سجل تدقيق O365: 15 شيئًا تحتاج إلى معرفتها

توضح هذه المقالة نظرة عامة على سجل تدقيق O365 وميزاته لتعقب النشاط الإداري والمستخدم داخل مستأجر Microsoft 365 ، مثل التغييرات التي تم إجراؤها على إعدادات تكوين مستأجر Exchange Online و SharePoint Online ، والتغييرات التي أجراها المستخدمون على المستندات والعناصر الأخرى. يمكن للمسؤولين استخدام معلومات التدقيق المتوفرة في Microsoft 365 للوفاء بالتزامات التوافق.

1 تدقيق صندوق البريد

1.1 التحقق من تشغيل تدقيق علبة البريد افتراضيًا قيد التشغيل

1.2 إجراءات صندوق البريد لصناديق بريد مجموعة Microsoft 365

1.3 إيقاف تشغيل تدقيق صندوق البريد افتراضيًا

1.4 سجل التدقيق

1.5 تشغيل التدقيق

1.5.1 استخدم PowerShell لتشغيل التدقيق

1.6 تمكين تدقيق علبة البريد

1.7 تعطيل تدقيق صندوق البريد لصناديق بريد معينة

2 تقارير تدقيق Exchange Online

3 سجلات تدقيق O365 بوويرشيل

4 كيف يتم عرض تقارير سجل التدقيق في SharePoint Online؟

5 سجلات تدقيق O365 API

6 ملخص

تدقيق علبة البريد

تقوم Microsoft بتشغيل تسجيل تدقيق صندوق البريد بشكل افتراضي لجميع المؤسسات. هذا يعني أن بعض الإجراءات التي يتم تنفيذها بواسطة مالكي علب البريد والمفوضين والمسؤولين يتم تسجيلها تلقائيًا ، وستكون سجلات تدقيق صندوق البريد المقابلة متاحة عند البحث عنها في سجل تدقيق صندوق البريد. قبل تشغيل تدقيق صندوق البريد بشكل افتراضي ، كان عليك تمكينه يدويًا لكل صندوق بريد مستخدم في مؤسستك.

فيما يلي بعض فوائد تدقيق علبة البريد بشكل افتراضي:

• يتم تمكين التدوين تلقائيًا عند إنشاء صندوق بريد جديد. لا تحتاج إلى تمكينه يدويًا للمستخدمين الجدد.
• لست بحاجة إلى إدارة إجراءات صندوق البريد التي تم تدقيقها. يتم تدقيق مجموعة محددة مسبقًا من إجراءات صندوق البريد بشكل افتراضي لكل نوع تسجيل دخول (المسؤول والمفوض والمالك).
• عندما تقوم Microsoft بإصدار إجراء صندوق بريد جديد ، فقد تتم إضافة الإجراء تلقائيًا إلى قائمة إجراءات صندوق البريد التي يتم تدقيقها افتراضيًا (رهنا بحصول المستخدم على الترخيص المناسب). هذا يعني أنك لست بحاجة إلى مراقبة إضافة إجراءات جديدة على علب البريد.
• لديك سياسة تدقيق علبة بريد متسقة عبر مؤسستك (لأنك تقوم بتدقيق نفس الإجراءات لجميع علب البريد).

تحقق من تشغيل تدقيق علبة البريد بشكل افتراضي قيد التشغيل

للتحقق من تشغيل تدقيق علبة البريد بشكل افتراضي لمؤسستك ، قم بتشغيل الأمر التالي في  Exchange Online PowerShell :

Get-OrganizationConfig | FL AuditDisabled

تشير القيمة  False  إلى أنه تم تمكين تدقيق صندوق البريد بشكل افتراضي للمؤسسة. يؤدي تشغيل هذا افتراضيًا إلى تجاوز القيمة التنظيمية الافتراضية لإعداد تدقيق صندوق البريد في علب بريد معينة. على سبيل المثال ، إذا تم تعطيل تدقيق صندوق البريد لصندوق بريد (  الخاصية AuditEnabled  هي  False  في صندوق البريد) ، فسيستمر تدقيق إجراءات صندوق البريد الافتراضية لصندوق البريد ، لأنه يتم تمكين تدقيق صندوق البريد افتراضيًا للمؤسسة.

