Erweiterte Überwachung in Microsoft 365Advanced Audit in Microsoft 365

Die einheitliche Überwachungsfunktionen in Microsoft 365 bieten Organisationen Einblick in viele Arten von überwachten Aktivitäten über viele verschiedene Dienste in Microsoft 365 hinweg.The unified auditing functionality in Microsoft 365 provides organizations with visibility into many types of audited activities across many different services in Microsoft 365. In diesem Release fügen wir der erweiterten Überwachung in Microsoft 365 nun neue Überwachungsfunktionen hinzu, die Ihre Organisation bei forensischen und Complianceuntersuchungen unterstützen können.Now with the release of Advanced Audit in Microsoft 365, we're adding new auditing capabilities that can help your organization with forensic and compliance investigations.

Hinweis

Die erweiterte Überwachung ist für Organisationen mit einem Office 365 E5- oder Microsoft 365 Enterprise E5-Abonnement verfügbar.Advanced Audit is available for organizations with an Office 365 E5 or Microsoft 365 Enterprise E5 subscription. Darüber hinaus kann Benutzern eine Microsoft 365 E5 Compliance-Add-On-Lizenz zugewiesen werden, wenn für die erweiterte Überwachung eine Lizenzierung pro Benutzer erforderlich ist, wie dies bei der langfristigen Aufbewahrung von Überwachungsprotokollen und für den Zugriff zu wichtigen Ereignissen für Untersuchungen der Fall ist.Additionally, a Microsoft 365 E5 Compliance add-on license can be assigned to users for when per-user licensing is required for Advanced Audit features as is the case for long-term retention of audit logs and access to crucial events for investigations.

In diesem Artikel finden Sie eine Übersicht über diese erweiterten Überwachungsfunktionen.This article provides an overview of these Advanced Audit capabilities.

Langfristige Aufbewahrung von ÜberwachungsprotokollenLong-term retention of audit logs

Die erweiterte Überwachung bewahrt alle Exchange-, SharePoint- und Azure Active Directory-Überwachungsdatensätze für ein Jahr auf.Advanced Audit retains all Exchange, SharePoint, and Azure Active Directory audit records for one year. Dies geschieht durch eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle, die jeden Überwachungsdatensatz ein Jahr lang aufbewahrt, der den Wert von Exchange, SharePoint oder AzureActiveDirectory für die Eigenschaft Workload aufweist (die den Dienst anzeigt, in dem die Aktivität aufgetreten ist).This is accomplished by a default audit log retention policy that retains any audit record that contains the value of Exchange, SharePoint, or AzureActiveDirectory for the Workload property (which indicates the service in which the activity occurred) for one year. Dies kann bei laufenden forensischen oder Complianceuntersuchungen helfen.This can help with on-going forensic or compliance investigations. Weitere Informationen hierzu finden Sie im Abschnitt "Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle" in Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.For more information, see the "Default audit log retention policy" section in Manage audit log retention policies.

Aufbewahrungsrichtlinien für ÜberwachungsprotokolleAudit log retention policies

Alle Überwachungsdatensätze, die in anderen Diensten generiert wurden, die nicht unter die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle fallen (im vorherigen Abschnitt beschrieben), werden für 90 Tage aufbewahrt.All audit records generated in other services that aren't covered by the default audit log retention policy (described in the previous section) are retained for 90 days. Jetzt können Sie jedoch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um andere Überwachungsdatensätze bis zu ein Jahr lang aufzubewahren.However, now you can create customized audit log retention policies to retain other audit records for up to one year. Sie können eine Richtlinie erstellen, um Überwachungsdatensätze auf der Grundlage eines oder mehrerer der folgenden Kriterien aufzubewahren:You can create a policy to retain audit records based on one or more of the following criteria:

  • Der Microsoft 365-Dienst, in dem die überwachten Aktivitäten ausgeführt werdenThe Microsoft 365 service where the audited activities occur

  • Bestimmte überwachte AktivitätenSpecific audited activities

  • Der Benutzer, der eine überwachte Aktivität ausführtThe user who performs an audited activity

Sie können auch festlegen, wie lange Überwachungsdatensätze, die der Richtlinie entsprechen, aufbewahrt werden, und eine Prioritätsstufe angeben, damit bestimmte Richtlinien Vorrang vor anderen Richtlinien haben.You can also specify how long to retain audit records that match the policy and a priority level so that specific policies will take priority over other policies. Beachten Sie außerdem, dass jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle Vorrang vor der Standardaufbewahrungsrichtlinie für Überwachungsprotokolle hat, wenn Sie für einige oder alle Benutzer in Ihrer Organisation Exchange-, SharePoint- oder Azure Active Directory-Überwachungsdatensätze für weniger als ein Jahr lang aufbewahren möchten.Also note that any custom audit log retention policy will take precedence over the default audit retention policy in case you need retain Exchange, SharePoint, or Azure Active Directory audit records for less than a year for some or all the users in your organization. Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.For more information, see Manage audit log retention policies.

