Registro di controllo O365: 15 cose che devi sapere

Questo articolo descrive la panoramica del registro di controllo O365 e le relative funzionalità per tenere traccia dell'attività degli utenti e dell'amministrazione all'interno del tenant di Microsoft 365, ad esempio le modifiche apportate alle impostazioni di configurazione del tenant di Exchange Online e SharePoint Online e le modifiche apportate dagli utenti a documenti e altri elementi. Gli amministratori possono usare le informazioni di controllo disponibili in Microsoft 365 per adempiere agli obblighi di conformità.

1 Controllo delle cassette postali

1.1 Verificare che il controllo della cassetta postale attivato per impostazione predefinita sia attivato

1.2 Azioni della cassetta postale per le cassette postali del gruppo Microsoft 365

1.3 Disattiva il controllo della cassetta postale per impostazione predefinita

1.4 Registro di controllo

1.5 Attivare il controllo

1.5.1 Utilizzare PowerShell per attivare il controllo

1.6 Abilita il controllo della cassetta postale

1.7 Disabilitare il controllo delle cassette postali per cassette postali specifiche

2 Rapporti di verifica di Exchange Online

3 Registri di controllo O365 PowerShell

4 Come visualizzare i report del registro di controllo in SharePoint Online?

5 API dei registri di controllo O365

6 Riepilogo

Controllo delle cassette postali

Microsoft sta attivando la registrazione del controllo delle cassette postali per impostazione predefinita per tutte le organizzazioni. Ciò significa che determinate azioni eseguite dai proprietari delle cassette postali, dai delegati e dagli amministratori vengono registrate automaticamente e i record di controllo delle cassette postali corrispondenti saranno disponibili quando li si cerca nel registro di controllo delle cassette postali. Prima che il controllo della cassetta postale fosse attivato per impostazione predefinita, dovevi abilitarlo manualmente per ogni cassetta postale dell'utente nell'organizzazione.

Di seguito sono riportati alcuni vantaggi del controllo delle cassette postali attivato per impostazione predefinita:

• Il controllo viene abilitato automaticamente quando crei una nuova cassetta postale. Non è necessario abilitarlo manualmente per i nuovi utenti.
• Non è necessario gestire le azioni della cassetta postale che vengono controllate. Un insieme predefinito di azioni della cassetta postale viene controllato per impostazione predefinita per ogni tipo di accesso (amministratore, delegato e proprietario).
• Quando Microsoft rilascia una nuova azione della cassetta postale, l'azione potrebbe essere aggiunta automaticamente all'elenco delle azioni della cassetta postale controllate per impostazione predefinita (a condizione che l'utente disponga della licenza appropriata). Ciò significa che non è necessario monitorare l'aggiunta di nuove azioni nelle cassette postali.
• Hai un criterio di controllo delle cassette postali coerente in tutta l'organizzazione (perché stai controllando le stesse azioni per tutte le cassette postali).

Verifica che il controllo della cassetta postale attivato per impostazione predefinita sia attivato

Per verificare che il controllo della cassetta postale attivato per impostazione predefinita sia attivato per l'organizzazione, eseguire il comando seguente in  PowerShell di Exchange Online :

Get-OrganizationConfig | Controllo FL disabilitato

Il valore  False  indica che il controllo della cassetta postale attivato per impostazione predefinita è abilitato per l'organizzazione. Questo valore organizzativo attivo per impostazione predefinita sovrascrive l'impostazione di controllo delle cassette postali su cassette postali specifiche. Ad esempio, se il controllo della cassetta postale è disabilitato per una cassetta postale (la  proprietà AuditEnabled  è  False  sulla cassetta postale), le azioni predefinite della cassetta postale verranno comunque controllate per la cassetta postale, poiché il controllo della cassetta postale attivato per impostazione predefinita è abilitato per l'organizzazione.

Per mantenere disabilitato il controllo delle cassette postali per cassette postali specifiche, configurare l'esclusione del controllo delle cassette postali per il proprietario della cassetta postale e altri utenti a cui è stato delegato l'accesso alla cassetta postale. Per ulteriori informazioni, vedere  Ignora la registrazione di controllo della cassetta postale .