للاحتفاظ بتعطيل تدقيق صندوق البريد لصناديق بريد معينة ، يمكنك تكوين تجاوز تدقيق علبة البريد لمالك علبة البريد والمستخدمين الآخرين الذين تم تفويضهم بالوصول إلى علبة البريد. لمزيد من المعلومات ، راجع  تجاوز تسجيل تدقيق صندوق البريد .

إجراءات صندوق البريد لصناديق بريد مجموعة Microsoft 365

يعمل تدقيق صندوق البريد بشكل افتراضي على جلب تسجيل تدقيق صندوق البريد إلى علب بريد مجموعة Microsoft 365 ، ولكن لا يمكنك تخصيص ما يتم تسجيله (لا يمكنك إضافة أو إزالة إجراءات صندوق البريد التي تم تسجيلها لأي نوع من أنواع تسجيل الدخول). تذكر أن المسؤول الذي لديه إذن الوصول الكامل إلى علبة بريد مجموعة Microsoft 365 يعتبر مفوضًا.

قم بإيقاف تشغيل تدقيق صندوق البريد بشكل افتراضي

يمكنك إيقاف تشغيل تدقيق صندوق البريد بشكل افتراضي لمؤسستك بأكملها عن طريق تشغيل الأمر التالي في Exchange Online PowerShell:

Set-OrganizationConfig -AuditDisabled $ true

يؤدي إيقاف تشغيل تدقيق علبة البريد افتراضيًا إلى النتائج التالية:

• تم تعطيل تدقيق صندوق البريد لمؤسستك.
• من الوقت الذي قمت فيه بتعطيل تدقيق صندوق البريد بشكل افتراضي ، لا يتم تدوين أي إجراءات صندوق بريد ، حتى إذا تم تمكين التدوين في صندوق بريد (  الخاصية AuditEnabled  في صندوق البريد هي  True ).
• لم يتم تمكين تدقيق صندوق البريد لصناديق البريد الجديدة وسيتم تجاهل تعيين  خاصية AuditEnabled  في صندوق بريد جديد أو موجود على  True  .
• يتم تجاهل أي إعدادات اقتران تجاوز تدقيق صندوق البريد (تم تكوينها باستخدام  Set-MailboxAuditBypassAssociation  cmdlet).
• يتم الاحتفاظ بسجلات تدقيق علبة البريد الموجودة حتى انتهاء صلاحية الحد الأقصى لعمر سجل التدقيق للسجل.

سجل التدقيق

للامتثال في Microsoft 365 ، ربما يكون سجل التدقيق هو الأداة الأكثر أهمية على الإطلاق. إنه يتتبع إجراء كل مستخدم وحساب عبر جميع خدمات Microsoft 365. يمكنك تشغيل تقارير عن عمليات الحذف والمشاركة والتنزيلات والتعديلات والقراءات وما إلى ذلك ، لجميع المستخدمين وجميع المنتجات. يمكنك أيضًا إعداد التنبيه المخصص لتلقي الإخطارات عند حدوث أنشطة محددة.

على الرغم من كل فائدته ، فإن أكثر شيء مدهش فيه هو أنه لم يتم تشغيله افتراضيًا.

قد يكون الأمر محبطًا عندما تصادف استعلامًا أو مشكلة يمكن حلها بسهولة إذا كان لديك وصول إلى السجلات ، فقط لتكتشف أنه لم يتم تمكينها في المقام الأول. فيما يلي كيفية إعداده في مؤسستك الخاصة.

قم بتشغيل التدقيق

يجب عليك (أو أي مسؤول آخر) تشغيل تسجيل التدقيق قبل أن تتمكن من بدء البحث في سجل التدقيق.

