บันทึกการตรวจสอบ O365: 15 สิ่งที่คุณต้องรู้

บทความนี้อธิบายภาพรวมของบันทึกการตรวจสอบ O365 และฟีเจอร์ในการติดตามผู้ใช้และกิจกรรมการดูแลระบบภายในผู้เช่า Microsoft 365 เช่น การเปลี่ยนแปลงการตั้งค่าการกำหนดค่าผู้เช่า Exchange Online และ SharePoint Online และการเปลี่ยนแปลงที่ทำโดยผู้ใช้ในเอกสารและรายการอื่นๆ ผู้ดูแลระบบสามารถใช้ข้อมูลการตรวจสอบที่มีอยู่ใน Microsoft 365 เพื่อปฏิบัติตามข้อผูกพันในการปฏิบัติตามข้อกำหนด

1 การตรวจสอบกล่องจดหมาย

1.1 ตรวจสอบว่าเปิดการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นแล้ว

1.2 การดำเนินการกับกล่องจดหมายสำหรับกล่องจดหมายของกลุ่ม Microsoft 365

1.3 ปิดการตรวจสอบเมลบ็อกซ์โดยค่าเริ่มต้น

1.4 บันทึกการตรวจสอบ

1.5 เปิดการตรวจสอบ

1.5.1 ใช้ PowerShell เพื่อเปิดการตรวจสอบ

1.6 เปิดใช้งานการตรวจสอบกล่องจดหมาย

1.7 ปิดใช้งานการตรวจสอบเมลบ็อกซ์สำหรับเมลบ็อกซ์เฉพาะ

2 รายงานการตรวจสอบการแลกเปลี่ยนออนไลน์

3 O365 บันทึกการตรวจสอบ powershell

4 จะดูรายงานบันทึกการตรวจสอบใน SharePoint Online ได้อย่างไร

5 บันทึกการตรวจสอบ O365 api

6 สรุป

การตรวจสอบกล่องจดหมาย

Microsoft กำลังเปิดการบันทึกการตรวจสอบกล่องจดหมายตามค่าเริ่มต้นสำหรับทุกองค์กร ซึ่งหมายความว่าการดำเนินการบางอย่างที่ดำเนินการโดยเจ้าของกล่องจดหมาย ผู้รับมอบสิทธิ์ และผู้ดูแลระบบจะได้รับการบันทึกโดยอัตโนมัติ และบันทึกการตรวจสอบกล่องจดหมายที่เกี่ยวข้องจะพร้อมใช้งานเมื่อคุณค้นหาในบันทึกการตรวจสอบกล่องจดหมาย ก่อนเปิดใช้งานการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้น คุณต้องเปิดใช้งานด้วยตนเองสำหรับกล่องจดหมายของผู้ใช้ทุกรายในองค์กรของคุณ

ต่อไปนี้คือข้อดีบางประการของการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้น:

• การตรวจสอบจะเปิดใช้งานโดยอัตโนมัติเมื่อคุณสร้างกล่องจดหมายใหม่ คุณไม่จำเป็นต้องเปิดใช้งานด้วยตนเองสำหรับผู้ใช้ใหม่
• คุณไม่จำเป็นต้องจัดการการดำเนินการของกล่องจดหมายที่ได้รับการตรวจสอบ ชุดการดำเนินการของกล่องจดหมายที่กำหนดไว้ล่วงหน้าจะได้รับการตรวจสอบตามค่าเริ่มต้นสำหรับการเข้าสู่ระบบแต่ละประเภท (ผู้ดูแลระบบผู้รับมอบสิทธิ์และเจ้าของ)
• เมื่อ Microsoft เปิดตัวการดำเนินการกับกล่องจดหมายใหม่ การดำเนินการนั้นอาจถูกเพิ่มโดยอัตโนมัติไปยังรายการการดำเนินการของกล่องจดหมายที่ได้รับการตรวจสอบโดยค่าเริ่มต้น (ขึ้นอยู่กับผู้ใช้ที่มีสิทธิ์การใช้งานที่เหมาะสม) ซึ่งหมายความว่าคุณไม่จำเป็นต้องตรวจสอบการเพิ่มการดำเนินการใหม่ในกล่องจดหมาย
• คุณมีนโยบายการตรวจสอบกล่องจดหมายที่สอดคล้องกันทั่วทั้งองค์กรของคุณ (เนื่องจากคุณกำลังตรวจสอบการดำเนินการเดียวกันสำหรับกล่องจดหมายทั้งหมด)

