Microsoft 365 組織預設會啟用稽核日誌。 不過,當你建立新的 Microsoft 365 組織時,請確認你組織的稽核狀態。 如需說明,請參閱本文中的 「驗證您組織的稽核狀態 」章節。
當你在 Microsoft Purview 入口網站開啟稽核時,稽核日誌會記錄你組織的使用者和管理員活動,並自動保留 180 天。 稽核資料的保留 (終身) 從加入稽核日誌開始,並依照 稽核日誌保留政策 及分配給使用者的授權條款來保留。
重要事項
中小企業 (中小企業) 授權(包括Microsoft 365 商務基本版、商業Standard和商業高級)預設不啟用審計功能。 此外,使用企業授權免費試用版的非管理租戶預設不會啟用稽核功能。 在這兩種情況下,你都必須手動啟用組織的稽核功能。
使用者授權或保留政策的變更也會改變稽核資料的有效期限。
你的組織可能有理由不願意記錄和保存稽核日誌資料。 在這些情況下,全域管理員可以關閉 Microsoft 365 中的稽核功能。 相關說明請參閱本文中的 「關閉稽核 」部分。
重要事項
如果你在 Microsoft 365 中關閉稽核功能,就無法使用 Office 365 管理活動 API 或 Microsoft Sentinel 來存取組織的稽核資料或日誌。 當你關閉稽核功能時,搜尋 Microsoft Purview 的稽核日誌都找不到任何結果。 在 Exchange Online PowerShell 執行 Search-UnifiedAuditLog 指令檔也沒有結果。
在你開啟或關閉審計之前
您必須在 Exchange Online 中被指派為稽核日誌角色,才能開啟或關閉稽核。 預設情況下,Exchange 管理中心權限頁面上的合規管理與組織管理角色群組皆有此角色。
- 關於查詢稽核日誌的逐步說明,請參見 「搜尋稽核日誌」。
- 欲了解更多關於 Microsoft 365 管理活動 API 的資訊,請參閱「開始使用 Microsoft 365 管理 API」。
確認您組織的審計狀態
要確認您的組織已啟用稽核功能,請在 Exchange Online PowerShell 執行以下指令:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
UnifiedAuditLogIngestionEnabled 屬性的值True表示審計已開啟。 值 False 為表示審計未開啟。
重要事項
記得在 Exchange Online PowerShell 執行前一個指令。 雖然 Get-AdminAuditLogConfig 指令檔也可在 Security & Compliance PowerShell 中使用,但 UnifiedAuditLogIngestionEnabled 屬性始終 False為 ,即使啟用審計功能。
開啟審計
如果您的組織尚未啟用稽核功能,請在 Microsoft Purview 入口網站或使用 Exchange Online PowerShell 啟用。 開啟稽核後,可能需要好幾個小時才能在查帳日誌中回傳結果。
請完成以下步驟以啟用審計功能:
- 登入 Microsoft Purview 入口網站。
- 選擇 「審計 解決方案」卡片。 如果沒有顯示審計解決方案卡,請選擇「查看所有解決方案」,然後從核心區塊選擇「審計」。
- 如果您的組織未啟用稽核功能,會顯示橫幅提示您開始記錄使用者與管理員的活動。
- 選擇 「開始記錄使用者與管理員活動 」橫幅。
變更生效可能需要長達60分鐘。
使用 PowerShell 來開啟稽核功能
執行以下 PowerShell 指令來開啟稽核。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true會顯示訊息,表示變更生效可能需要最多60分鐘。
關閉審計
使用 Exchange Online PowerShell 關閉稽核功能。
執行以下 PowerShell 指令關閉稽核。
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false過一陣子後,確認稽核功能是否關閉 () 。 您可以使用兩種方式執行此動作:
在 Exchange Online PowerShell 中,執行以下指令:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledUnifiedAuditLogIngestionEnabled 屬性的值
False表示審計功能已關閉。請前往 Microsoft Purview 入口網站的 稽核 頁面。
如果您的組織未啟用稽核功能,橫幅會提示您開始記錄使用者與管理員的活動。
審計狀態變更時的審計記錄
您的組織會稽核稽核狀態的變更。 此流程會稽核稽核狀態的變更。 審計紀錄會在審計開啟或關閉時被記錄下來。 你可以在 Exchange 管理員稽核日誌中搜尋這些稽核紀錄。
要在 Exchange 管理員稽核日誌中搜尋在啟用或關閉稽核時產生的稽核紀錄,請在 Exchange Online PowerShell 中執行以下指令:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
這些事件的稽核紀錄包含稽核狀態變更的時間、變更狀態的管理員,以及用於變更的電腦的 IP 位址資訊。 以下截圖顯示了與組織審計狀態變更相關的稽核紀錄。
Set-AdminAuditLogConfig 的審計紀錄
在 AuditData 屬性中尋找 的UnifiedAuditLogIngestionEnabled結果值。 此值表示統一稽核日誌是否在Microsoft Purview 入口網站開啟或關閉,或透過執行 Set-AdminAuditLogLogConfig -UnifiedAuditLogIngestionEnabled $true/false 指令。
欲了解更多關於搜尋 Exchange 管理員稽核日誌的資訊,請參閱 Search-UnifiedAuditLog。