Dziennik audytu O365: 15 rzeczy, które musisz wiedzieć

W tym artykule opisano omówienie dziennika inspekcji usługi O365 i jego funkcji służących do śledzenia działań użytkowników i administracyjnych w ramach dzierżawy usługi Microsoft 365, takich jak zmiany wprowadzone w ustawieniach konfiguracji dzierżawy Exchange Online i SharePoint Online oraz zmiany wprowadzone przez użytkowników w dokumentach i innych elementach. Administratorzy mogą korzystać z informacji kontrolnych dostępnych na platformie Microsoft 365, aby wypełniać zobowiązania dotyczące zgodności.

1 Kontrola skrzynki pocztowej

1.1 Sprawdź, czy domyślnie włączony audyt skrzynek pocztowych jest włączony

1.2 Akcje skrzynki pocztowej dla skrzynek pocztowych Microsoft 365 Group

1.3 Wyłącz domyślnie audyt skrzynek pocztowych

1.4 Dziennik audytu

1.5 Włącz audyt

1.5.1 Użyj PowerShell, aby włączyć audyt

1.6 Włącz audyt skrzynek pocztowych

1.7 Wyłącz audyt skrzynek pocztowych dla określonych skrzynek pocztowych

2 raporty z audytu online Exchange

3 dzienniki audytu O365 powershell

4 Jak przeglądać raporty z dziennika kontroli w SharePoint Online?

5 dzienników audytu O365 API

6 Podsumowanie

Audyt skrzynek pocztowych

Firma Microsoft domyślnie włącza rejestrowanie audytu skrzynek pocztowych we wszystkich organizacjach. Oznacza to, że niektóre czynności wykonywane przez właścicieli, pełnomocników i administratorów skrzynek pocztowych są automatycznie rejestrowane, a odpowiednie rekordy kontroli skrzynek pocztowych będą dostępne podczas wyszukiwania ich w dzienniku kontroli skrzynek pocztowych. Zanim inspekcja skrzynek pocztowych była domyślnie włączona, trzeba było ją ręcznie włączyć dla każdej skrzynki pocztowej użytkownika w organizacji.

Oto kilka korzyści z domyślnego audytu skrzynek pocztowych:

  • Inspekcja jest automatycznie włączana po utworzeniu nowej skrzynki pocztowej. Nie musisz ręcznie włączać go dla nowych użytkowników.
  • Nie musisz zarządzać akcjami skrzynki pocztowej, które są poddawane inspekcji. Wstępnie zdefiniowany zestaw akcji skrzynki pocztowej jest domyślnie kontrolowany dla każdego typu logowania (Administrator, Pełnomocnik i Właściciel).
  • Gdy firma Microsoft wyda nową akcję skrzynki pocztowej, akcja może zostać automatycznie dodana do listy akcji skrzynki pocztowej, które są domyślnie kontrolowane (pod warunkiem, że użytkownik ma odpowiednią licencję). Oznacza to, że nie musisz monitorować dodawania nowych akcji na skrzynkach pocztowych.
  • Masz spójne zasady inspekcji skrzynek pocztowych w całej organizacji (ponieważ przeprowadzasz inspekcję tych samych działań dla wszystkich skrzynek pocztowych).

Sprawdź, czy inspekcja skrzynek pocztowych jest domyślnie włączona

Aby sprawdzić, czy inspekcja skrzynek pocztowych jest domyślnie włączona w organizacji, uruchom następujące polecenie w programie  Exchange Online PowerShell :

Get-OrganizationConfig | Audyt FL wyłączony

Wartość  False  wskazuje, że inspekcja skrzynek pocztowych jest domyślnie włączona dla organizacji. Ta włączona domyślnie wartość organizacyjna zastępuje ustawienie inspekcji skrzynek pocztowych w określonych skrzynkach pocztowych. Na przykład, jeśli inspekcja skrzynek pocztowych jest wyłączona dla skrzynki pocztowej (  właściwość AuditEnabled  ma  wartość False  w skrzynce pocztowej), domyślne działania skrzynki pocztowej będą nadal poddawane inspekcji dla skrzynki pocztowej, ponieważ inspekcja skrzynek pocztowych jest domyślnie włączona dla organizacji.

Aby inspekcja skrzynek pocztowych była wyłączona dla określonych skrzynek pocztowych, należy skonfigurować pomijanie inspekcji skrzynek pocztowych dla właściciela skrzynki pocztowej i innych użytkowników, którym delegowano dostęp do skrzynki pocztowej. Więcej informacji można znaleźć w sekcji  Pomiń rejestrowanie inspekcji skrzynki pocztowej .

