開始使用稽核解決方案
Microsoft Purview 稽核 (Standard) 和 Audit (Premium) 可讓您搜尋使用者和系統管理員在不同Microsoft服務中執行的活動稽核記錄。 由於大部分Microsoft 365 組織預設會啟用稽核 (標準) ,因此您只需要先執行幾件事,組織中的其他人就可以搜尋稽核記錄。 您還需要完成幾個設定步驟,才能使用僅稽核 (進階) 中提供的功能。
如需稽核 (標準) 和稽核 (進階) 功能的詳細資訊,請參閱 Microsoft Purview 稽核解決方案。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
步驟 1:驗證組織訂閱和使用者授權
稽核 (標準) 和稽核 (進階) 的授權需要適當的組織訂用帳戶,以提供稽核記錄搜尋工具的存取權,以及記錄和保留稽核記錄所需的每位用戶授權。
當使用者或系統管理員執行稽核的活動時,稽核記錄會隨即產生,並儲存在您組織的稽核記錄中。 在 Audit (Standard) 和 Audit (Premium) 中,稽核記錄會保留並可在稽核記錄中搜尋 180 天。
重要事項
稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。
如需這些稽核解決方案的訂用帳戶和授權需求清單,請參閱稽核 (標準) 和稽核 (進階) 的 訂 用帳戶需求。
步驟 2:指派搜尋稽核記錄的權限
系統管理員和調查小組成員必須在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中指派僅限檢視稽核記錄或稽核記錄角色,才能搜尋或導出稽核記錄。 根據預設,這些角色會指派給 Microsoft Purview 入口網站中 [角色群組] 頁面上的 [稽核讀者] 和 [稽核管理員] 角色群組,以及合規性入口網站中的 [許可權] 頁面。
注意事項
啟用或停用稽核 Cmdlet 的存取權,目前需要 Exchange 系統管理中心的許可權。 使用 Exchange 系統管理中心的現有 稽核記錄 和 僅檢視稽核記錄 角色,來授與稽核 Cmdlet 的存取權。 使用 Exchange 系統管理中心的現有 稽核記錄 角色來授與啟用或停用稽核的存取權。
您也可以將僅限 檢視稽核記錄 或 稽 核記錄角色新增至自定義角色群組,以建立能夠搜尋稽核記錄的自定義角色群組。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站中的權限。
注意事項
存取稽核搜尋 圖形 API 需要在 Microsoft Graph 中設定其他許可權。 如需詳細資訊,請參閱稽核搜尋 圖形 API 中的許可權。
指派許可權以界定稽核記錄的範圍
若要搜尋或匯出稽核記錄,必須將調查小組的系統管理員或成員指派給 Microsoft Purview 入口網站或合規性入口網站中至少下列其中一個與稽核相關的角色群組:
- 稽核管理員:指派給 稽 核管理員角色群組的使用者可以搜尋和導出稽核記錄,以及管理租使用者的稽核設定 (例如啟用或停用稽核記錄) 。 此角色群組會將 僅限檢視稽核記錄 和 稽核記錄 角色授與使用者。
- 稽核讀取者:指派給稽核 讀取者 角色群組的使用者只能搜尋和導出稽核記錄。 他們無法啟用或停用稽核記錄。 此角色群組會將 僅限檢視稽核記錄 角色授與使用者。
步驟 3:啟用 SearchQueryInitiated 事件
當使用者在 Exchange Online 和 SharePoint 中執行搜尋時,您必須 (SearchQueryInitiatedExchange 和 SearchQueryInitiatedSharePoint) 明確啟用兩個事件以進行記錄。
若要讓這兩個事件能夠針對用戶進行稽核,請針對powerShell中每個使用者) 執行下列 Cmdlet (Exchange Online:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
在多地理位置環境中,您必須在使用者信箱所在的樹系中執行 Set-Mailbox 命令。 若要識別使用者的信箱位置,請執行下列 Cmdlet:
Get-Mailbox <user identity> | FL MailboxLocations
如果啟用搜尋查詢稽核的 Cmdlet 先前是在與使用者信箱所在的樹系不同的樹系中執行,您必須從使用者的信箱中移除 SearchQueryInitiated 值。 執行 以移除值 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}
,然後將它新增至使用者信箱所在樹系中的使用者信箱。
步驟 4:為用戶設定稽核 (進階)
提示
使用稽核 (標準) 的組織可以略過此步驟。
稽核 (進階) 功能,例如記錄智慧型手機深入解析的能力需要指派給用戶的適當 E5 授權。 此外,必須為這些使用者啟用 [進階稽核] 應用程式/服務方案。
若要確認已將進階稽核應用程式指派給使用者,請為每個使用者完成下列步驟:
在 Microsoft 365 系統管理中心 中,移至 [使用者>] [作用中使用者],然後選取使用者。
在 [用戶屬性] 飛出視窗頁面上,選取 [ 授權和應用程式]。
在 [ 授權] 區 段中,確認使用者已獲指派 E5 授權,或已獲指派適當的附加元件授權。 如需支援 Audit (Premium) 的授權清單,請參閱 稽核授權需求。
展開 [應用程式] 區段,並驗證是否選中了 [Microsoft 365 進階稽核] 核取方塊。
如果未選取複選框,請加以選取,然後選取 [ 儲存變更]。
稽核 (進階) 深入解析的記錄會在 24 小時內開始。
此外,如果您已自定義登入使用者信箱或共用信箱的信箱動作,Microsoft發行的任何新稽核 (進階) 事件都不會在這些信箱上自動稽核。 有關變更為每個登入類型稽核的郵箱動作之資訊,請參閱管理郵箱稽核中的 [變更或還原預設記錄的郵箱動作] 一節。
步驟 5:在稽核 (進階) 中設定稽核保留原則
提示
使用稽核 (標準) 的組織可以略過此步驟。
除了保留 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 稽核記錄一年的默認原則之外,使用 Audit (Premium) 的組織還可以建立稽核記錄保留原則,以符合貴組織安全性作業、IT 和合規性小組的需求。
如需詳細資訊,請參閱管理稽核記錄保留原則。
步驟 6:搜尋稽核的事件
既然您已為組織設定 Audit (Standard) 或 Audit (Premium) ,您就可以在 Microsoft Purview 合規性入口網站 中搜尋稽核記錄。 如需詳細指引,請 參閱搜尋稽核記錄。