ตรวจสอบว่าเปิดการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นแล้ว

เมื่อต้องการตรวจสอบว่าเปิดการตรวจสอบกล่องจดหมายตามค่าเริ่มต้นสำหรับองค์กรของคุณ ให้เรียกใช้คำสั่งต่อไปนี้ใน  Exchange Online PowerShell :

รับ-OrganizationConfig | การตรวจสอบ FL ปิดการใช้งาน

ค่า  False  บ่งชี้ว่าการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นถูกเปิดใช้งานสำหรับองค์กร โดยค่าเริ่มต้น ค่าขององค์กรนี้จะแทนที่การตั้งค่าการตรวจสอบกล่องจดหมายในกล่องจดหมายเฉพาะ ตัวอย่างเช่น ถ้าการตรวจสอบกล่องจดหมายถูกปิดใช้งานสำหรับกล่องจดหมาย (  คุณสมบัติ AuditEnabled  เป็น  เท็จ  ในกล่องจดหมาย) การดำเนินการของกล่องจดหมายเริ่มต้นจะยังคงได้รับการตรวจสอบสำหรับกล่องจดหมาย เนื่องจากการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นจะเปิดใช้งานสำหรับองค์กร

เมื่อต้องการปิดการตรวจสอบกล่องจดหมายสำหรับกล่องจดหมายเฉพาะ คุณต้องกำหนดค่าการเลี่ยงผ่านการตรวจสอบกล่องจดหมายสำหรับเจ้าของกล่องจดหมายและผู้ใช้อื่นที่ได้รับมอบหมายให้เข้าถึงกล่องจดหมาย สำหรับข้อมูลเพิ่มเติม โปรดดูที่  ข้ามการบันทึกการตรวจสอบกล่องจดหมาย

การดำเนินการกับกล่องจดหมายสำหรับกล่องจดหมายของกลุ่ม Microsoft 365

การตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นจะนำการบันทึกการตรวจสอบกล่องจดหมายไปยังกล่องจดหมายของกลุ่ม Microsoft 365 แต่คุณไม่สามารถกำหนดสิ่งที่กำลังบันทึกได้ (คุณไม่สามารถเพิ่มหรือเอาการกระทำของกล่องจดหมายที่บันทึกไว้สำหรับประเภทการเข้าสู่ระบบใดๆ ออกได้) โปรดจำไว้ว่า ผู้ดูแลระบบที่มีสิทธิ์การเข้าถึงแบบเต็มในกล่องจดหมาย Microsoft 365 Group ถือเป็นผู้รับมอบสิทธิ์

ปิดการตรวจสอบเมลบ็อกซ์โดยค่าเริ่มต้น

คุณสามารถปิดการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นสำหรับทั้งองค์กรของคุณโดยการเรียกใช้คำสั่งต่อไปนี้ใน Exchange Online PowerShell:

ชุด-OrganizationConfig -AuditDisabled $ true

การปิดการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้นมีผลดังต่อไปนี้:

• การตรวจสอบกล่องจดหมายถูกปิดใช้งานสำหรับองค์กรของคุณ
• ตั้งแต่เวลาที่คุณปิดใช้งานการตรวจสอบกล่องจดหมายโดยค่าเริ่มต้น จะไม่มีการตรวจสอบการดำเนินการของกล่องจดหมาย แม้ว่าจะมีการเปิดใช้งานการตรวจสอบในกล่องจดหมายก็ตาม (  คุณสมบัติ AuditEnabled  บนกล่องจดหมายคือ  True )
• การตรวจสอบกล่องจดหมายไม่ได้เปิดใช้งานสำหรับกล่องจดหมายใหม่และการตั้งค่า  คุณสมบัติ AuditEnabled  บนกล่องจดหมายใหม่หรือที่มีอยู่เป็น  True  จะถูกละเว้น
• การตั้งค่าการเชื่อมโยงข้ามการตรวจสอบกล่องจดหมายใดๆ (กำหนดค่าโดยใช้  cmdlet Set-MailboxAuditBypassAssociation  ) จะถูกละเว้น
• เรกคอร์ดการตรวจสอบกล่องจดหมายที่มีอยู่จะยังคงอยู่จนกว่าขีดจำกัดอายุบันทึกการตรวจสอบสำหรับเรกคอร์ดจะหมดอายุ