Akcje skrzynki pocztowej dla skrzynek pocztowych Microsoft 365 Group

Domyślnie włączona inspekcja skrzynek pocztowych umożliwia rejestrowanie inspekcji skrzynek pocztowych w skrzynkach pocztowych grupy Microsoft 365, ale nie można dostosować tego, co jest rejestrowane (nie można dodawać ani usuwać akcji skrzynek pocztowych, które są rejestrowane dla dowolnego typu logowania). Pamiętaj, że administrator z uprawnieniami pełnego dostępu do skrzynki pocztowej grupy Microsoft 365 jest uważany za pełnomocnika.

Wyłącz domyślnie audyt skrzynek pocztowych

Inspekcję skrzynek pocztowych można domyślnie wyłączyć dla całej organizacji, uruchamiając następujące polecenie w programie Exchange Online PowerShell:

Set-OrganizationConfig - AuditDisabled $true

Domyślne wyłączenie inspekcji skrzynek pocztowych ma następujące wyniki:

  • Inspekcja skrzynek pocztowych jest wyłączona w Twojej organizacji.
  • Od momentu wyłączenia domyślnie inspekcji skrzynki pocztowej żadne akcje skrzynki pocztowej nie są poddawane inspekcji, nawet jeśli inspekcja jest włączona w skrzynce pocztowej (  właściwość AuditEnabled  skrzynki pocztowej to  True ).
  • Inspekcja skrzynek pocztowych nie jest włączona dla nowych skrzynek pocztowych i ustawienie  właściwości AuditEnabled  nowej lub istniejącej skrzynki pocztowej na  True  zostanie zignorowane.
  • Wszelkie ustawienia skojarzeń pomijania inspekcji skrzynek pocztowych (skonfigurowane za pomocą  polecenia cmdlet Set-MailboxAuditBypassAssociation  ) są ignorowane.
  • Istniejące rekordy kontroli skrzynek pocztowych są przechowywane do momentu wygaśnięcia limitu wieku dziennika kontroli dla rekordu.

Dziennik kontroli

Jeśli chodzi o zgodność w Microsoft 365, Dziennik audytu jest prawdopodobnie najważniejszym narzędziem ze wszystkich. Śledzi każde działanie użytkownika i konta we wszystkich usługach Microsoft 365. Możesz generować raporty dotyczące usunięć, udostępnień, pobrań, edycji, odczytów itp. dla wszystkich użytkowników i wszystkich produktów. Możesz także skonfigurować niestandardowe alerty, aby otrzymywać powiadomienia o wystąpieniu określonych działań.

Mimo całej jego użyteczności, najbardziej niesamowitą rzeczą jest to, że nie jest domyślnie włączony.

To może być frustrujące, gdy natkniesz się na zapytanie lub problem, który można łatwo rozwiązać, gdybyś miał dostęp do dzienników, tylko po to, by dowiedzieć się, że nigdy nie były one włączone. Oto, jak skonfigurować go we własnej organizacji.

Włącz audyt

Ty (lub inny administrator) musisz włączyć rejestrowanie audytu, zanim zaczniesz przeszukiwać dziennik audytu.

  • Przejdź do portalu zgodności Microsoft Purview .
  • W lewym okienku nawigacyjnym portalu zgodności kliknij opcję  Audyt .
  • Jeśli inspekcja nie jest włączona w Twojej organizacji, zostanie wyświetlony baner z monitem o rozpoczęcie rejestrowania aktywności użytkowników i administratorów.

Dziennik audytu O365: 15 rzeczy, które musisz wiedzieć

  • Kliknij   baner Rozpocznij rejestrowanie aktywności użytkownika i administratora . Wprowadzenie zmiany może potrwać do 60 minut.

Użyj PowerShell, aby włączyć audyt

  • Połącz się z Exchange Online przez PowerShell jako administrator .
  • Upewnij się, że dzierżawca platformy Microsoft 365 jest gotowy do ujednoliconego dziennika inspekcji, włączając dostosowywanie organizacji:

Włącz-OrganizacjaDostosowanie

Uruchom następujące polecenie, aby włączyć ujednolicony dziennik kontroli:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Włącz kontrolę skrzynek pocztowych

Aby włączyć inspekcję dla pojedynczej skrzynki pocztowej, użyj polecenia PowerShell:

Set-Mailbox -Tożsamość "Test 12" -AuditEnabled $true

Aby włączyć inspekcję dla wszystkich skrzynek pocztowych w Twojej organizacji, użyj polecenia PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | Set-Mailbox -AuditEnabled$true

Aby potwierdzić, czy pomyślnie włączono audyt, musisz uruchomić polecenie „ Get-Mailbox ” w programie Exchange Online. Wartość „ True ” właściwości AuditEnabled potwierdza, że ​​pomyślnie włączono rejestrowanie inspekcji skrzynki pocztowej.

