Microsoft 365 組織預設會開啟稽核記錄。 不過,當您設定新的 Microsoft 365 組織時,請確認組織的稽核狀態。 如需指示,請參閱本文中的 驗證組織的稽核狀態 一節。
當您在 Microsoft Purview 入口網站中開啟稽核時,稽核記錄會記錄組織的使用者和系統管理員活動,並自動保留 180 天。 稽核資料的保留期 (存留期) 會在稽核記錄新增至稽核記錄時開始,並根據 稽核記錄保留原則 和指派給使用者的授權來保留。
重要事項
預設不會針對中小型企業 (SMB) 授權 (包括 Microsoft 365 商務基本版、商務 Standard和商務進階版) 啟用稽核。 此外,使用企業授權免費試用版的非受控租用戶預設不會啟用稽核。 在這兩種情況下,您都必須手動為組織啟用稽核。
使用者授權或保留原則的變更也會變更稽核資料的到期日。
您的組織可能有理由不想記錄和保留稽核記錄資料。 在這些情況下,全域系統管理員可以在 Microsoft 365 中關閉貴組織的稽核。 如需指示,請參閱本文中的 關閉稽核 一節。
重要事項
如果您在 Microsoft 365 中關閉稽核,則無法使用 Office 365 管理活動 API 或 Microsoft Sentinel 來存取組織的稽核資料或記錄。 當您關閉稽核時,在 Microsoft Purview 中搜尋稽核記錄不會傳回任何結果。 在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog Cmdlet 也不會傳回任何結果。
開啟或關閉稽核之前
您必須在 Exchange Online 中獲指派 [稽核記錄] 角色,才能開啟或關閉稽核。 根據預設,Exchange 系統管理中心 [許可權] 頁面上的 [合規性管理] 和 [組織管理] 角色群組具有此角色。
- 如需搜尋稽核記錄的逐步指示,請參閱 搜尋稽核記錄。
- 如需 Microsoft 365 管理活動 API 的詳細資訊,請參閱 開始使用 Microsoft 365 管理 API。
驗證貴組織的稽核狀態
若要確認已為您的組織開啟稽核,請在 Exchange Online PowerShell 中執行下列命令:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled 屬性的值True表示已開啟稽核。 值 表示 False 稽核未開啟。
重要事項
請務必在 Exchange Online PowerShell 中執行上一個命令。 雖然 Get-AdminAuditLogConfig Cmdlet 也可在安全性 & 合規性 PowerShell 中使用,但 UnifiedAuditLogIngestionEnabled 屬性一律為 False,即使已開啟稽核也一樣。
開啟稽核
如果未為您的組織開啟稽核,請在 Microsoft Purview 入口網站中或使用 Exchange Online PowerShell 開啟它。 開啟稽核之後,可能需要數小時才能在搜尋稽核記錄時傳回結果。
完成下列步驟以開啟稽核:
- 登入 Microsoft Purview 入口網站。
- 選取 稽核 解決方案卡片。 如果未顯示稽核解決方案卡片,請選取檢視所有解決方案,然後從核心區段中選取稽核。
- 如果您的組織未開啟稽核,則會顯示橫幅,提示您開始記錄使用者和系統管理員活動。
- 選取 [開始錄製使用者和管理員活動 ] 橫幅。
變更最多可能需要 60 分鐘才能生效。
使用 PowerShell 開啟稽核
執行下列 PowerShell 命令以開啟稽核。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true系統會顯示一則訊息,指出變更最多可能需要 60 分鐘才能生效。
關閉稽核
使用 Exchange Online PowerShell 關閉稽核。
執行下列 PowerShell 命令以關閉稽核。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false一段時間後,確認稽核已關閉 (停用) 。 您可以使用兩種方式執行此動作:
在 Exchange Online PowerShell 中,執行下列命令:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledUnifiedAuditLogIngestionEnabled 屬性的值
False表示稽核已關閉。移至 Microsoft Purview 入口網站中的 [稽核] 頁面。
如果您的組織未開啟稽核功能,橫幅會提示您開始記錄使用者和系統管理員活動。
稽核狀態變更時的稽核記錄
您的組織會稽核稽核狀態的變更。 此程序會稽核稽核狀態的變更。 當開啟或關閉稽核時,會記錄稽核記錄。 您可以在 Exchange 系統管理員稽核記錄中搜尋這些稽核記錄。
若要在 Exchange 系統管理員稽核記錄中搜尋開啟或關閉稽核時產生的稽核記錄,請在 Exchange Online PowerShell 中執行下列命令:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
這些事件的稽核記錄包含稽核狀態變更時間、變更稽核狀態的系統管理員,以及用來進行變更之電腦的 IP 位址的相關資訊。 下列螢幕擷取畫面顯示對應至變更組織中稽核狀態的稽核記錄。
Set-AdminAuditLogConfig 的稽核記錄
在 AuditData 屬性中尋找 的UnifiedAuditLogIngestionEnabled結果值。 此值指出整合稽核記錄是否已在 Microsoft Purview 入口網站中開啟或關閉,或執行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false Cmdlet。
如需搜尋 Exchange 系統管理員稽核記錄的詳細資訊,請參閱 Search-UnifiedAuditLog。