บันทึกการตรวจสอบ

สำหรับการปฏิบัติตามข้อกำหนดใน Microsoft 365 บันทึกการตรวจสอบน่าจะเป็นเครื่องมือที่สำคัญที่สุด ติดตามทุกการกระทำของผู้ใช้และบัญชีในบริการ Microsoft 365 ทั้งหมด คุณสามารถเรียกใช้รายงานเกี่ยวกับการลบ แชร์ ดาวน์โหลด แก้ไข อ่าน ฯลฯ สำหรับผู้ใช้ทั้งหมดและผลิตภัณฑ์ทั้งหมด คุณยังสามารถตั้งค่าการเตือนที่กำหนดเองเพื่อรับการแจ้งเตือนทุกครั้งที่มีกิจกรรมเกิดขึ้น

เพื่อประโยชน์ทั้งหมดนั้น สิ่งที่น่าทึ่งที่สุดคือมันไม่ได้เปิดใช้งานโดยค่าเริ่มต้น

อาจทำให้คุณหงุดหงิดใจเมื่อคุณพบคำถามหรือปัญหาที่สามารถแก้ไขได้ง่ายหากคุณมีสิทธิ์เข้าถึงบันทึก แต่กลับพบว่าไม่ได้เปิดใช้งานบันทึกดังกล่าวตั้งแต่แรก ต่อไปนี้เป็นวิธีตั้งค่าในองค์กรของคุณเอง

เปิดการตรวจสอบ

คุณ (หรือผู้ดูแลระบบคนอื่น) ต้องเปิดการบันทึกการตรวจสอบก่อนจึงจะเริ่มค้นหาบันทึกการตรวจสอบได้

• ไปที่ พอร์ทัลการปฏิบัติตามข้อกำหนด ของMicrosoft Purview
• ในบานหน้าต่างนำทางด้านซ้ายของพอร์ทัลการปฏิบัติตามข้อกำหนด ให้คลิก  ตรวจสอบ
• หากไม่ได้เปิดการตรวจสอบสำหรับองค์กรของคุณ แบนเนอร์จะปรากฏขึ้นเพื่อแจ้งให้คุณเริ่มบันทึกกิจกรรมของผู้ใช้และผู้ดูแลระบบ

• คลิก  เริ่มการบันทึกผู้ใช้และ  แบนเนอร์กิจกรรมของผู้ดูแลระบบ การเปลี่ยนแปลงอาจใช้เวลาถึง 60 นาทีจึงจะมีผล

ใช้ PowerShell เพื่อเปิดการตรวจสอบ

• เชื่อมต่อกับ Exchange Online ผ่าน PowerShell ในฐานะผู้ดูแลระบบ
• ตรวจสอบให้แน่ใจว่าผู้เช่า Microsoft 365 ของคุณพร้อมสำหรับบันทึกการตรวจสอบแบบรวมโดยเปิดใช้งานการปรับแต่งองค์กร:

Enable-OrganizationCustomization

รันคำสั่งต่อไปนี้เพื่อเปิดใช้งาน Unified Audit Log:

ชุด AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

เปิดใช้งานการตรวจสอบกล่องจดหมาย

เมื่อต้องการเปิดใช้งานการตรวจสอบสำหรับกล่องจดหมายเดียว ให้ใช้คำสั่ง PowerShell:

Set-Mailbox - ข้อมูลระบุตัวตน “Test 12” -AuditEnabled $true

เมื่อต้องการเปิดใช้งานการตรวจสอบสำหรับกล่องจดหมายทั้งหมดในองค์กรของคุณ ให้ใช้คำสั่ง PowerShell:

รับกล่องจดหมาย -ResultSize Unlimited -Filter{RecipientTypeDetails -eq “UserMailbox”} | ชุดกล่องจดหมาย -AuditEnabled$true

เพื่อยืนยันว่าคุณได้เปิดใช้งานการตรวจสอบสำเร็จหรือไม่ คุณต้องเรียกใช้ คำสั่ง " รับกล่องจดหมาย " ใน Exchange Online ค่า " True " ของคุณสมบัติ AuditEnabled ยืนยันว่าคุณเปิดใช้งานการบันทึกการตรวจสอบกล่องจดหมายเรียบร้อยแล้ว