• انتقل إلى مدخل التوافق مع Microsoft Purview .
• في جزء التنقل الأيمن لبوابة الامتثال ، انقر فوق  تدوين .
• إذا لم يتم تشغيل التدقيق لمؤسستك ، فسيتم عرض لافتة تطالبك ببدء تسجيل نشاط المستخدم والمسؤول.

• انقر فوق   شعار بدء تسجيل المستخدم والمسؤول . قد يستغرق دخول التغيير حيز التنفيذ ما يصل إلى 60 دقيقة.

استخدم PowerShell لتشغيل التدقيق

• اتصل بـ Exchange عبر الإنترنت عبر PowerShell كمسؤول .
• تأكد من أن مستأجر Microsoft 365 لديك جاهز لسجل التدقيق الموحد عن طريق تمكين تخصيص المؤسسة:

تمكين تخصيص المنظمة

قم بتشغيل الأمر التالي لتمكين سجل التدقيق الموحد:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $ true

تمكين تدقيق علبة البريد

لتمكين التدوين لعلبة بريد واحدة ، استخدم أمر PowerShell:

Set-Mailbox -Identity "Test 12" -AuditEnabled $ true

لتمكين التدوين لجميع علب البريد في مؤسستك ، استخدم أمر PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled $ true

لتأكيد ما إذا كنت قد قمت بتمكين التدقيق بنجاح أم لا ، يجب عليك تشغيل الأمر " Get-Mailbox " في Exchange Online. تؤكد قيمة " True " لخاصية AuditEnabled على أنك قمت بتمكين تسجيل تدقيق صندوق البريد بنجاح.

تعطيل تدقيق صندوق البريد لصناديق بريد معينة

حاليًا ، لا يمكنك تعطيل تدقيق صندوق البريد لصناديق بريد معينة عند تشغيل تدقيق علبة البريد افتراضيًا في مؤسستك. على سبيل المثال ، يتم تجاهل تعيين  خاصية صندوق البريد AuditEnabled  إلى  False  .

ومع ذلك ، لا يزال بإمكانك استخدام  أمر cmdlet لـ Set-MailboxAuditBypassAssociation  في Exchange Online PowerShell لمنع  تسجيل أي وجميع  إجراءات صندوق البريد من قبل المستخدمين المحددين ، بغض النظر عن مكان حدوث هذه الإجراءات. فمثلا:

• لا يتم تسجيل إجراءات مالك صندوق البريد التي يقوم بها المستخدمون الذين تم تجاوزهم.
• لا يتم تسجيل إجراءات التفويض التي يقوم بها المستخدمون الذين تم تجاوزهم في علب بريد المستخدمين الآخرين (بما في ذلك علب البريد المشتركة).
• لا يتم تسجيل إجراءات المسؤول التي يقوم بها المستخدمون الذين تم تجاوزهم.

لتجاوز تسجيل تدقيق صندوق البريد لمستخدم معين:

Set-MailboxAuditBypassAssociation -Identity "Mailbox" -AuditByPassEnabled $ true

للتحقق من تجاوز التدوين للمستخدم المحدد ، قم بتشغيل الأمر التالي:

Get-MailboxAuditBypassAssociation “Mailbox” | مراجعة فلوريدا ب *

تشير القيمة  True  إلى تجاوز تسجيل تدقيق صندوق البريد للمستخدم.

تقارير تدقيق Exchange Online

تتضمن تقارير تدقيق Exchange Online تفاصيل حول الوصول إلى صندوق البريد والتغييرات التي أجراها المسؤولون على مستأجر Exchange Online الخاص بالمؤسسة.