Azioni delle cassette postali per le cassette postali del gruppo Microsoft 365

Il controllo delle cassette postali attivo per impostazione predefinita porta la registrazione del controllo delle cassette postali nelle cassette postali del gruppo Microsoft 365, ma non è possibile personalizzare ciò che viene registrato (non è possibile aggiungere o rimuovere azioni delle cassette postali registrate per qualsiasi tipo di accesso). Tenere presente che un amministratore con autorizzazione Accesso completo a una cassetta postale del gruppo Microsoft 365 è considerato un delegato.

Disattiva il controllo della cassetta postale per impostazione predefinita

È possibile disattivare il controllo della cassetta postale per impostazione predefinita per l'intera organizzazione eseguendo il comando seguente in PowerShell di Exchange Online:

Set-OrganizationConfig -AuditDisabled $true

La disattivazione del controllo della cassetta postale per impostazione predefinita ha i seguenti risultati:

• Il controllo delle cassette postali è disabilitato per la tua organizzazione.
• Dal momento in cui hai disabilitato il controllo della cassetta postale per impostazione predefinita, nessuna azione della cassetta postale viene controllata, anche se il controllo è abilitato su una cassetta postale (la  proprietà AuditEnabled  sulla cassetta postale è  True ).
• Il controllo delle cassette postali non è abilitato per le nuove cassette postali e l'impostazione della  proprietà AuditEnabled  su una cassetta postale nuova o esistente su  True  verrà ignorata.
• Qualsiasi impostazione dell'associazione di bypass del controllo della cassetta postale (configurata tramite il  cmdlet Set-MailboxAuditBypassAssociation  ) viene ignorata.
• I record di controllo della cassetta postale esistenti vengono conservati fino alla scadenza del limite di validità del registro di controllo per il record.

Registro di audizione

Per la conformità in Microsoft 365, il registro di controllo è probabilmente lo strumento più importante di tutti. Tiene traccia di ogni azione dell'utente e dell'account in tutti i servizi Microsoft 365. Puoi eseguire rapporti su eliminazioni, condivisioni, download, modifiche, letture ecc. per tutti gli utenti e tutti i prodotti. Puoi anche impostare avvisi personalizzati per ricevere notifiche ogni volta che si verificano attività specifiche.

Nonostante tutta la sua utilità, la cosa più sorprendente è che non è attivato per impostazione predefinita.

Può essere frustrante quando ti imbatti in una query o un problema che potrebbe essere facilmente risolto se avessi accesso ai registri, solo per scoprire che non sono mai stati abilitati in primo luogo. Ecco come configurarlo nella tua organizzazione.

Attiva il controllo

Tu (o un altro amministratore) devi attivare la registrazione di controllo prima di poter iniziare a cercare nel registro di controllo.

• Vai al portale di conformità di Microsoft Purview .
• Nel riquadro di navigazione a sinistra del portale di conformità, fare clic su  Verifica .
• Se il controllo non è attivato per la tua organizzazione, viene visualizzato un banner che ti chiede di iniziare a registrare l'attività dell'utente e dell'amministratore.

• Fare clic sul   banner dell'attività dell'utente e dell'amministratore Avvia registrazione . Potrebbero essere necessari fino a 60 minuti prima che la modifica abbia effetto.

Usa PowerShell per attivare il controllo

• Connettiti a Exchange Online tramite PowerShell come amministratore .
• Assicurati che il tenant di Microsoft 365 sia pronto per il registro di controllo unificato abilitando la personalizzazione dell'organizzazione:

Abilita-OrganizzazionePersonalizzazione

Eseguire il comando seguente per abilitare il registro di controllo unificato:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Abilita il controllo della cassetta postale

Per abilitare il controllo per una singola cassetta postale, utilizzare il comando PowerShell:

Set-Mailbox -Identità "Test 12" -AuditEnabled $true

Per abilitare il controllo per tutte le cassette postali nell'organizzazione, utilizzare il comando PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled$true

Per confermare se hai abilitato o meno l'audit, devi eseguire il comando " Get-Mailbox " in Exchange Online. Il valore " True " della proprietà AuditEnabled conferma che la registrazione di controllo della cassetta postale è stata abilitata correttamente.

