Aktivieren oder Deaktivieren der Überwachung

Die Überwachungsprotokollierung ist für Microsoft 365- und Office 365 Enterprise-Organisationen standardmäßig aktiviert. Wenn Sie jedoch eine neue Microsoft 365- oder Office 365-Organisation einrichten, sollten Sie den Überwachungsstatus für Ihre Organisation überprüfen. Anweisungen hierzu finden Sie im Abschnitt "Überprüfen des Überwachungsstatus für Ihre Organisation " in diesem Artikel.

Wenn die Überwachung in der Microsoft Purview-Complianceportal aktiviert ist, werden Benutzer- und Administratoraktivitäten aus Ihrer Organisation im Überwachungsprotokoll aufgezeichnet und 90 Tage lang und je nach den Benutzern zugewiesenen Lizenzen bis zu einem Jahr aufbewahrt. Möglicherweise hat Ihre Organisation jedoch Gründe, überwachungsprotokolldaten nicht aufzuzeichnen und aufzubewahren. In diesen Fällen kann ein globaler Administrator entscheiden, die Überwachung in Microsoft 365 zu deaktivieren.

Wichtig

Wenn Sie die Überwachung in Microsoft 365 deaktivieren, können Sie die Office 365 Verwaltungsaktivitäts-API oder Microsoft Sentinel nicht verwenden, um auf Überwachungsdaten für Ihre Organisation zuzugreifen. Das Deaktivieren der Überwachung durch Ausführen der Schritte in diesem Artikel bedeutet, dass beim Durchsuchen des Überwachungsprotokolls mithilfe des Complianceportals oder beim Ausführen des Cmdlets Search-UnifiedAuditLog in Exchange Online PowerShell keine Ergebnisse zurückgegeben werden. Dies bedeutet auch, dass Überwachungsprotokolle nicht über die Office 365-Verwaltungsaktivitäts-API oder Microsoft Sentinel verfügbar sind.

Vor dem Aktivieren oder Deaktivieren der Überwachung

  • Ihnen muss die Rolle "Überwachungsprotokolle" in Exchange Online zugewiesen werden, um die Überwachung in Ihrer Microsoft 365-Organisation zu aktivieren oder zu deaktivieren. Standardmäßig wird diese Rolle den Rollengruppen "Complianceverwaltung" und "Organisationsverwaltung" auf der Seite "Berechtigungen" im Exchange Admin Center zugewiesen. Globale Administratoren in Microsoft 365 sind Mitglieder der Rollengruppe "Organisationsverwaltung" in Exchange Online.

    Hinweis

    Benutzern müssen Berechtigungen in Exchange Online zugewiesen werden, um die Überwachung zu aktivieren oder zu deaktivieren. Wenn Sie Benutzern die Rolle "Überwachungsprotokolle" auf der Seite "Berechtigungen" im Complianceportal zuweisen, können sie die Überwachung nicht aktivieren oder deaktivieren. Dies liegt daran, dass das zugrunde liegende Cmdlet ein Exchange Online PowerShell-Cmdlet ist.

  • Eine schrittweise Anleitung zum Durchsuchen des Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls. Weitere Informationen zur Microsoft 365-Verwaltungsaktivitäts-API finden Sie unter "Erste Schritte mit Microsoft 365-Verwaltungs-APIs".

Überprüfen des Überwachungsstatus für Ihre Organisation

Um zu überprüfen, ob die Überwachung für Ihre Organisation aktiviert ist, können Sie den folgenden Befehl in Exchange Online PowerShell ausführen:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Ein Wert für True die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung aktiviert ist. Ein Wert von False gibt an, dass die Überwachung nicht aktiviert ist.

Hinweis

Führen Sie unbedingt den vorherigen Befehl in Exchange Online PowerShell aus. Sie können diesen Befehl nicht mithilfe von Security & Compliance PowerShell ausführen.