Dziennik audytu O365: 15 rzeczy, które musisz wiedzieć

Wyłącz kontrolę skrzynek pocztowych dla określonych skrzynek pocztowych

Obecnie nie można wyłączyć inspekcji skrzynek pocztowych dla określonych skrzynek pocztowych, jeśli inspekcja skrzynek pocztowych jest domyślnie włączona w organizacji. Na przykład ustawienie  właściwości  skrzynki pocztowej  AuditEnabled na wartość False  jest ignorowane.

Jednak nadal można użyć  polecenia cmdlet Set-MailboxAuditBypassAssociation  w programie Exchange Online PowerShell, aby zapobiec  rejestrowaniu wszystkich  akcji skrzynek pocztowych przez określonych użytkowników, niezależnie od miejsca ich wystąpienia. Na przykład:

  • Czynności właściciela skrzynki pocztowej wykonywane przez pomijanych użytkowników nie są rejestrowane.
  • Akcje delegowania wykonywane przez pomijanych użytkowników na skrzynkach pocztowych innych użytkowników (w tym udostępnionych skrzynkach pocztowych) nie są rejestrowane.
  • Czynności administracyjne wykonywane przez pomijanych użytkowników nie są rejestrowane.

Aby pominąć rejestrowanie audytu skrzynki pocztowej dla określonego użytkownika:

Set-MailboxAuditBypassAssociation -Tożsamość "Skrzynka pocztowa" -AuditByPassEnabled $true

Dziennik audytu O365: 15 rzeczy, które musisz wiedzieć

Aby sprawdzić, czy inspekcja jest pominięta dla określonego użytkownika, uruchom następujące polecenie:

Get-MailboxAuditBypassAssociation „Skrzynka pocztowa” | fl audytb*

Dziennik audytu O365: 15 rzeczy, które musisz wiedzieć

Wartość  True  wskazuje, że rejestrowanie inspekcji skrzynki pocztowej jest pomijane dla użytkownika.

Raporty z audytu Exchange Online

Raporty z inspekcji usługi Exchange Online zawierają szczegółowe informacje o dostępie do skrzynek pocztowych i zmianach wprowadzonych przez administratorów w dzierżawie usługi Exchange Online w organizacji.

  • Uruchom raport o dostępie do skrzynek pocztowych innych niż właściciel : wyświetla listę skrzynek pocztowych, do których uzyskał dostęp ktoś inny niż właściciel skrzynki pocztowej. Raport zawiera informacje o tym, kto uzyskał dostęp do skrzynki pocztowej, jakie czynności wykonał w skrzynce pocztowej oraz czy czynności zakończyły się powodzeniem.
  • Eksportuj dzienniki kontrolne skrzynek pocztowych : dzienniki kontrolne skrzynek pocztowych zawierają informacje o dostępie i działaniach w skrzynce pocztowej wykonanych przez użytkownika innego niż właściciel skrzynki pocztowej. Administratorzy mogą określić skrzynki pocztowe wraz z zakresem dat do generowania raportów. Logi są eksportowane w formacie XML, dołączane do wiadomości i wysyłane do określonych użytkowników określonych przez administratora.
  • Uruchom raport grupy ról administratora : Grupa ról administratora służy do przypisywania użytkownikom uprawnień administracyjnych. Te uprawnienia umożliwiają użytkownikom wykonywanie zadań administracyjnych, takich jak resetowanie haseł, tworzenie lub modyfikowanie skrzynek pocztowych oraz przypisywanie uprawnień administratora innym użytkownikom. Raport grupy ról administratora przedstawia zmiany w grupach ról, w tym dodawanie lub usuwanie członków.
  • Wyświetl dziennik inspekcji administratora : raport dziennika inspekcji administratora zawiera listę wszystkich funkcji tworzenia, aktualizowania i usuwania wykonywanych przez administratorów w usłudze Exchange Online. Wpisy dziennika zawierają informacje o tym, które polecenie cmdlet zostało uruchomione, jakie parametry zostały użyte, kto uruchomił polecenie cmdlet i jakie obiekty zostały naruszone.
  • Eksportuj dziennik inspekcji administratora : dziennik inspekcji administratora rejestruje określone czynności administracyjne, takie jak tworzenie, aktualizowanie i usuwanie w programie Exchange Online. Wyniki z dziennika są eksportowane do formatu XML, a administratorzy mogą zdecydować się na wysłanie tego dziennika do zbioru użytkowników.
  • Wyświetl i wyeksportuj dziennik kontroli administratora zewnętrznego : zawiera szczegóły działań wykonanych przez administratorów zewnętrznych. Wpisy zawierają informacje o tym, które polecenie cmdlet zostało uruchomione, jakie parametry zostały użyte, oraz wszelkie akcje, które tworzą, modyfikują lub usuwają obiekty w programie Exchange Online.