ปิดใช้งานการตรวจสอบกล่องจดหมายสำหรับกล่องจดหมายเฉพาะ

ในปัจจุบัน คุณไม่สามารถปิดใช้งานการตรวจสอบกล่องจดหมายสำหรับกล่องจดหมายเฉพาะเมื่อมีการเปิดการตรวจสอบกล่องจดหมายตามค่าเริ่มต้นในองค์กรของคุณ ตัวอย่างเช่น การตั้งค่า  คุณสมบัติของ  กล่องจดหมาย  AuditEnabled เป็น False  จะถูกละเว้น

อย่างไรก็ตาม คุณยังคงสามารถใช้  Set-MailboxAuditBypassAssociation  cmdlet ใน Exchange Online PowerShell เพื่อป้องกันไม่ให้  มีการบันทึกการดำเนินการในกล่องจดหมาย ใดๆ และทั้งหมด  โดยผู้ใช้ที่ระบุ โดยไม่คำนึงว่าการดำเนินการจะเกิดขึ้นที่ใด ตัวอย่างเช่น:

• การดำเนินการของเจ้าของกล่องจดหมายที่ดำเนินการโดยผู้ใช้ที่ข้ามจะไม่ถูกบันทึก
• การดำเนินการของผู้รับมอบสิทธิ์ที่ดำเนินการโดยผู้ใช้ที่ถูกข้ามบนกล่องจดหมายของผู้ใช้รายอื่น (รวมถึงกล่องจดหมายที่แชร์) จะไม่ถูกบันทึก
• การดำเนินการของผู้ดูแลระบบที่ดำเนินการโดยผู้ใช้ที่ข้ามจะไม่ถูกบันทึก

เมื่อต้องการข้ามการบันทึกการตรวจสอบกล่องจดหมายสำหรับผู้ใช้เฉพาะ:

Set-MailboxAuditBypassAssociation - ระบุ "กล่องจดหมาย" -AuditByPassEnabled $ true

เมื่อต้องการตรวจสอบว่าการตรวจสอบถูกข้ามสำหรับผู้ใช้ที่ระบุ ให้รันคำสั่งต่อไปนี้:

รับ MailboxAuditBypassAssociation “Mailbox” | ชั้น Auditb*

ค่า  True  บ่งชี้ว่าการบันทึกการตรวจสอบกล่องจดหมายถูกข้ามสำหรับผู้ใช้

แลกเปลี่ยนรายงานการตรวจสอบออนไลน์

รายงานการตรวจสอบ Exchange Online มีรายละเอียดเกี่ยวกับการเข้าถึงกล่องจดหมายและการเปลี่ยนแปลงที่ทำโดยผู้ดูแลระบบกับผู้เช่า Exchange Online ขององค์กร