Aktivieren der Überwachung

Wenn die Überwachung für Ihre Organisation nicht aktiviert ist, können Sie sie im Complianceportal oder mithilfe von Exchange Online PowerShell aktivieren. Es kann mehrere Stunden dauern, nachdem Sie die Überwachung aktiviert haben, bevor Sie beim Durchsuchen des Überwachungsprotokolls Ergebnisse zurückgeben können.

Verwenden des Compliance Centers zum Aktivieren der Überwachung

  1. Wechseln Sie zu https://compliance.microsoft.com, und melden Sie sich an.

  2. Klicken Sie im linken Navigationsbereich des Complianceportals auf "Überwachen".

    Wenn die Überwachung für Ihre Organisation nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, die Aufzeichnung von Benutzer- und Administratoraktivitäten zu starten.

    Banner auf der Seite "Überwachung".

  3. Klicken Sie auf das Banner "Aufzeichnung von Benutzer- und Administratoraktivitäten starten".

    Es kann bis zu 60 Minuten dauern, bis die Änderung wirksam wird.

Aktivieren der Überwachung mithilfe von PowerShell

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu aktivieren.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Es wird eine Meldung angezeigt, die besagt, dass es bis zu 60 Minuten dauern kann, bis die Änderung wirksam wird.

Deaktivieren der Überwachung

Sie müssen Exchange Online PowerShell verwenden, um die Überwachung zu deaktivieren.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie den folgenden PowerShell-Befehl aus, um die Überwachung zu deaktivieren.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Überprüfen Sie nach einer Weile, ob die Überwachung deaktiviert (deaktiviert) ist. Sie können auf zwei Arten vorgehen:

    • Führen Sie in Exchange Online PowerShell den folgenden Befehl aus:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Der Wert für False die UnifiedAuditLogIngestionEnabled-Eigenschaft gibt an, dass die Überwachung deaktiviert ist.

    • Wechseln Sie im Complianceportal zur Seite "Überwachung ".

      Wenn die Überwachung für Ihre Organisation nicht aktiviert ist, wird ein Banner angezeigt, in dem Sie aufgefordert werden, die Aufzeichnung von Benutzer- und Administratoraktivitäten zu starten.

Überwachungsdatensätze, wenn der Überwachungsstatus geändert wird

Änderungen am Überwachungsstatus in Ihrer Organisation werden selbst überwacht. Dies bedeutet, dass Überwachungsdatensätze protokolliert werden, wenn die Überwachung aktiviert oder deaktiviert ist. Sie können das Exchange-Administratorüberwachungsprotokoll nach diesen Überwachungsdatensätzen durchsuchen.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um das Exchange-Administratorüberwachungsprotokoll nach Überwachungsdatensätzen zu durchsuchen, die beim Aktivieren oder Deaktivieren der Überwachung generiert werden:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Überwachungsdatensätze für diese Ereignisse enthalten Informationen darüber, wann der Überwachungsstatus geändert wurde, den Administrator, der ihn geändert hat, und die IP-Adresse des Computers, auf dem die Änderung vorgenommen wurde. Die folgenden Screenshots zeigen Überwachungsdatensätze, die dem Ändern des Überwachungsstatus in Ihrer Organisation entsprechen.

Überwachungsdatensatz zum Aktivieren der Überwachung

Überwachungsdatensatz zum Aktivieren der Überwachung

Der Wert in Confirm der CmdletParameters-Eigenschaft gibt an, dass die einheitliche Überwachungsprotokollierung im Compliance Center oder durch Ausführen des Cmdlets Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnable $true d aktiviert wurde.

Überwachungsdatensatz zum Deaktivieren der Überwachung

Überwachungsdatensatz zum Deaktivieren der Überwachung

Der Wert von Confirm ist nicht in der CmdletParameters-Eigenschaft enthalten. Dies weist darauf hin, dass die einheitliche Überwachungsprotokollierung durch Ausführen des Befehls Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false deaktiviert wurde.

Weitere Informationen zum Durchsuchen des Exchange-Administratorüberwachungsprotokolls finden Sie unter Search-AdminAuditLog.