Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert. Wenn Sie jedoch eine neue Microsoft 365-organization einrichten, überprüfen Sie die Überwachungs-status für Ihre organization. Anweisungen finden Sie im Abschnitt Überprüfen der status für Ihre organization in diesem Artikel.
Wenn Sie die Überwachung im Microsoft Purview-Portal aktivieren, zeichnet das Überwachungsprotokoll Benutzer- und Administratoraktivitäten aus Ihrem organization auf und speichert sie automatisch für 180 Tage. Die Aufbewahrungsdauer (Lebensdauer) für Überwachungsdaten beginnt, wenn sie dem Überwachungsprotokoll hinzugefügt werden, und wird basierend auf Überwachungsprotokollaufbewahrungsrichtlinien und der Benutzern zugewiesenen Lizenz beibehalten.
Wichtig
Die Überwachung ist für SMB-Lizenzen (Small and Medium Business) nicht standardmäßig aktiviert, einschließlich Microsoft 365 Business Basic, Business Standard und Business Premium. Darüber hinaus ist für nicht verwaltete Mandanten, die kostenlose Testversionen von Unternehmenslizenzen verwenden, die Überwachung standardmäßig nicht aktiviert. In beiden Fällen müssen Sie die Überwachung für Ihre organization manuell aktivieren.
Änderungen an den Benutzerlizenzierungs- oder Aufbewahrungsrichtlinien ändern auch das Ablaufdatum von Überwachungsdaten.
Ihre organization hat möglicherweise Gründe dafür, dass Überwachungsprotokolldaten nicht aufgezeichnet und aufbewahrt werden sollen. In diesen Fällen kann ein globaler Administrator die Überwachung in Microsoft 365 für Ihre organization deaktivieren. Anweisungen finden Sie im Abschnitt Deaktivieren der Überwachung in diesem Artikel.
Wichtig
Wenn Sie die Überwachung in Microsoft 365 deaktivieren, können Sie die Office 365 Management Activity API oder Microsoft Sentinel nicht verwenden, um auf Überwachungsdaten oder Protokolle für Ihre organization zuzugreifen. Wenn Sie die Überwachung deaktivieren, geben Suchvorgänge im Überwachungsprotokoll in Microsoft Purview keine Ergebnisse zurück. Das Ausführen des Cmdlets Search-UnifiedAuditLog in Exchange Online PowerShell gibt ebenfalls keine Ergebnisse zurück.
Bevor Sie die Überwachung aktivieren oder deaktivieren
Ihnen muss die Rolle Überwachungsprotokolle in Exchange Online zugewiesen sein, um die Überwachung zu aktivieren oder zu deaktivieren. Standardmäßig verfügen die Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center über diese Rolle.
- Schritt-für-Schritt-Anweisungen zum Durchsuchen des Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls.
- Weitere Informationen zur Microsoft 365-Verwaltungsaktivitäts-API finden Sie unter Erste Schritte mit Microsoft 365-Verwaltungs-APIs.
Überprüfen Sie die status für Ihre organization
Um zu überprüfen, ob die Überwachung für Ihre organization aktiviert ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Der Wert für True die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung aktiviert ist. Der Wert False gibt an, dass die Überwachung nicht aktiviert ist.
Wichtig
Stellen Sie sicher, dass Sie den vorherigen Befehl in Exchange Online PowerShell ausführen. Obwohl das Cmdlet Get-AdminAuditLogConfig auch in Security & Compliance PowerShell verfügbar ist, ist die UnifiedAuditLogIngestionEnabled-Eigenschaft immer False, auch wenn die Überwachung aktiviert ist.
Aktivieren der Überwachung
Wenn die Überwachung für Ihre organization nicht aktiviert ist, aktivieren Sie sie im Microsoft Purview-Portal oder mithilfe Exchange Online PowerShell. Nach dem Aktivieren der Überwachung kann es mehrere Stunden dauern, bis Sie beim Durchsuchen des Überwachungsprotokolls Ergebnisse zurückgeben können.
Führen Sie die folgenden Schritte aus, um die Überwachung zu aktivieren:
- Melden Sie sich beim Microsoft Purview-Portal an.
- Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.
- Wenn die Überwachung für Ihre organization nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.
- Wählen Sie das Banner Aufzeichnung von Benutzer- und Administratoraktivitäten starten aus.
Es kann bis zu 60 Minuten dauern, bis die Änderung wirksam wird.
Verwenden von PowerShell zum Aktivieren der Überwachung
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu aktivieren.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueEs wird eine Meldung mit dem Hinweis angezeigt, dass es bis zu 60 Minuten dauern kann, bis die Änderung wirksam wird.
Deaktivieren der Überwachung
Verwenden Sie Exchange Online PowerShell, um die Überwachung zu deaktivieren.
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu deaktivieren.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseVergewissern Sie sich nach einer Weile, dass die Überwachung deaktiviert (deaktiviert) ist. Hierfür gibt es zwei Möglichkeiten:
Führen Sie in Exchange Online PowerShell den folgenden Befehl aus:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledDer Wert von
Falsefür die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung deaktiviert ist.Wechseln Sie im Microsoft Purview-Portal zur Seite Überwachung .
Wenn die Überwachung für Ihre organization nicht aktiviert ist, werden Sie durch ein Banner aufgefordert, mit der Aufzeichnung von Benutzer- und Administratoraktivitäten zu beginnen.
Überwachen von Datensätzen beim Ändern status
Ihre organization überwacht Änderungen an der Überwachungs-status. Dieser Prozess überwacht Änderungen am Überwachungs-status. Überwachungsdatensätze werden protokolliert, wenn die Überwachung aktiviert oder deaktiviert ist. Sie können das Exchange-Administratorüberwachungsprotokoll nach diesen Überwachungsdatensätzen durchsuchen.
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um das Exchange-Administratorüberwachungsprotokoll nach Überwachungsdatensätzen zu durchsuchen, die beim Aktivieren oder Deaktivieren der Überwachung generiert werden:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Überwachungsdatensätze für diese Ereignisse enthalten Informationen darüber, wann die Überwachungs-status geändert wurde, den Administrator, der sie geändert hat, und die IP-Adresse des Computers, der für die Änderung verwendet wurde. Die folgenden Screenshots zeigen Überwachungsdatensätze, die dem Ändern der Überwachungs-status in Ihrem organization entsprechen.
Überwachungsdatensatz für Set-AdminAuditLogConfig
Suchen Sie in der AuditData-Eigenschaft nach dem Ergebniswert vonUnifiedAuditLogIngestionEnabled. Dieser Wert gibt an, ob die einheitliche Überwachungsprotokollierung im Microsoft Purview-Portal oder durch Ausführen des Cmdlets Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false aktiviert oder deaktiviert wurde.
Weitere Informationen zum Durchsuchen des Exchange-Administratorüberwachungsprotokolls finden Sie unter Search-UnifiedAuditLog.