Zugriff auf wichtige Ereignisse für UntersuchungenAccess to crucial events for investigations

Hochwertige sicherheits- und compliancebezogene Überwachungsereignisse sind Ereignisse, die Ihnen bei der Untersuchung möglicher Verstöße oder bei anderen forensischen Untersuchungen helfen können.Crucial security- and compliance-related audit events are ones that can help you investigate possible breaches or other forensic-related investigations. Das erste solche hochwertige Ereignis, das wir veröffentlichen, ist die Postfachüberwachungsaktion MailItemsAccessed.The first crucial event that we're releasing is the MailItemsAccessed mailbox auditing action. Diese Aktion wird ausgelöst, wenn E-Mail-Protokolle und E-Mail-Clients auf E-Mail-Daten zugreifen.This action is triggered when mail data is accessed by mail protocols and mail clients. Die MailItemsAccessed-Aktion kann Ermittlern dabei helfen, Datenverstöße zu erkennen und den Umfang der Nachrichten zu ermitteln, die möglicherweise kompromittiert wurden.The MailItemsAccessed action can help investigators identify data breaches and determine the scope of messages that may have been compromised. Wenn ein Angreifer Zugriff auf E-Mail-Nachrichten erlangt hat, wird die MailItemsAccessed-Aktion ausgelöst, selbst wenn kein explizites Zeichen dafür vorliegt, dass Nachrichten tatsächlich gelesen wurden (mit anderen Worten: Die Art des Zugriffs, z. B. Bindung oder Synchronisierung, wird im Überwachungsdatensatz erfasst).If an attacker gained access to email messages, the MailItemsAccessed action will be triggered even if there is no explicit signal that messages were actually read (in other words, the type of access such as a bind or sync is recorded in the audit record).

Die neue MailItemsAccessed-Postfachaktion ersetzt "MessageBind" in der Postfachüberwachungsprotokollierung in Exchange Online und bietet folgende Verbesserungen:The new MailItemsAccessed mailbox action replaces MessageBind in mailbox auditing logging in Exchange Online and provides these improvements:

  • "MessageBind" war nur für den AuditAdmin-Benutzer-Anmeldetyp konfigurierbar und galt nicht für Aktionen von Stellvertretungen oder Besitzern.MessageBind was only configurable for AuditAdmin user logon type; it did not apply to delegate or owner actions. "MailItemsAccessed" gilt für alle Anmeldetypen.MailItemsAccessed applies to all logon types.

  • "MessageBind" betraf nur den Zugriff durch einen E-Mail-Client.MessageBind only covered access by a mail client. Es galt nicht für Synchronisierungsaktivitäten.It didn't apply to sync activities. MailItemsAccessed-Ereignisse werden sowohl durch Bindungs als auch Synchronisierungszugriffstypen ausgelöst.MailItemsAccessed events are triggered by both bind and sync access types.

  • MessageBind-Aktionen löste beim mehrfachen Zugriff auf dieselbe E-Mail-Nachricht die Erstellung mehrerer Überwachungsdatensätze aus und führte dadurch zu überfüllten Überwachungsprotokollen.MessageBind actions would trigger the creation of multiple audit records when the same email message was accessed, which resulted in auditing "noise". Im Gegensatz dazu werden MailItemsAccessed-Ereignisse in weniger Überwachungsdatensätzen aggregiert.In contrast, MailItemsAccessed events are aggregated into fewer audit records.

Informationen zu Überwachungsdatensätzen für MailItemsAccessed-Aktivitäten finden Sie unter Verwenden der erweiterten Überwachung zur Untersuchung kompromittierter Konten.For information about audit records for MailItemsAccessed activities, see Use Advanced Audit to investigate compromised accounts.

Suchen nach MailItemsAccessed-ÜberwachungsdatensätzenSearch for MailItemsAccessed audit records

Um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen, können Sie im Security & Compliance Center im Überwachungsprotokoll-Suchtool in der Dropdownliste der Exchange-Postfachaktivitäten nach der Aktivität MailItemsAccessed (Postfachelemente, auf die zugegriffen wurde) suchen.To search for MailItemsAccessed audit records, you can search for the Accessed mailbox items activity in the Exchange mailbox activities drop-down list in the audit log search tool in the Security & Compliance Center.