• เรียกใช้รายงานการเข้าถึงเมลบ็อกซ์ที่ไม่ใช่เจ้าของ : แสดงรายการของเมลบ็อกซ์ที่มีการเข้าถึงโดยบุคคลอื่นที่ไม่ใช่เจ้าของเมลบ็อกซ์ รายงานประกอบด้วยข้อมูลเกี่ยวกับผู้ที่เข้าถึงเมลบ็อกซ์ การกระทำที่พวกเขาทำในเมลบ็อกซ์ และการดำเนินการนั้นสำเร็จหรือไม่
• ส่งออกบันทึกการตรวจสอบกล่องจดหมาย : บันทึกการตรวจสอบกล่องจดหมายมีข้อมูลเกี่ยวกับการเข้าถึงและการดำเนินการในกล่องจดหมายที่ดำเนินการโดยผู้ใช้อื่นที่ไม่ใช่เจ้าของกล่องจดหมาย ผู้ดูแลระบบสามารถระบุกล่องจดหมายพร้อมกับช่วงวันที่เพื่อสร้างรายงาน บันทึกจะถูกส่งออกในรูปแบบ XML แนบไปกับข้อความและส่งไปยังผู้ใช้เฉพาะตามที่ผู้ดูแลระบบกำหนด
• เรียกใช้รายงานกลุ่มบทบาทผู้ดูแลระบบ : กลุ่มบทบาทผู้ดูแลระบบใช้เพื่อกำหนดสิทธิ์ผู้ดูแลระบบให้กับผู้ใช้ สิทธิ์เหล่านี้อนุญาตให้ผู้ใช้ดำเนินการดูแลระบบ เช่น รีเซ็ตรหัสผ่าน สร้างหรือแก้ไขเมลบ็อกซ์ และกำหนดสิทธิ์ของผู้ดูแลระบบให้กับผู้ใช้รายอื่น รายงานกลุ่มบทบาทผู้ดูแลระบบจะแสดงการเปลี่ยนแปลงในกลุ่มบทบาท รวมถึงการเพิ่มหรือการนำสมาชิกออก
• ดูบันทึกการตรวจสอบของผู้ดูแลระบบ : รายงานบันทึกการตรวจสอบของผู้ดูแลระบบจะแสดงรายการฟังก์ชันที่สร้าง อัปเดต และลบทั้งหมดที่ดำเนินการโดยผู้ดูแลระบบใน Exchange Online รายการบันทึกให้ข้อมูลว่ามีการเรียกใช้ cmdlet ใด ใช้พารามิเตอร์ใด ใครเป็นผู้เรียกใช้ cmdlet และวัตถุใดได้รับผลกระทบ
• ส่งออกบันทึกการตรวจสอบของผู้ดูแลระบบ : บันทึกการตรวจสอบของผู้ดูแลระบบจะบันทึกการดำเนินการด้านการดูแลระบบเฉพาะ เช่น สร้าง อัปเดต และลบใน Exchange Online ผลลัพธ์จากบันทึกจะถูกส่งออกไปยัง XML และผู้ดูแลระบบสามารถเลือกที่จะส่งบันทึกนี้ไปยังกลุ่มผู้ใช้
• ดูและส่งออกบันทึกการตรวจสอบผู้ดูแลระบบภายนอก : มีรายละเอียดของการดำเนินการที่ดำเนินการโดยผู้ดูแลระบบภายนอก รายการให้ข้อมูลว่า cmdlet ใดถูกเรียกใช้ พารามิเตอร์ใดที่ใช้ และการดำเนินการใดๆ ที่สร้าง แก้ไข หรือลบวัตถุใน Exchange Online

บันทึกการตรวจสอบ O365 powershell

ในการค้นหาการตรวจสอบเมลบ็อกซ์:

ค้นหา-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

ในการส่งออกผลลัพธ์เป็นไฟล์ csv:

ค้นหา-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | ส่งออก-Csv C:\users\AuditLogs.csv -NoTypeInformation

ในการดูและส่งออกบันทึกตามการดำเนินการ :

ค้นหา MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | ส่งออก-Csv C:\AuditLogs.csv -NoTypeInformation

ในการดูและส่งออกบันทึกตามประเภทการเข้าสู่ระบบ :

ค้นหา-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | ส่งออก-Csv C:\AuditLogs.csv -NoTypeInformation

หากต้องการค้นหาบันทึกการตรวจสอบแบบรวม:

ค้นหา UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

ในการส่งออกคุณสมบัติบางอย่างของบันทึกการตรวจสอบแบบรวมเป็นไฟล์ CSV:

$auditlog | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | ส่งออก-Csv - ต่อท้าย -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

เพื่อดูการเปลี่ยนแปลงกฎการขนส่ง :

Search-AdminAuditLog -Cmdlets Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021
ค้นหา-UnifiedAuditLog -Operations Set-TransportRule -StartDate 01/01/2021 -EndDate 01/31/2021

ในการดู การเปลี่ยนแปลงตัวกรองสแปม :

Search-AdminAuditLog -Cmdlets Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
ค้นหา-UnifiedAuditLog -Operations Set-HostedContentFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

วิธีตรวจสอบการเปลี่ยนแปลงตัวกรองการเชื่อมต่อ :

Search-AdminAuditLog -Cmdlets Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021
ค้นหา-UnifiedAuditLog -Operations Set-HostedConnectionFilterPolicy -StartDate 01/01/2021 -EndDate 01/31/2021

จะดูรายงานบันทึกการตรวจสอบใน SharePoint Online ได้อย่างไร

การตรวจสอบสภาพแวดล้อม SharePoint Online ของคุณจะช่วยให้คุณปลอดภัยและปฏิบัติตามข้อกำหนดของการปฏิบัติตามกฎระเบียบ เมื่อต้องการดูรายงานการตรวจสอบที่เครื่องมือดั้งเดิมของ SharePoint Online มีให้:

