Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
mit Microsoft Purview Audit (Standard) und Audit (Premium) können Sie nach Überwachungsdatensätzen zu Aktivitäten suchen, die Benutzer und Administratoren in verschiedenen Microsoft-Diensten ausführen. Da Die Überwachung (Standard) für die meisten Microsoft 365-Organisationen standardmäßig aktiviert ist, müssen Sie nur einige Schritte ausführen, bevor Sie und andere Personen in Ihrem organization das Überwachungsprotokoll durchsuchen können. Um features zu verwenden, die nur in Audit (Premium) verfügbar sind, müssen Sie einige weitere Konfigurationsschritte ausführen.
Weitere Informationen zu Überwachungsfunktionen (Standard) und Audit (Premium) finden Sie unter Microsoft Purview-Überwachungslösungen.
Schritt 1: Überprüfen organization Abonnements und der Abrechnung
Für die Lizenzierung für Audit (Standard) und Audit (Premium) ist das entsprechende organization Abonnement erforderlich, das Zugriff auf das Überwachungsprotokoll-Suchtool und die Benutzerlizenzierung bietet, die zum Protokollieren und Aufbewahren von Überwachungsdatensätzen erforderlich ist.
Wenn ein Benutzer oder Administrator eine überwachte Aktivität ausführt, generiert das System einen Überwachungsdatensatz und speichert ihn im Überwachungsprotokoll für Ihre organization. In Audit (Standard) und Audit (Premium) können Sie Überwachungsdatensätze im Überwachungsprotokoll 180 Tage lang aufbewahren und durchsuchen.
Wichtig
Der Standardaufbewahrungszeitraum für Die Überwachung (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Eine Liste der Abonnement- und Lizenzierungsanforderungen für diese Überwachungslösungen finden Sie in den Abonnementanforderungen für Audit (Standard) und Audit (Premium).
Um Benutzerinteraktionen mit Nicht-Microsoft 365 KI-Daten zu überwachen, die Informationen aus anderen generativen KI-Anwendungen von Microsoft und verbundenen externen KI-Anwendungen enthalten, müssen Sie die nutzungsbasierte Abrechnung für Ihre organization aktivieren. Dieser Datentyp umfasst Copilot in Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio und alle verbundenen oder Cloud-KI-Anwendungen.
Schritt 2: Zuweisen von Berechtigungen zum Durchsuchen des Überwachungsprotokolls
Administratoren und Mitgliedern von Untersuchungsteams muss die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle im Microsoft Purview-Portal zugewiesen werden, um das Überwachungsprotokoll durchsuchen oder exportieren zu können. Standardmäßig weist die Seite Rollengruppen im Microsoft Purview-Portal den Rollengruppen "Audit Reader " und " Audit Manager " zu.
Hinweis
Derzeit sind Exchange Admin Center-Berechtigungen erforderlich, um die Überwachung zu aktivieren oder zu deaktivieren und auf Überwachungs-Cmdlets zuzugreifen. Verwenden Sie die vorhandenen Rollen Überwachungsprotokolle und Nur anzeigende Überwachungsprotokolle im Exchange Admin Center, um Zugriff auf Überwachungs-Cmdlets zu gewähren. Verwenden Sie die vorhandene Rolle Überwachungsprotokolle im Exchange Admin Center, um Zugriff zum Aktivieren oder Deaktivieren der Überwachung zu gewähren.
Sie können auch benutzerdefinierte Rollengruppen mit der Möglichkeit erstellen, das Überwachungsprotokoll zu durchsuchen, indem Sie die Rollen Nur anzeigen oder Überwachungsprotokolle zu einer benutzerdefinierten Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal.
Hinweis
Für den Zugriff auf die Überwachungssuche Graph-API müssen zusätzliche Berechtigungen in Microsoft Graph konfiguriert werden. Weitere Informationen finden Sie unter Berechtigungen in Überwachungssuche Graph-API.
Zuweisen von Berechtigungen zu Bereichsüberwachungsprotokollen
Zum Durchsuchen oder Exportieren des Überwachungsprotokolls müssen Administratoren oder Mitglieder von Untersuchungsteams mindestens einer der folgenden überwachungsbezogenen Rollengruppen im Microsoft Purview-Portal zugewiesen sein:
- Überwachungs-Manager: Ein Benutzer, der der Rollengruppe Audit Manager zugewiesen ist, kann das Überwachungsprotokoll durchsuchen und exportieren und Überwachungseinstellungen für den Mandanten verwalten (z. B. aktivieren oder deaktivieren der Überwachungsprotokollierung). Diese Rollengruppe gewährt dem Benutzer die Rollen Nur Anzeigen von Überwachungsprotokollen und Überwachungsprotokollen .