Disabilita il controllo delle cassette postali per cassette postali specifiche

Al momento, non è possibile disabilitare il controllo delle cassette postali per cassette postali specifiche quando il controllo delle cassette postali attivato per impostazione predefinita è attivato nell'organizzazione. Ad esempio, l'impostazione della   proprietà della cassetta postale  AuditEnabled su False  viene ignorata.

Tuttavia, è ancora possibile utilizzare il  cmdlet Set-MailboxAuditBypassAssociation  in PowerShell di Exchange Online per impedire  la registrazione di tutte le  azioni delle cassette postali da parte degli utenti specificati, indipendentemente da dove si verificano. Per esempio:

• Le azioni del proprietario della cassetta postale eseguite dagli utenti ignorati non vengono registrate.
• Le azioni delegate eseguite dagli utenti ignorati sulle cassette postali di altri utenti (incluse le cassette postali condivise) non vengono registrate.
• Le azioni dell'amministratore eseguite dagli utenti ignorati non vengono registrate.

Per ignorare la registrazione di controllo della cassetta postale per un utente specifico:

Set-MailboxAuditBypassAssociation -Identity "Mailbox" -AuditByPassEnabled $true

Per verificare che il controllo sia ignorato per l'utente specificato, eseguire il comando seguente:

Get-MailboxAuditBypassAssociation “Mailbox” | fl auditb*

Il valore  True  indica che la registrazione di controllo della cassetta postale è ignorata per l'utente.

Rapporti di controllo di Exchange in linea

I rapporti di controllo di Exchange Online includono dettagli sull'accesso alle cassette postali e sulle modifiche apportate dagli amministratori al tenant di Exchange Online di un'organizzazione.

• Esegui un rapporto di accesso alla cassetta postale non proprietario : Visualizza l'elenco delle cassette postali a cui è stato effettuato l'accesso da un utente diverso dal proprietario della cassetta postale. Il rapporto contiene informazioni su chi ha effettuato l'accesso alla cassetta postale, le azioni eseguite nella cassetta postale e se le azioni hanno avuto esito positivo o meno.
• Esporta registri di controllo delle cassette postali: i registri di controllo delle cassette postali contengono informazioni sull'accesso e sulle azioni in una cassetta postale eseguite da un utente diverso dal proprietario della cassetta postale. Gli amministratori possono specificare le cassette postali insieme a un intervallo di date per generare i report. I registri vengono esportati in XML, allegati a un messaggio e inviati a utenti specifici come determinato dall'amministratore.
• Eseguire un rapporto sul gruppo di ruoli di amministratore : il gruppo di ruoli di amministratore viene utilizzato per assegnare i privilegi di amministratore agli utenti. Questi privilegi consentono agli utenti di eseguire attività amministrative come reimpostare password, creare o modificare cassette postali e assegnare privilegi di amministratore ad altri utenti. Il rapporto sui gruppi di ruoli di amministratore mostra le modifiche ai gruppi di ruoli, inclusa l'aggiunta o la rimozione di membri.
• Visualizza il registro di controllo dell'amministratore: il rapporto del registro di controllo dell'amministratore elenca tutte le funzioni di creazione, aggiornamento ed eliminazione eseguite dagli amministratori in Exchange Online. Le voci di registro forniscono informazioni su quale cmdlet è stato eseguito, quali parametri sono stati utilizzati, chi ha eseguito il cmdlet e quali oggetti sono stati interessati.
• Esporta il registro di controllo dell'amministratore: il registro di controllo dell'amministratore registra azioni amministrative specifiche come la creazione, l'aggiornamento e l'eliminazione in Exchange Online. I risultati del registro vengono esportati in XML e gli amministratori possono scegliere di inviare questo registro a un insieme di utenti.
• Visualizza ed esporta il registro di controllo dell'amministratore esterno: contiene i dettagli delle azioni eseguite dagli amministratori esterni. Le voci forniscono informazioni su quale cmdlet è stato eseguito, quali parametri sono stati utilizzati e qualsiasi azione che crea, modifica o elimina oggetti in Exchange Online.

