中一個案例是將外部使用者新增至您的Teams環境。 如果已啟用外部使用者,監視其存在是不錯的主意。 您可以使用 Defender for Cloud Apps 來識別潛在威脅。
此原則的螢幕快照,用來監視新增外部使用者,可讓您命名原則、根據您的業務需求設定嚴重性、將它設定為 (在此案例中) 單一活動,然後建立參數,專門監視非互連使用者的新增,並將此活動限制為 Teams。
您可以在活動記錄中檢視此原則的結果:
您可以在這裡檢閱與您已設定之原則的相符專案,並視需要進行任何調整,或匯出結果以在其他地方使用。
大量刪除案例
如先前所述,您可以監視刪除案例。 您可以建立可監視大量刪除 Teams 網站的原則。 在此範例中,會設定以警示為基礎的原則,以偵測在30分鐘內大量刪除小組。
如螢幕快照所示,您可以為此原則設定許多不同的參數,以監視Teams刪除,包括嚴重性、單一或重複的動作,以及限制為Teams和網站刪除的參數。 這可以獨立於範本來完成,或者您可能會根據組織需求建立範本來根據此原則。
建立適用於您企業的原則之後,您可以在觸發事件時檢閱活動記錄中的結果:
您可以向下篩選至您已設定的原則,以查看該原則的結果。 如果您在活動記錄中取得的結果並不令人滿意, (您可能看到許多結果,或完全) 沒有任何結果,這可能會協助您微調查詢,使其與您需要執行的作業更相關。
警示和治理案例
您可以設定警示,並在觸發活動原則時傳送電子郵件給系統管理員和其他使用者。 您可以設定自動化治理動作,例如暫停使用者或讓使用者以自動化方式再次登入。 此範例示範如何在觸發活動原則時暫停用戶帳戶,並判斷使用者在30分鐘內刪除了兩個或多個小組。
使用 Defender for Cloud Apps 設定異常偵測原則
Defender for Cloud Apps 中的異常偵測原則 (UEBA) 和機器學習 (ML) 提供現成的使用者和實體行為分析,讓您可以立即跨雲端環境執行進階威脅偵測。 由於系統會自動啟用,因此新的異常偵測原則會提供立即的結果,方法是提供立即偵測,以使用者和連線到您網路的計算機和裝置上許多行為異常為目標。 此外,新原則會公開來自 Defender for Cloud Apps 偵測引擎的更多數據,以協助您加快調查程式並包含持續的威脅。
我們正努力將Teams事件整合到異常偵測原則中。 目前,您可以設定其他 Office 產品的異常偵測原則,並針對符合這些原則的使用者採取動作專案。