Introdução às soluções de auditoria

Auditoria do Microsoft Purview (Standard) e Auditoria (Premium) permitem-lhe procurar registos de auditoria de atividades que os utilizadores e administradores executam em diferentes serviços Microsoft. Uma vez que a Auditoria (Standard) está ativada por predefinição para a maioria das organizações do Microsoft 365, só precisa de concluir alguns passos antes de você e outras pessoas na sua organização poderem procurar no registo de auditoria. Para utilizar funcionalidades disponíveis apenas em Auditoria (Premium), tem de concluir mais alguns passos de configuração.

Para obter mais informações sobre as capacidades de Auditoria (Standard) e Auditoria (Premium), veja Soluções de auditoria do Microsoft Purview.

Passo 1: Verificar a subscrição e a faturação da organização

O Licenciamento para Auditoria (Standard) e Auditoria (Premium) requer a subscrição da organização adequada que fornece acesso à ferramenta de pesquisa de registos de auditoria e ao licenciamento por utilizador necessário para registar e reter registos de auditoria.

Quando um utilizador ou administrador executa uma atividade auditada, o sistema gera um registo de auditoria e armazena-o no registo de auditoria da sua organização. Em Auditoria (Standard) e Auditoria (Premium), pode manter e procurar registos de auditoria no registo de auditoria durante 180 dias.

Para obter uma lista dos requisitos de subscrição e licenciamento para estas soluções de auditoria, veja os requisitos de subscrição para Auditoria (Standard) e Auditoria (Premium).

Para auditar as interações do utilizador com dados de IA que não sejam do Microsoft 365, que incluem informações de outras aplicações de IA geradas da Microsoft e aplicações de IA externas ligadas, tem de ativar a faturação pay as you go para a sua organização. Este tipo de dados inclui o Copilot no Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio e qualquer aplicação de IA ligada ou na cloud.

Etapa 2: Atribuir permissões para pesquisar o log de auditoria.

Os administradores e membros das equipas de investigação têm de ter atribuída a função Registos de Auditoria apenas de Visualização ou Registos de Auditoria no portal do Microsoft Purview para procurar ou exportar o registo de auditoria. Por predefinição, a página Grupos de funções do portal do Microsoft Purview atribui estas funções aos grupos de funções Leitor de Auditoria e Gestor de Auditorias .

Também pode criar grupos de funções personalizados com a capacidade de pesquisar o registo de auditoria ao adicionar as funções Registos de Auditoria apenas de Visualização ou Registos de Auditoria a um grupo de funções personalizado. Para obter mais informações, veja Permissões no portal do Microsoft Purview.

Atribuir permissões para definir o âmbito dos registos de auditoria

Para procurar ou exportar o registo de auditoria, os administradores ou membros das equipas de investigação têm de ser atribuídos a, pelo menos, um dos seguintes grupos de funções relacionados com auditorias no portal do Microsoft Purview:

• Gestor de Auditoria: um utilizador atribuído ao grupo de funções do Gestor de Auditorias pode pesquisar e exportar o registo de auditoria e gerir as definições de auditoria do inquilino (como ativar ou desativar o registo de auditoria). Este grupo de funções concede ao utilizador as funções Registos de Auditoria e Registos de Auditoria Apenas de Visualização.
• Leitor de Auditoria: um utilizador atribuído ao grupo de funções Leitor de Auditoria só pode procurar e exportar o registo de auditoria. Não podem ativar ou desativar o registo de auditoria. Este grupo de funções concede a função Registos de Auditoria Apenas de Visualização ao utilizador.

Passo 3: Ativar eventos SearchQueryInitiated

Tem de ativar explicitamente dois eventos (SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint) para registo quando os utilizadores efetuam pesquisas no Exchange Online e no SharePoint.

Para permitir que estes dois eventos sejam auditados para os utilizadores, execute o seguinte cmdlet (para cada utilizador) no Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Em um ambiente multi-geo, você deve executar o comando Set-Mailbox na floresta onde a caixa de correio do usuário está localizada. Para identificar a localização da caixa de correio do utilizador, execute o seguinte cmdlet:

Get-Mailbox <user identity> | FL MailboxLocations

Se executou anteriormente o cmdlet para ativar a auditoria de consultas de pesquisa numa floresta diferente da floresta onde está localizada a caixa de correio do utilizador, remova o valor SearchQueryInitiated da caixa de correio do utilizador. Para remover o valor, execute Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}. Em seguida, adicione-o à caixa de correio do utilizador na floresta onde se encontra a caixa de correio do utilizador.

Passo 4: Configurar a Auditoria (Premium) para os utilizadores

As funcionalidades de auditoria (Premium), como a capacidade de registar informações inteligentes, requerem uma licença E5 adequada atribuída aos utilizadores. Além disso, tem de ativar o plano de serviço/aplicação Auditoria Avançada para esses utilizadores.

Para ativar o plano do serviço auditoria avançada para os utilizadores, conclua os seguintes passos para cada utilizador:

1. No Centro de administração do Microsoft 365, aceda a Utilizadores Utilizadores>Utilizadores ativos e selecione um utilizador.
2. Na página de lista de opções de propriedades do utilizador, selecione Licenças e aplicações.
3. Na secção Licenças , verifique se foi atribuída uma licença E5 ao utilizador ou que lhe foi atribuída uma licença de suplemento adequada. Para obter uma lista de licenças que suportam a Auditoria (Premium), veja Auditar os requisitos de licenciamento.
4. Expanda a secção Aplicações e selecione a caixa de verificação Auditoria Avançada do Microsoft 365 .
5. Selecionar Salvar alterações. O registo de informações de Auditoria (Premium) começa dentro de 24 horas.

Se personalizar as ações da caixa de correio com sessão iniciada em caixas de correio de utilizadores ou caixas de correio partilhadas, os novos eventos de Auditoria (Premium) lançados pela Microsoft não serão automaticamente auditados nessas caixas de correio. Para obter informações sobre como alterar as ações da caixa de correio que são auditadas para cada tipo de logon, confira a seção "Alterar ou restaurar ações da caixa de correio registradas por padrão" em Gerenciar auditoria de caixa de correio.

Passo 5: Configurar políticas de retenção de auditoria na Auditoria (Premium)

Além da política predefinida que retém Microsoft Entra registos de auditoria do ID, Exchange, OneDrive e SharePoint durante um ano, as organizações que utilizam a Auditoria (Premium) podem criar políticas de retenção de registos de auditoria para cumprir os requisitos das equipas de segurança, TI e conformidade da sua organização.

Para saber mais, confira Gerenciar políticas de retenção de log de auditoria.

Passo 6: procurar eventos auditados

Agora que tem a Auditoria (Standard) ou Auditoria (Premium) configurada para a sua organização, está pronto para procurar no registo de auditoria no portal do Microsoft Purview. Para obter orientações detalhadas, veja Pesquisar o registo de auditoria.