• เข้าสู่ระบบ SharePoint Online
• คลิกการตั้งค่าไอคอนการตั้งค่าและจากนั้น คลิกการตั้งค่าไซต์
• คลิกรายงานบันทึกการตรวจสอบในส่วนการดูแลไซต์คอลเลกชัน
• เลือกรายงาน (เช่น การลบ) ที่คุณต้องการจากหน้า ดูรายงานการตรวจสอบ
• พิมพ์ URL หรือเรียกดูไลบรารีที่คุณต้องการบันทึกรายงาน จากนั้นคลิก ตกลง
• ในหน้า Operation Completed Successfully ให้เลือก คลิกที่นี่เพื่อดูรายงานนี้

รายงาน บันทึกการตรวจสอบของ SharePointช่วยให้คุณวิเคราะห์กิจกรรมทั้งหมดในสภาพแวดล้อม SharePoint ของคุณได้

api . บันทึกการตรวจสอบ O365

Microsoft ให้บริการการรายงานที่ช่วยให้ผู้ดูแลระบบสามารถรับข้อมูลธุรกรรมรวมเกี่ยวกับผู้เช่า Microsoft 365 ของตน API กิจกรรมการจัดการของ Microsoft 365 ใช้การออกแบบ RESTful ที่เป็นมาตรฐานอุตสาหกรรมและ OAuth v2 สำหรับการตรวจสอบสิทธิ์ ซึ่งทำให้ง่ายต่อการเริ่มทดลองด้วยการดึงข้อมูลและนำเข้าข้อมูลไปยังเครื่องมือและแอปพลิเคชันการแสดงภาพ

API จัดเตรียมฟีดข้อมูลที่รวมข้อมูลเกี่ยวกับผู้ใช้ ผู้ดูแลระบบ การดำเนินงาน และกิจกรรมด้านความปลอดภัยใน Microsoft 365 ข้อมูลสามารถเก็บไว้เพื่อวัตถุประสงค์ด้านกฎระเบียบ หรือรวมกับข้อมูลบันทึกที่จัดหาจากโครงสร้างพื้นฐานภายในองค์กรหรือแหล่งอื่นๆ เพื่อสร้าง โซลูชันการตรวจสอบสำหรับการดำเนินงาน การรักษาความปลอดภัย และการปฏิบัติตามข้อกำหนดทั่วทั้งองค์กร

ขณะนี้ API กิจกรรมการจัดการให้มุมมองที่ครอบคลุมกว่า 150 ประเภทธุรกรรมจาก SharePoint Online, OneDrive for Business, Exchange Online และ Azure AD API ให้สคีมาการตรวจสอบที่สอดคล้องกันซึ่งมีมากกว่า 10 ฟิลด์ที่เหมือนกันในทุกบริการ

ซึ่งช่วยให้องค์กรสามารถเชื่อมต่อระหว่างเหตุการณ์ต่างๆ ได้ง่าย และช่วยให้มีวิธีใหม่ๆ ในการให้เหตุผลกับข้อมูล ผู้จำหน่ายซอฟต์แวร์อิสระ (ISV) หลายสิบรายได้ร่วมมือกับ Microsoft และสร้างโซลูชันตาม API โซลูชันบางอย่างมุ่งเน้นที่ข้อมูล Microsoft 365 เท่านั้น ในขณะที่โซลูชันอื่นๆ ให้ความสามารถในการนำเข้าข้อมูลจากผู้ให้บริการระบบคลาวด์หลายรายและระบบในองค์กรเพื่อสร้างมุมมองที่เป็นหนึ่งเดียวของการดำเนินการ ความปลอดภัย และกิจกรรมที่เกี่ยวข้องกับการปฏิบัติตามข้อกำหนดทั้งหมด สำหรับข้อมูลเพิ่มเติม โปรดดูที่การอ้างอิงMicrosoft 365 Management Activity API

อ่านเพิ่มเติม : Microsoft Cloud App Security: The Definitive Guide

สรุป

บันทึกการตรวจสอบ O365 มีคุณลักษณะหลายอย่างในศูนย์ความปลอดภัย และวิธีการทางโปรแกรมสำหรับการดึงและวิเคราะห์ข้อมูลบันทึกโดยใช้ PowerShell ระยะไกลและ Web Services REST API ผู้ดูแลระบบสามารถใช้ฟีเจอร์การตรวจสอบใน Microsoft Microsoft 365 เพื่อติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับรายการการกำหนดค่าผู้เช่าและการบริการ เอกสาร และรายการอื่นๆ