• تشغيل تقرير الوصول إلى صندوق بريد غير المالك : يعرض قائمة صناديق البريد التي تم الوصول إليها من قبل شخص آخر غير مالك صندوق البريد. يحتوي التقرير على معلومات حول من قام بالوصول إلى صندوق البريد ، والإجراءات التي اتخذوها في صندوق البريد ، وما إذا كانت الإجراءات ناجحة أم لا.
• تصدير سجلات تدقيق صندوق البريد: تحتوي سجلات تدقيق صندوق البريد على معلومات حول الوصول والإجراءات في صندوق البريد التي يتخذها مستخدم آخر غير مالك علبة البريد. يمكن للمسؤولين تحديد علب بريد بالإضافة إلى نطاق زمني لإنشاء التقارير. يتم تصدير السجلات بتنسيق XML ، وإرفاقها برسالة وإرسالها إلى مستخدمين محددين وفقًا لما يحدده المسؤول.
• قم بتشغيل تقرير مجموعة دور المسؤول : تُستخدم مجموعة دور المسؤول لتعيين الامتيازات الإدارية للمستخدمين. تسمح هذه الامتيازات للمستخدمين بأداء المهام الإدارية مثل إعادة تعيين كلمات المرور وإنشاء أو تعديل علب البريد وتعيين امتيازات المسؤول للمستخدمين الآخرين. يُظهر تقرير مجموعة دور المسؤول التغييرات التي تم إجراؤها على مجموعات الدور ، بما في ذلك إضافة الأعضاء أو إزالتهم.
• عرض سجل تدقيق المسؤول : يسرد تقرير سجل تدقيق المسؤول جميع وظائف الإنشاء والتحديث والحذف التي يقوم بها المسؤولون في Exchange Online. توفر إدخالات السجل معلومات حول أي أوامر cmdlet تم تشغيلها ، والمعلمات التي تم استخدامها ، ومن قام بتشغيل الأمر cmdlet ، وما هي الكائنات التي تأثرت.
• تصدير سجل تدقيق المسؤول : يسجل سجل تدقيق المسؤول إجراءات إدارية محددة مثل الإنشاء والتحديث والحذف في Exchange Online. يتم تصدير النتائج من السجل إلى XML ويمكن للمسؤولين اختيار إرسال هذا السجل إلى مجموعة من المستخدمين.
• عرض سجل تدقيق المشرف الخارجي وتصديره : يحتوي على تفاصيل الإجراءات التي نفذها المسؤولون الخارجيون. توفر الإدخالات معلومات حول أمر cmdlet الذي تم تشغيله ، والمعلمات التي تم استخدامها ، وأي إجراءات تقوم بإنشاء كائنات أو تعديلها أو حذفها في Exchange Online.

O365 سجلات التدقيق بوويرشيل

للبحث في تدقيق علبة البريد:

بحث-MailboxAuditLog [email protected] -إظهار التفاصيل -تاريخ البدء 01/01/2021 -تاريخ النهاية 01/31/2021

لتصدير النتائج إلى ملف csv:

بحث- MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | تصدير- Csv C: \ users \ AuditLogs.csv -NoTypeInformation

لعرض السجلات وتصديرها بناءً على العمليات :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -حذف العمليات ، نقل ، MoveToDeletedItems ، SoftDelete -LogonTypes Admin ، مفوض ، مالك-تاريخ البدء 01/01/2021 -النتيجة 01/31/2021 -ShowDetails | تصدير- Csv C: \ AuditLogs.csv -NoTypeInformation

لعرض السجلات وتصديرها بناءً على أنواع تسجيل الدخول :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes المالك ، المفوض ، المسؤول -ShowDetails | تصدير- Csv C: \ AuditLogs.csv -NoTypeInformation

للبحث في سجل التدقيق الموحد:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

لتصدير خصائص معينة لسجل التدقيق الموحد إلى ملف CSV:

$ Auditlog | تاريخ إنشاء الخاصية ، تحديد الكائن ، UserIds ، نوع السجل ، AuditData | Export-Csv -Append -Path c: \ AuditLogs \ PowerShellAuditlog.csv -NoTypeInformation

لعرض تغييرات قاعدة النقل :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 - EndDate 01/31/2021