O365 registri di controllo PowerShell

Per cercare un controllo della cassetta postale:

Cerca-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021

Per esportare i risultati in un file CSV:

Cerca-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 31/01/2021 | Export-Csv C:\utenti\AuditLogs.csv -NoTypeInformation

Per visualizzare ed esportare i registri in base alle operazioni :

Cerca-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete, Move, MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Per visualizzare ed esportare i registri in base ai tipi di accesso :

Cerca-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Per cercare nel registro di controllo unificato:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

Per esportare determinate proprietà del registro di controllo unificato in un file CSV:

$ registro di controllo | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Percorso c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Per visualizzare le modifiche alle regole di trasporto :

Cerca-AdminAuditLog -Cmdlet Set-TransportRule -StartDate 01/01/2021 -EndDate 31/01/2021
Cerca-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 31/01/2021

Per visualizzare le modifiche ai filtri antispam :

Cerca-AdminAuditLog -Cmdlet Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021
Cerca-UnifiedAuditLog -Operazioni Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021

Per verificare le modifiche al filtro di connessione :

Search-AdminAuditLog -Cmdlet Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 31/01/2021

Come visualizzare i report del registro di controllo in SharePoint Online?

Il controllo del tuo ambiente SharePoint Online ti aiuta a rimanere al sicuro e a soddisfare i requisiti delle conformità normative. Per visualizzare i report di controllo forniti dallo strumento nativo di SharePoint Online:

• Accedi a SharePoint Online.
• Fare clic sull'icona di impostazione delle impostazioni, quindi fare clic su Impostazioni del sito.
• Fare clic su Rapporti registro di controllo nella sezione Amministrazione raccolta siti.
• Seleziona il rapporto (come Eliminazione) che desideri dalla pagina Visualizza rapporti di controllo.
• Digitare un URL o passare alla raccolta in cui si desidera salvare il report, quindi fare clic su OK.
• Nella pagina Operazione completata con successo, selezionare Fare clic qui per visualizzare questo rapporto.

I report del registro di controllo di SharePoint consentono di analizzare tutte le attività nell'ambiente di SharePoint.

API dei registri di controllo O365

Microsoft fornisce servizi di reporting che consentono agli amministratori di ottenere informazioni transazionali aggregate sul tenant Microsoft 365. L'API dell'attività di gestione di Microsoft 365 usa una progettazione RESTful standard del settore e OAuth v2 per l'autenticazione, il che semplifica l'inizio degli esperimenti con il recupero dei dati e l'inserimento negli strumenti e nelle applicazioni di visualizzazione.

L'API fornisce un feed di dati che include informazioni su utenti, amministratori, operazioni e attività di sicurezza in Microsoft 365. I dati possono essere conservati per scopi normativi o combinati con i dati di registro acquisiti da un'infrastruttura locale o da altre origini per creare un soluzione di monitoraggio per operazioni, sicurezza e conformità in tutta l'azienda.

L'API dell'attività di gestione offre attualmente una visione completa di oltre 150 tipi di transazione da SharePoint Online, OneDrive for Business, Exchange Online e Azure AD. L'API fornisce uno schema di controllo coerente con oltre 10 campi comuni a tutti i servizi.

Ciò consente alle organizzazioni di stabilire connessioni facili tra gli eventi e consente nuovi modi di ragionare sui dati. Decine di fornitori di software indipendenti (ISV) hanno collaborato con Microsoft e creato soluzioni basate sull'API. Alcune soluzioni si concentrano esclusivamente sui dati di Microsoft 365, mentre altre offrono la possibilità di importare dati da più provider cloud e sistemi locali per creare una vista unificata di tutte le attività relative a operazioni, sicurezza e conformità. Per ulteriori informazioni, vedere il riferimento all'API dell'attività di gestione di Microsoft 365 .

Leggi anche : Microsoft Cloud App Security: la guida definitiva

Riepilogo

Il registro di controllo O365 include diverse funzionalità nel Centro sicurezza e metodi programmatici per il recupero e l'analisi dei dati di registro utilizzando PowerShell remoto e un'API REST di servizi Web. Gli amministratori possono utilizzare le funzionalità di controllo in Microsoft Microsoft 365 per tenere traccia delle modifiche apportate agli elementi chiave della configurazione del tenant e del servizio, ai documenti e ad altri elementi.