Suchen nach MailItemsAccessed-Aktionen im Überwachungsprotokoll-Suchtool

Sie können auch die Befehle Search-UnifiedAuditLog -Operations MailItemsAccessed oder Search-MailboxAuditLog -Operations MailItemsAccessed in Exchange Online PowerShell ausführen.You can also run the Search-UnifiedAuditLog -Operations MailItemsAccessed or Search-MailboxAuditLog -Operations MailItemsAccessed commands in Exchange Online PowerShell.

Zugriff mit hoher Bandbreite auf die Office 365-Verwaltungsaktivitäts-APIHigh-bandwidth access to the Office 365 Management Activity API

Organisationen, die über die Office 365-Verwaltungsaktivitäts-API auf Überwachungsprotokolle zugreifen, waren durch Drosselungsgrenzwerte auf Herausgeberebene eingeschränkt.Organizations that access auditing logs through the Office 365 Management Activity API were restricted by throttling limits at the publisher level. Dies bedeutete, dass der Grenzwert für einen Herausgeber, der Daten im Namen mehrerer Kunden per Pull abruft, für all diese Kunden zusammen galt.This means that for a publisher pulling data on behalf of multiple customers, the limit was shared by all those customers.

Mit der Veröffentlichung der erweiterten Überwachung wechseln wir von einem Grenzwert auf Herausgeberebene zu einem Grenzwert auf Mandantenebene.With the release of Advanced Audit, we're moving from a publisher-level limit to a tenant-level limit. Dadurch erhält jede Organisation ein eigenes, vollständig zugewiesenes Bandbreitenkontingent erhält für den Zugriff auf ihre Überwachungsdaten.The result is that each organization will get their own fully allocated bandwidth quota to access their auditing data. Die Bandbreite ist kein statischer, vordefinierter Grenzwert, sondern wird auf der Grundlage einer Kombination von Faktoren angepasst, beispielweise basierend auf der Anzahl der Arbeitsplätze in der Organisation oder der Tatsache, dass E5-Organisationen mehr Bandbreite als Nicht-E5-Organisationen erhalten.The bandwidth is not a static, predefined limit but is modeled on a combination of factors including the number of seats in the organization and that E5 organizations will get more bandwidth than non-E5 organizations.

Allen Organisationen ist anfänglich eine Baseline von 2.000-Anforderungen pro Minute zugeordnet.All organizations are initially allocated a baseline of 2,000 requests per minute. Dieser Wert wird abhängig von der Anzahl der Arbeitsplätze und Lizenzabonnements in einer Organisation dynamisch erhöht.This limit will dynamically increase depending on an organization's seat count and their licensing subscription. E5-Organisationen erhalten ungefähr doppelt so viel Bandbreite wie Nicht-E5-Organisationen.E5 organizations will get approximately twice as much bandwidth as non-E5 organizations. Zum Schutz des Diensts gibt es auch eine Obergrenze für die maximale Bandbreite.There will also be cap on the maximum bandwidth to protect the health of the service.

Weitere Informationen finden Sie im Abschnitt "API-Drosselung" in der Referenz der Office 365-Verwaltungsaktivitäts-API.For more information, see the "API throttling" section in Office 365 Management Activity API reference.

Häufig gestellte Fragen (FAQs) zur erweiterten ÜberwachungFAQs for Advanced Audit

Wo kann ich auf die erweiterte Überwachung zugreifen?Where can I access Advanced Audit?

Nach der Einführung der erweiterten Überwachung für Ihre Organisation können Sie Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen und mithilfe des Überwachungsprotokoll-Suchtools im Security & Compliance Center nach MailItemsAccessed-Überwachungsdatensätzen suchen.After Advanced Audit is rolled out to your organization, you will be able to create audit log retention policies and search for MailItemsAccessed audit records using the Audit log search tool in the Security & Compliance Center. Wir arbeiten daran, die erweiterte Überwachung in den kommenden Wochen im Microsoft 365 Compliance Center bereitzustellen.We're working to roll out Advanced Audit to the Microsoft 365 compliance center in the coming weeks.

Benötigt jeder Benutzer eine E5-Lizenz, um von der erweiterten Überwachung profitieren zu können?Does every user need an E5 license to benefit from Advanced Audit?

