Microsoft Purview 稽核 (Standard) 和稽核 (Premium) 可讓您搜尋使用者和系統管理員在不同Microsoft服務中執行之活動的稽核記錄。 由於稽核 (Standard) 預設會針對大多數 Microsoft 365 組織啟用,因此您只需要完成幾個步驟,您和組織中的其他人就可以搜尋稽核記錄。 若要使用僅在 Audit (Premium) 中可用的功能,您需要完成幾個組態步驟。
如需稽核 (Standard) 和稽核 (Premium) 功能的詳細資訊,請參閱 Microsoft Purview 稽核解決方案。
步驟 1:驗證組織訂用帳戶和帳單
稽核 (Standard) 和稽核 (Premium) 的授權需要適當的組織訂用帳戶,才能存取稽核記錄搜尋工具,以及記錄和保留稽核記錄所需的每使用者授權。
當使用者或管理員執行稽核活動時,系統會產生稽核記錄,並將其儲存在組織的稽核記錄中。 在稽核 (Standard) 和稽核 (進階) 中,您可以在稽核記錄中保留和搜尋稽核記錄 180 天。
重要事項
稽核 (Standard) 的預設保留期間從 90 天變更為 180 天。 在 2023 年 10 月 17 日之前產生的稽核 (Standard) 記錄會保留 90 天。 稽核 2023 年 10 月 17 日或之後產生的 (Standard) 記錄,遵循新的預設保留 180 天。
如需這些稽核解決方案的訂用帳戶和授權需求清單,請參閱稽核 (Standard) 和稽核 (進階) 的訂用帳戶需求。
若要稽核使用者與非 Microsoft 365 AI 資料的互動,其中包括來自 Microsoft 其他生成式 AI 應用程式和連線外部 AI 應用程式的資訊,您必須為組織啟用 隨用隨 付計費。 此資料類型包括 Microsoft Fabric 中的 Copilot、Microsoft Security Copilot、Microsoft Copilot Studio,以及任何連線或雲端 AI 應用程式。
步驟 2:指派搜尋稽核記錄的權限
系統管理員和調查小組成員必須在 Microsoft Purview 入口網站中獲指派 [ 僅檢視稽核記錄 ] 或 [稽核記錄 ] 角色,才能搜尋或匯出稽核記錄。 根據預設,Microsoft Purview 入口網站 [角色群組 ] 頁面會將這些角色指派給 稽核讀取者 和 稽核管理員 角色群組。
注意事項
目前,需要 Exchange 系統管理中心許可權,才能啟用或停用稽核,以及存取稽核 Cmdlet。 使用 Exchange 系統管理中心中現有的 [稽核記錄 ] 和 [ 僅檢視稽核記錄] 角色,來授與稽核 Cmdlet 的存取權。 使用 Exchange 系統管理中心中現有的 稽核記錄 角色,授與啟用或停用稽核的存取權。
您也可以將 [ 唯檢視稽核記錄 ] 或 [ 稽核記錄 ] 角色新增至自訂角色群組,以建立自訂角色群組,以搜尋稽核記錄。 如需詳細資訊,請參閱 Microsoft Purview 入口網站中的許可權。
注意事項
存取稽核搜尋圖形 API 需要在 Microsoft Graph 中設定其他許可權。 如需詳細資訊,請參閱稽核搜尋圖形 API 中的許可權。
指派範圍稽核記錄的許可權
若要搜尋或匯出稽核記錄,系統管理員或調查小組成員必須指派給 Microsoft Purview 入口網站中下列稽核相關角色群組的至少一個:
- Audit Manager:指派給 Audit Manager 角色群組的使用者可以搜尋和匯出稽核記錄,並管理租戶 (的稽核設定,例如啟用或停用稽核記錄) 。 此角色群組會將 「僅檢視稽核記錄 」和「 稽核記錄 」角色授與使用者。
- 稽核讀取者:指派給 稽核讀取者 角色群組的使用者只能搜尋和匯出稽核記錄。 他們無法啟用或停用稽核記錄。 此角色群組會將 「僅檢視稽核記錄 」角色授與使用者。
步驟 3:啟用 SearchQueryInitiated 事件
當使用者在 Exchange Online 和 SharePoint 中執行搜尋時,您必須明確啟用 SearchQueryInitiatedExchange 和 SearchQueryInitiatedSharePoint) (的兩個事件,以記錄。
若要針對使用者稽核這兩個事件,請針對 PowerShell 中的每個使用者) 執行下列 Cmdlet (Exchange Online:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
在多地理位置環境中,您必須在使用者信箱所在的樹系中執行 Set-Mailbox 命令。 若要識別使用者的信箱位置,請執行下列 Cmdlet:
Get-Mailbox <user identity> | FL MailboxLocations
如果您先前執行 Cmdlet 來啟用與使用者信箱所在樹系不同的樹系中的搜尋查詢稽核,請從使用者信箱中移除 SearchQueryInitiated 值。 若要移除值,請執行 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}。 然後,將它新增至使用者信箱所在樹系中的使用者信箱。
注意事項
這些 PowerShell Cmdlet 僅適用於 SearchQueryInitiated 事件,且不適用於稽核記錄檔內的其他事件。
步驟 4:為使用者設定稽核 (進階)
提示
使用稽核 (Standard) 的組織可以略過此步驟。
稽核 (進階) 功能,例如記錄智慧型深入解析的能力,需要指派給使用者的適當 E5 授權。 此外,您必須為這些使用者啟用進階稽核應用程式/服務方案。
若要為使用者啟用「進階稽核」服務計劃,請為每一個使用者完成下列步驟:
- 在 Microsoft 365 系統管理中心中,移至 [使用者>作用中使用者],然後選取使用者。
- 在使用者屬性飛出視窗頁面上,選取 [授權和應用程式]。
- 在 [授權 ] 區段中,確認使用者已獲指派 E5 授權,或已獲指派適當的附加元件授權。 如需支援稽核 (進階) 的授權清單,請參閱 稽核授權需求。
- 展開 [ 應用程式 ] 區段,然後選取 [ Microsoft 365 進階稽核 ] 複選框。
- 選取 [儲存變更]。 Audit (Premium) 深入解析的記錄會在 24 小時內開始。
如果您自定義登入使用者信箱或共用信箱的信箱動作,則Microsoft發行的新稽核 (進階) 事件不會自動在這些信箱上稽核。 如需為每個登入類型變更稽核的信箱動作的相關資訊,請參閱 管理信箱稽核 中的「變更或還原預設記錄的信箱動作] 一節」。
步驟 5:在 Audit (Premium) 中設定稽核保留原則
提示
使用稽核 (Standard) 的組織可以略過此步驟。
除了將 Microsoft Entra ID、Exchange、OneDrive 和 SharePoint 稽核記錄保留一年的預設原則之外,使用稽核 (Premium) 的組織可以建立稽核記錄保留原則,以符合組織安全性作業、IT 和合規性小組的需求。
如需詳細資訊,請參閱管理稽核記錄保留原則。
步驟 6:搜尋稽核事件
現在您已為組織設定稽核 (Standard) 或稽核 (進階) ,您已準備好在 Microsoft Purview 入口網站中搜尋稽核記錄。 如需詳細指引,請參閱 搜尋稽核記錄。