Dzienniki audytu O365 powershell

Aby przeszukać inspekcję skrzynki pocztowej:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01.01.2021 -EndDate 31.01.2021

Aby wyeksportować wyniki do pliku csv:

Search-MailboxAuditLog [email protected] -ShowDetails -Data rozpoczęcia 1.01.2021 -Data zakończenia 31.01.2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Aby wyświetlić i wyeksportować dzienniki na podstawie operacji :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operacje HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Właściciel -StartDate 01.01.2021 -EndDate 31.01.2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Aby wyświetlić i wyeksportować dzienniki oparte na typach logowania :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Właściciel,Delegant,Administrator -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Aby przeszukać ujednolicony dziennik kontrolny:

Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 31.01.2021 -RecordType SharePointFileOperation

Aby wyeksportować niektóre właściwości ujednoliconego dziennika kontroli do pliku CSV:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Aby wyświetlić zmiany reguł transportu :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 31.01.2021

Aby wyświetlić zmiany filtrów spamu:

Search-AdminAuditLog-Cmdlets Set-HostedContentFilterPolicy-StartDate 01.01.2021-EndDate 31.01.2021
Search-UnifiedAuditLog-Operations Set-HostedContentFilterPolicy-StartDate 01.01.2021-EndDate 31.01.2021

Aby sprawdzić zmiany filtra połączeń :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021
Search-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01.01.2021 -EndDate 31.01.2021

Jak wyświetlić raporty dziennika inspekcji w SharePoint Online?

Inspekcja środowiska SharePoint Online pomaga zachować bezpieczeństwo i spełnić wymagania zgodności z przepisami. Aby wyświetlić raporty inspekcji udostępniane przez natywne narzędzie SharePoint Online:

  • Zaloguj się do SharePoint Online.
  • Kliknij ikonę ustawień, a następnie kliknij Ustawienia witryny.
  • Kliknij Raporty dziennika inspekcji w sekcji Administracja zbiorem witryn.
  • Wybierz raport (np. Usunięcie), który chcesz ze strony Wyświetl raporty kontrolne.
  • Wpisz adres URL lub przejdź do biblioteki, w której chcesz zapisać raport, a następnie kliknij przycisk OK.
  • Na stronie Operacja zakończona pomyślnie wybierz opcję Kliknij tutaj, aby wyświetlić ten raport.

Raporty dzienników inspekcji SharePoint umożliwiają analizę wszystkich działań w środowisku SharePoint.

Dzienniki audytu O365 API

Firma Microsoft zapewnia usługi raportowania, które umożliwiają administratorom uzyskiwanie zagregowanych informacji transakcyjnych dotyczących ich dzierżawców platformy Microsoft 365. Interfejs API działań zarządzania platformy Microsoft 365 wykorzystuje do uwierzytelniania zgodny ze standardami branżowymi projekt RESTful i protokół OAuth v2, co ułatwia rozpoczęcie eksperymentów z pobieraniem danych i przetwarzaniem ich w narzędziach i aplikacjach do wizualizacji.

Interfejs API udostępnia źródło danych, które zawiera informacje o użytkownikach, administratorach, operacjach i działaniach związanych z bezpieczeństwem na platformie Microsoft 365. Dane mogą być przechowywane do celów prawnych lub łączone z danymi dziennika uzyskanymi z infrastruktury lokalnej lub z innych źródeł w celu zbudowania rozwiązanie do monitorowania operacji, bezpieczeństwa i zgodności w całym przedsiębiorstwie.

Interfejs Management Activity API zapewnia obecnie kompleksowy widok ponad 150 typów transakcji z SharePoint Online, OneDrive dla Firm, Exchange Online i Azure AD. Interfejs API zapewnia spójny schemat inspekcji z ponad 10 polami, które są wspólne dla wszystkich usług.