- Überwachungsleser: Ein Benutzer, der der Rollengruppe "Überwachungsleseberechtigter " zugewiesen ist, kann nur das Überwachungsprotokoll suchen und exportieren. Sie können die Überwachungsprotokollierung nicht aktivieren oder deaktivieren. Diese Rollengruppe gewährt dem Benutzer die Rolle Nur anzeigende Überwachungsprotokolle .
Schritt 3: Aktivieren von SearchQueryInitiated-Ereignissen
Sie müssen explizit zwei Ereignisse (SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint) für die Protokollierung aktivieren, wenn Benutzer Suchvorgänge in Exchange Online und SharePoint ausführen.
Damit diese beiden Ereignisse für Benutzer überwacht werden können, führen Sie das folgende Cmdlet (für jeden Benutzer) in Exchange Online PowerShell aus:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
In einer Multi-Geo-Umgebung müssen Sie den Befehl Set-Mailbox in der Gesamtstruktur ausführen, in der sich das Postfach des Benutzers befindet. Führen Sie das folgende Cmdlet aus, um den Postfachspeicherort des Benutzers zu identifizieren:
Get-Mailbox <user identity> | FL MailboxLocations
Wenn Sie zuvor das Cmdlet ausgeführt haben, um die Überwachung von Suchabfragen in einer Gesamtstruktur zu aktivieren, die sich von der Gesamtstruktur unterscheidet, in der sich das Postfach des Benutzers befindet, entfernen Sie den SearchQueryInitiated-Wert aus dem Postfach des Benutzers. Um den Wert zu entfernen, führen Sie aus Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}. Fügen Sie es dann dem Postfach des Benutzers in der Gesamtstruktur hinzu, in der sich das Postfach des Benutzers befindet.
Hinweis
Diese PowerShell-Cmdlets sind nur für SearchQueryInitiated-Ereignisse gültig und gelten nicht für andere Ereignisse im Überwachungsprotokoll.
Schritt 4: Einrichten der Überwachung (Premium) für Benutzer
Tipp
Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.
Überwachungsfeatures (Premium), z. B. die Möglichkeit, intelligente Erkenntnisse zu protokollieren, erfordern eine entsprechende E5-Lizenz, die Benutzern zugewiesen ist. Darüber hinaus müssen Sie die Erweiterte Überwachung-App/den Dienstplan für diese Benutzer aktivieren.
Führen Sie die folgenden Schritte für jeden Benutzer aus, um den Dienstplan "Erweiterte Überwachung" für Benutzer zu aktivieren:
- Wechseln Sie im Microsoft 365 Admin Center zu Benutzer>Aktive Benutzer, und wählen Sie einen Benutzer aus.
- Wählen Sie auf der Flyoutseite für Benutzereigenschaften die Option Lizenzen und Apps aus.
- Überprüfen Sie im Abschnitt Lizenzen , ob dem Benutzer eine E5-Lizenz oder eine entsprechende Add-On-Lizenz zugewiesen ist. Eine Liste der Lizenzen, die Audit (Premium) unterstützen, finden Sie unter Überwachungslizenzanforderungen.
- Erweitern Sie den Abschnitt Apps, und aktivieren Sie das Kontrollkästchen Erweiterte Überwachung von Microsoft 365 .
- Wählen Sie Änderungen speichern aus. Die Protokollierung von Audit (Premium) Insights beginnt innerhalb von 24 Stunden.
Wenn Sie die Postfachaktionen anpassen, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden neue Überwachungsereignisse (Premium), die von Microsoft veröffentlicht werden, nicht automatisch für diese Postfächer überwacht. Informationen zum Ändern der Postfachaktionen, die für jeden Anmeldetyp überwacht werden, finden Sie im Abschnitt "Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen" in Postfachüberwachung verwalten.
Schritt 5: Einrichten von Überwachungsaufbewahrungsrichtlinien in Audit (Premium)
Tipp
Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.
Zusätzlich zur Standardrichtlinie, die Microsoft Entra-ID, Exchange, OneDrive und SharePoint-Überwachungsdatensätze ein Jahr lang beibehält, können Organisationen, die Audit (Premium) verwenden, Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um die Anforderungen der Sicherheits-, IT- und Complianceteams Ihres organization zu erfüllen.
Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.
Schritt 6: Suchen nach überwachten Ereignissen
Nachdem Sie audit (Standard) oder Audit (Premium) für Ihre organization konfiguriert haben, können Sie das Überwachungsprotokoll im Microsoft Purview-Portal durchsuchen. Ausführliche Anleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls.