Zapnutí nebo vypnutí auditování

Protokolování auditu se ve výchozím nastavení zapne pro Microsoft 365 a Office 365 podnikové organizace. Při nastavování nové organizace Microsoftu 365 nebo Office 365 byste ale měli ověřit stav auditování pro vaši organizaci. Pokyny najdete v části Ověření stavu auditování pro vaši organizaci v tomto článku.

Když je auditování v Portál dodržování předpisů Microsoft Purview zapnuté, aktivita uživatele a správce z vaší organizace se zaznamená do protokolu auditu a zachová se po dobu 90 dnů a až jeden rok v závislosti na licenci přiřazené uživatelům. Vaše organizace ale může mít důvody, proč nechce zaznamenávat a uchovávat data protokolu auditu. V takových případech se globální správce může rozhodnout vypnout auditování v Microsoftu 365.

Důležité

Pokud v Microsoftu 365 vypnete auditování, nemůžete pro přístup k datům auditování pro vaši organizaci použít rozhraní OFFICE 365 Management Activity API ani Microsoft Sentinel. Vypnutí auditování podle kroků v tomto článku znamená, že při prohledávání protokolu auditu pomocí portálu dodržování předpisů nebo při spuštění rutiny Search-UnifiedAuditLog v Exchange Online PowerShellu se nevrátí žádné výsledky. To také znamená, že protokoly auditu nebudou dostupné prostřednictvím rozhraní OFFICE 365 Management Activity API nebo Microsoft Sentinel.

Před zapnutím nebo vypnutím auditování

  • Abyste mohli auditování v organizaci Microsoftu 365 zapnout nebo vypnout, musíte mít v Exchange Online přiřazenou roli Protokoly auditu. Ve výchozím nastavení je tato role přiřazená ke skupinám rolí Správa dodržování předpisů a Správa organizace na stránce Oprávnění v Centru pro správu Exchange. Globální správci v Microsoftu 365 jsou členy skupiny rolí Správa organizace v Exchange Online.

    Poznámka

    Aby bylo možné auditování zapnout nebo vypnout, musí mít uživatelé přiřazená oprávnění v Exchange Online. Pokud uživatelům přiřadíte roli Protokoly auditu na stránce Oprávnění na portálu dodržování předpisů, nebudou moct auditování zapnout ani vypnout. Důvodem je to, že základní rutinou je rutina Exchange Online PowerShellu.

  • Podrobné pokyny k prohledávání protokolu auditu najdete v tématu Prohledávání protokolu auditu. Další informace o rozhraní API aktivit správy Microsoftu 365 najdete v tématu Začínáme s rozhraními API pro správu Microsoftu 365.

Ověření stavu auditování pro vaši organizaci

Pokud chcete ověřit, že je pro vaši organizaci zapnuté auditování, můžete v Exchange Online PowerShellu spustit následující příkaz:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Hodnota True vlastnosti UnifiedAuditLogIngestionEnabled označuje, že je zapnuté auditování. Hodnota False označuje, že auditování není zapnuté.

Poznámka

Nezapomeňte spustit předchozí příkaz v Exchange Online PowerShellu. Ke spuštění tohoto příkazu nemůžete použít PowerShell zabezpečení & dodržování předpisů.

Zapnutí auditování

Pokud auditování není pro vaši organizaci zapnuté, můžete ho zapnout na portálu dodržování předpisů nebo pomocí Exchange Online PowerShellu. Může to trvat několik hodin po zapnutí auditování, než budete moct vrátit výsledky při hledání v protokolu auditu.

Zapnutí auditování pomocí Centra dodržování předpisů

  1. Přejděte na https://compliance.microsoft.com stránku a přihlaste se.

  2. V levém navigačním podokně portálu dodržování předpisů klikněte na Audit.

    Pokud auditování není ve vaší organizaci zapnuté, zobrazí se banner s výzvou, abyste začali zaznamenávat aktivity uživatelů a správců.

    Banner na stránce Audit

  3. Klikněte na banner Zahájit záznam aktivity uživatele a správce .

    Než se změna projeví, může to trvat až 60 minut.

Zapnutí auditování pomocí PowerShellu

  1. Připojení k nástroji Exchange Online PowerShell.

  2. Spuštěním následujícího příkazu PowerShellu zapněte auditování.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Zobrazí se zpráva s oznámením, že může trvat až 60 minut, než se změna projeví.

Vypnutí auditování

K vypnutí auditování musíte použít Exchange Online PowerShell.

  1. Připojení k nástroji Exchange Online PowerShell.

  2. Spuštěním následujícího příkazu PowerShellu auditování vypněte.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Po chvíli ověřte, že je auditování vypnuté (zakázané). Můžete to udělat dvěma způsoby:

    • V Exchange Online PowerShellu spusťte následující příkaz:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Hodnota False vlastnosti UnifiedAuditLogIngestionEnabled označuje, že auditování je vypnuté.

    • Na portálu dodržování předpisů přejděte na stránku Audit .

      Pokud auditování není ve vaší organizaci zapnuté, zobrazí se banner s výzvou, abyste začali zaznamenávat aktivity uživatelů a správců.

Auditování záznamů při změně stavu auditování

Změny stavu auditování ve vaší organizaci se samy auditují. To znamená, že záznamy auditu se protokolují, když je auditování zapnuté nebo vypnuté. Tyto záznamy auditu můžete vyhledat v protokolu auditu správce Exchange.

Pokud chcete v protokolu auditu správce Exchange vyhledat záznamy auditu vygenerované při zapnutí nebo vypnutí auditování, spusťte v Exchange Online PowerShellu následující příkaz:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Záznamy auditu pro tyto události obsahují informace o tom, kdy se změnil stav auditování, správce, který ho změnil, a IP adresu počítače použitého k provedení změny. Následující snímky obrazovky ukazují záznamy auditu, které odpovídají změně stavu auditování ve vaší organizaci.

Záznam auditu pro zapnutí auditování

Záznam auditu pro zapnutí auditování

Hodnota Confirm vlastnosti CmdletParameters udává, že jednotné protokolování auditu bylo zapnuté v Centru dodržování předpisů nebo spuštěním rutiny Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Záznam auditu pro vypnutí auditování

Záznam auditu pro vypnutí auditování

Hodnota Confirm není zahrnuta do vlastnosti CmdletParameters . To znamená, že jednotné protokolování auditu bylo vypnuto spuštěním příkazu Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Další informace o prohledávání protokolu auditu správce Exchange najdete v tématu Search-AdminAuditLog.