Pozwala to organizacjom na łatwe łączenie zdarzeń i daje nowe sposoby wnioskowania o danych. Dziesiątki niezależnych dostawców oprogramowania (ISV) nawiązało współpracę z firmą Microsoft i zbudowało rozwiązania oparte na API. Niektóre rozwiązania koncentrują się wyłącznie na danych platformy Microsoft 365, podczas gdy inne zapewniają możliwość pozyskiwania danych od wielu dostawców chmury i systemów lokalnych w celu utworzenia ujednoliconego widoku wszystkich operacji, zabezpieczeń i działań związanych ze zgodnością. Aby uzyskać więcej informacji, zobacz dokument Microsoft 365 Management Activity API reference .

Przeczytaj także : Microsoft Cloud App Security: ostateczny przewodnik

Streszczenie

Dziennik inspekcji usługi O365 zawiera kilka funkcji w Centrum zabezpieczeń oraz programistyczne metody pobierania i analizowania danych dziennika przy użyciu zdalnego programu PowerShell i interfejsu API REST usług sieci Web. Administratorzy mogą korzystać z funkcji inspekcji na platformie Microsoft Microsoft 365, aby śledzić zmiany wprowadzone w kluczowych elementach konfiguracji dzierżawy i usługi, w dokumentach i innych elementach.



Leave a Comment

3 sposoby porównywania kolumn w programie Excel pod kątem dopasowań

3 sposoby porównywania kolumn w programie Excel pod kątem dopasowań

Chcesz sprawdzić, czy dane w programie Excel są zgodne z plikiem źródłowym? Oto jak porównać kolumny w programie Excel pod kątem dopasowań.

Jak dodawać i usuwać numery linii w programie Microsoft Word

Jak dodawać i usuwać numery linii w programie Microsoft Word

Jeśli pracujesz nad dokumentem zawierającym dużo tekstu i chcesz ułatwić odwoływanie się do dokumentu lub przeglądanie go, możesz wypróbować numerowanie wierszy. Numeracja linii jest

4 najlepsze sposoby tworzenia ułamka w programie Microsoft Word

4 najlepsze sposoby tworzenia ułamka w programie Microsoft Word

Chcesz wstawić symbole matematyczne, takie jak ułamki, do dokumentu programu Microsoft Word? Oto najlepsze sposoby, aby to zrobić.

6 najlepszych sposobów naprawienia braku odpowiedzi programu Microsoft PowerPoint w systemie Windows 11

6 najlepszych sposobów naprawienia braku odpowiedzi programu Microsoft PowerPoint w systemie Windows 11

Czy program Microsoft PowerPoint nie odpowiada lub ulega awarii na komputerze z systemem Windows 11? Oto, co możesz zrobić, aby rozwiązać podstawowy problem.

Jak edytować nazwę autora w programie Microsoft Word

Jak edytować nazwę autora w programie Microsoft Word

Za każdym razem, gdy tworzysz lub zostawiasz komentarz w dokumencie Microsoft Word, jako nazwisko autora zostaje przypisana domyślna nazwa konta Microsoft. Kiedy się dzielisz

4 sposoby naprawienia paska narzędzi programu Excel, który nie działa w systemie Windows

4 sposoby naprawienia paska narzędzi programu Excel, który nie działa w systemie Windows

Jeśli pasek narzędzi programu Microsoft Excel nie działa na komputerze z systemem Windows 10 lub 11, oto jak to naprawić.

Jak utworzyć przycisk Drukuj do pliku PDF w programie Microsoft Excel w systemie Windows 11

Jak utworzyć przycisk Drukuj do pliku PDF w programie Microsoft Excel w systemie Windows 11

Aby szybko wydrukować arkusz programu Excel w formacie PDF, oto sposób utworzenia przycisku Drukuj do pliku PDF w programie Microsoft Excel.

3 najlepsze sposoby wyodrębniania obrazów z prezentacji programu PowerPoint

3 najlepsze sposoby wyodrębniania obrazów z prezentacji programu PowerPoint

Chcesz zapisać obrazy z pliku programu PowerPoint i używać ich w innym miejscu? Oto trzy proste sposoby wyodrębniania obrazów z prezentacji programu PowerPoint.

10 najlepszych sposobów na naprawienie problemu z pisaniem w programie Microsoft Word

10 najlepszych sposobów na naprawienie problemu z pisaniem w programie Microsoft Word

Brak możliwości pisania w dokumencie programu Word może zmarnować godziny Twojej produktywności. Oto najlepsze sposoby naprawienia błędu przechylonego w programie Microsoft Word.

Program Word nie odpowiada podczas drukowania: jak rozwiązać problem

Program Word nie odpowiada podczas drukowania: jak rozwiązać problem

Program Word nie odpowiada podczas drukowania dokumentu na komputerze? Oto osiem wypróbowanych sposobów, aby to naprawić!