Dem Benutzer muss eine E5-Lizenz zugewiesen werden, um von der erweiterten Überwachung auf Benutzerebene profitieren zu können.To benefit from user-level Advanced Audit capabilities, a user needs to be assigned an E5 license. Es gibt einige Funktionen, die überprüfen, ob die entsprechende Lizenz vorliegt, bevor dem Benutzer das Feature bereitgestellt wird.There are some capabilities that will check for the appropriate license to expose the feature for the user. Wenn Sie beispielsweise die Überwachungseinträge für einen Benutzer beibehalten möchten, dem keine E5-Lizenz zugeordnet ist, die noch mindestens 90 Tage gültig ist, wird eine Fehlermeldung angezeigt.For example, if you're trying to retain the audit records for a user who isn't assigned an E5 license for longer than 90 days, the system will return an error message.

Warum wird die erweiterte Überwachung in meiner Organisation nicht angezeigt, obwohl wir über ein E5-Abonnement und Benutzer mit E5-Lizenzen verfügen?Why don't I see Advanced Audit in my organization, even though we have an E5 subscription and users that are assigned E5 licenses?

Es ist möglich, dass Features der erweiterten Überwachung (z. B. die Möglichkeit, Aufbewahrungsrichtlinien für Überwachungsprotokolle und die Protokollierung von MailItemsAccessed-Überwachungsdatensätzen zu erstellen) in Ihrer Organisation nicht verfügbar sind, selbst wenn die korrekte Lizenzierung vorhanden ist.It's possible that Advanced Audit features (such as the ability to create audit log retention policies and the logging of MailItemsAccessed audit records) aren't available in your organization, even with the correct licensing in place. Wenn Ihnen das passiert, liegt es daran, dass das Rollout des Pakets der erweiterten Überwachung für Ihre Organisation noch nicht erfolgt ist.If this is happening to you, it's because the Advanced Audit package hasn't been rolled out to your organization yet. Hierbei handelt es sich um ein vorübergehendes Problem des Lizenzabgleichs, das für die betroffenen Organisationen bald gelöst werden sollte.This is a temporary licensing backfill issue, which should be resolved for affected organizations soon. Um dieses Problem zu entschärfen, führen Sie bitte die folgenden Schritte für jeden E5-Benutzer durch:To mitigate this issue, please perform the following steps for each E5 user:

  1. Wählen Sie im Microsoft 365 Admin Center unter Benutzer > Aktive Benutzer einen Benutzer aus.In the Microsoft 365 admin center, go to Users > Active users, and then select a user.

  2. Klicken Sie auf der Benutzereigenschaften-Flyoutseite auf Lizenzen und Apps.On the user properties flyout page, click Licenses and Apps.

  3. Erweitern Sie den Abschnitt Apps, und führen Sie dann eine der folgenden Aktionen aus:Expand the Apps section, and then do one of the following things:

    a.a. Wenn das Kontrollkästchen Microsoft 365 – Erweiterte Überwachung nicht aktiviert ist, aktivieren Sie es, und klicken Sie dann auf Änderungen speichern.If the Microsoft 365 Advanced Auditing checkbox is not selected, select it, and then click Save changes. Überwachungsdatensätze für MailItemsAccessed-Aktionen für diesen Benutzer sollten innerhalb von 24 Stunden durchsuchbar sein.Audit records for MailItemsAccessed actions for this user should be searchable within 24 hours.

    b.b. Wenn das Kontrollkästchen Microsoft 365 – Erweiterte Überwachung aktiviert ist, deaktivieren Sie es, und klicken Sie dann auf Änderungen speichern.If the Microsoft 365 Advanced Auditing checkbox is selected, clear it, and then click Save changes. Siehe Schritt 4.See step 4.

  4. Wenn Sie das Kontrollkästchen in Schritt 3 deaktiviert haben, warten Sie 60 Minuten, und wiederholen Sie dann Schritt 3a, um die App "Microsoft 365 – Erweiterte Überwachung" zu aktivieren.If you cleared the checkbox in step 3, wait 60 minutes, and then repeat step 3a to enable the Microsoft 365 Advanced Auditing app.

Für Organisationen, die Gruppen von Benutzern mithilfe einer gruppenbasierten Lizenzierung Lizenzen zuweisen, müssen Sie die Lizenzzuweisung für Microsoft 365 Advanced Auditing für die Gruppe deaktivieren.For organizations that assign licenses to groups of users by using group-based licensing, you have to turn off the licensing assignment for Microsoft 365 Advanced Auditing for the group. Nachdem Sie die Änderungen gespeichert haben, stellen Sie sicher, dass Microsoft 365 Erweiterte Überwachung für die Gruppe deaktiviert ist.After you save your changes, verify that Microsoft 365 Advanced Auditing is turned off for the group. Aktivieren Sie dann die Lizenzierungszuordnung für die Gruppe wieder.Then turn the licensing assignment for the group back on. Lesen Sie Zuweisen von Lizenzen zu Benutzern mithilfe der Gruppenmitgliedschaft in Azure Active Directory für Anweisungen zur gruppenbasierten Lizenzierung.For instructions about group-based licensing, see Assign licenses to users by group membership in Azure Active Directory.