لعرض تغييرات عوامل تصفية البريد العشوائي:

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

للتحقق من تغييرات عامل تصفية الاتصال:

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 - EndDate 01/31/2021

كيف يمكنني عرض تقارير سجل التدقيق في SharePoint Online؟

يساعدك تدقيق بيئة SharePoint Online في الحفاظ على أمانك وتلبية متطلبات التوافق التنظيمي. لعرض تقارير التدقيق التي توفرها أداة SharePoint Online الأصلية:

• قم بتسجيل الدخول إلى SharePoint Online.
• انقر فوق رمز إعداد الإعدادات ، ثم انقر فوق إعدادات الموقع.
• انقر فوق تقارير سجل التدقيق في قسم إدارة مجموعة الموقع.
• حدد التقرير (مثل الحذف) الذي تريده من صفحة عرض تقارير التدقيق.
• اكتب عنوان URL أو استعرض للوصول إلى المكتبة حيث تريد حفظ التقرير ، ثم انقر فوق موافق.
• في صفحة "اكتملت العملية بنجاح" ، حدد انقر هنا لعرض هذا التقرير.

تتيح لك تقارير سجل تدقيق SharePoint تحليل جميع الأنشطة في بيئة SharePoint الخاصة بك.

O365 سجلات التدقيق API

توفر Microsoft خدمات إعداد التقارير التي تمكّن المسؤولين من الحصول على معلومات معاملات مجمعة حول مستأجر Microsoft 365 الخاص بهم. تستخدم واجهة برمجة تطبيقات Microsoft 365 Management Activity تصميم RESTful متوافقًا مع معايير الصناعة و OAuth v2 للمصادقة ، مما يجعل من السهل البدء في تجربة استرداد البيانات واستيعابها في أدوات وتطبيقات التصور.

توفر واجهة برمجة التطبيقات موجز بيانات يتضمن معلومات حول المستخدم والمسؤول والعمليات ونشاط الأمان في Microsoft 365. يمكن الاحتفاظ بالبيانات لأغراض تنظيمية أو دمجها مع بيانات السجل المشتراة من بنية أساسية محلية أو مصادر أخرى لإنشاء حل مراقبة العمليات والأمان والامتثال عبر المؤسسة.

توفر واجهة برمجة تطبيقات نشاط الإدارة حاليًا عرضًا شاملاً لما يزيد عن 150 نوعًا من المعاملات من SharePoint Online و OneDrive for Business و Exchange Online و Azure AD. توفر API مخطط تدقيق متسق مع أكثر من 10 حقول مشتركة عبر جميع الخدمات.

يتيح ذلك للمؤسسات إجراء اتصالات سهلة بين الأحداث ، كما يتيح طرقًا جديدة للتفكير في البيانات. دخلت العشرات من بائعي البرامج المستقلين (ISVs) في شراكة مع Microsoft وأنشأت حلولًا تستند إلى واجهة برمجة التطبيقات. تركز بعض الحلول فقط على بيانات Microsoft 365 ، بينما يوفر البعض الآخر القدرة على استيعاب البيانات من العديد من موفري السحابة والأنظمة المحلية لإنشاء عرض موحد لجميع العمليات والأمان والنشاط المرتبط بالامتثال. لمزيد من المعلومات ، راجع مرجع Microsoft 365 Management Activity API .

اقرأ أيضًا : أمان تطبيقات Microsoft Cloud: الدليل النهائي

ملخص

يتضمن سجل تدقيق O365 العديد من الميزات في مركز الأمان ، وطرق برمجية لاسترداد بيانات السجل وتحليلها باستخدام PowerShell البعيد وواجهة برمجة تطبيقات Web Services REST. يمكن للمسؤولين استخدام ميزات التدقيق في Microsoft 365 لتعقب التغييرات التي تم إجراؤها على المستأجر الرئيسي وعناصر تكوين الخدمة والمستندات والعناصر الأخرى.