Was passiert, wenn meine Organisation die private Vorschauversion für die einjährige Aufbewahrung von Überwachungsdatensätze verwendet hat?What happens if my organization was in the private preview for one-year retention of audit records?

Ihre Aufbewahrungsrichtlinien für Überwachungsprotokolle aus dem Vorschauprogramm bleiben erhalten, solange Sie sie nicht durch benutzerdefinierte Aufbewahrungsrichtlinien für Überwachungsprotokolle außer Kraft setzen und ändern.Your audit retention policies from the preview program will persist as long as you don't override and change them with custom audit retention policies.

Was geschieht, wenn meine Organisation die Überwachungsprotokolle länger als ein Jahr aufbewahren will?What if my organization wants to retain audit logs for longer than one year?

Wir untersuchen Optionen, wie und ob wir längere Aufbewahrungsfristen für Überwachungsdatensätze anbieten können.We're exploring options for how and if we can provide longer retention periods for audit records. Feedback zu einer längeren Aufbewahrung von Überwachungsdatensätzen können Sie unter Office 365 User Voice abgeben.You can provide any feedback about longer retention of audit records at Office 365 User Voice.

Meine Organisation verfügt über ein E5-Abonnement. Muss ich irgendetwas tun, um Zugriff auf den Überwachungsdatensätzen für MailItemsAccessed-Ereignisse zu erhalten?My organization has an E5 subscription, do I need to do anything to get access to audit records for MailItemsAccessed events?

Berechtigte Kunden müssen nichts tun, um Zugriff auf MailItemsAccessed-Ereignisse zu erhalten.For eligible customers, there is no action to get access to MailItemsAccessed events. Wie bereits zuvor in diesem Thema erläutert, verhindern die durch das Problem des Lizenzabgleichs verursachte Latenzzeit jedoch möglicherweise, dass Überwachungsdatensätze für das MailItemsAccessed-Ereignis beim Durchsuchen eines Überwachungsprotokolls zurückgegeben werden.However, as previously explained in this topic, latency caused by the licensing backfill issue may prevent audit records for MailItemsAccessed event from being returned in an audit log search. Folgen Sie in diesem Fall den Anweisungen im Abschnitt "Suchen nach MailItemsAccessed-Überwachungsdatensätzen".If this happens, follow the instructions in the Search for MailItemsAccessed audit records section.

Planen Sie dieses Jahr zusätzliche Ereignisse zu veröffentlichen?Are you planning to release additional events this year?

Ja, wir planen die Veröffentlichung neuer Ereignisse, die für die Untersuchungen in den kommenden Monaten entscheidend sind.Yes, we plan to release new events that are crucial to investigations in the coming months. Wir werden Informationen über diese neuen Ereignisse in der Microsoft 365-Roadmap veröffentlichen, sobald wir uns dem Veröffentlichungsdatum nähern.We will post information about these new events in the Microsoft 365 Roadmap as we get closer to a release date.

Sind die neuen Ereignisse in der erweiterten Überwachung in der Office 365-Verwaltungsaktivitäts-API verfügbar?Are the new events in Advanced Audit available in the Office 365 Management Activity API?

Ja.Yes. Solange Überwachungsdatensätze für Benutzer mit der entsprechenden Lizenz generiert werden, können Sie auf diese Datensätze über die Office 365-Verwaltungsaktivitäts-API zugreifen.As long as audit records are generated for users with the appropriate license, you'll be able to access these records via the Office 365 Management Activity API.

Bedeutet eine höhere Bandbreite eine bessere Latenz oder eine höhere SLA?Does higher bandwidth mean better latency or higher SLA?

Gegenwärtig bietet eine hohe Bandbreite eine bessere Pipeline, insbesondere für Organisationen mit einem hohen Volumen an Überwachungssignalen und signifikanten Verbrauchsmustern.At this time, high bandwidth provides a better pipeline, especially for organizations with a high volume of auditing signals and significant consumption patterns. Dies kann zu einer besseren Latenz führen.This can lead to better latency. Aber es gibt keine SLA, die mit hoher Bandbreite verbunden ist.But, there isn't an SLA associated with high bandwidth. Die Standardlatenzen sind dokumentiert, und diese ändern sich mit der Veröffentlichung der erweiterten Überwachung nicht.Standard latencies are documented, and these don't change with the release of Advanced Audit.