Attivare o disattivare il controllo

Nota

Microsoft 365 conformità è ora denominata Microsoft Purview e le soluzioni all'interno dell'area di conformità sono state rinominate. Per altre informazioni su Microsoft Purview, vedere l'annuncio del blog.

La registrazione di controllo verrà attivata per impostazione predefinita per Microsoft 365 e Office 365 organizzazioni aziendali. Tuttavia, quando si configura una nuova organizzazione Microsoft 365 o Office 365, è necessario verificare lo stato di controllo per l'organizzazione. Per istruzioni, vedere la sezione Verificare lo stato del controllo per l'organizzazione in questo articolo.

Quando il controllo nel portale di conformità di Microsoft Purview è attivato, l'attività utente e amministratore dell'organizzazione viene registrata nel log di controllo e conservata per 90 giorni e fino a un anno a seconda della licenza assegnata agli utenti. Tuttavia, l'organizzazione potrebbe avere motivi per non voler registrare e conservare i dati del log di controllo. In questi casi, un amministratore globale può decidere di disattivare il controllo in Microsoft 365.

Importante

Se si disattiva il controllo in Microsoft 365, non è possibile usare l'API attività di gestione Office 365 o Microsoft Sentinel per accedere ai dati di controllo per l'organizzazione. Se si disattiva il controllo seguendo la procedura descritta in questo articolo, non verranno restituiti risultati quando si esegue una ricerca nel log di controllo usando il portale di conformità o quando si esegue il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell. Ciò significa anche che i log di controllo non saranno disponibili tramite l'API attività di gestione Office 365 o Microsoft Sentinel.

Prima di attivare o disattivare il controllo

  • È necessario assegnare il ruolo Log di controllo in Exchange Online per attivare o disattivare il controllo nell'organizzazione Microsoft 365. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioni nell'interfaccia di amministrazione Exchange. Gli amministratori globali in Microsoft 365 sono membri del gruppo di ruoli Gestione organizzazione in Exchange Online.

    Nota

    Agli utenti devono essere assegnate autorizzazioni in Exchange Online per attivare o disattivare il controllo. Se si assegna agli utenti il ruolo Log di controllo nella pagina Autorizzazioni nel portale di conformità, non saranno in grado di attivare o disattivare il controllo. Questo perché il cmdlet sottostante è un cmdlet di PowerShell Exchange Online.

  • Per istruzioni dettagliate sulla ricerca nel log di controllo, vedere Cercare nel log di controllo. Per altre informazioni sull'API attività di gestione Microsoft 365, vedere Attività iniziali con le API di gestione Microsoft 365.

Verificare lo stato del controllo per l'organizzazione

Per verificare che il controllo sia attivato per l'organizzazione, è possibile eseguire il comando seguente in Exchange Online PowerShell:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Il valore per True la proprietà UnifiedAuditLogIngestionEnabled indica che il controllo è attivato. Il valore False indica che il controllo non è attivato.

Nota

Assicurarsi di eseguire il comando precedente in Exchange Online PowerShell. Non è possibile usare PowerShell sicurezza & conformità per eseguire questo comando.

Attivare il controllo

Se il controllo non è attivato per l'organizzazione, è possibile attivarlo nel portale di conformità o usando Exchange Online PowerShell. L'attivazione del controllo potrebbe richiedere diverse ore prima di poter restituire i risultati durante la ricerca nel log di controllo.

Usare il Centro conformità per attivare il controllo

  1. Andare su https://compliance.microsoft.com ed eseguire l'accesso.

  2. Nel riquadro di spostamento a sinistra del portale di conformità fare clic su Controlla.

    Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede l'avvio della registrazione dell'attività utente e amministratore.

    Banner nella pagina Controllo.

  3. Fare clic sul banner Avvia registrazione attività utente e amministratore .

    L'applicazione della modifica può richiedere fino a 60 minuti.

Usare PowerShell per attivare il controllo

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il comando di PowerShell seguente per attivare il controllo.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Viene visualizzato un messaggio che indica che potrebbero essere necessari fino a 60 minuti prima che la modifica venga applicata.

Disattiva controllo

È necessario usare Exchange Online PowerShell per disattivare il controllo.

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il comando di PowerShell seguente per disattivare il controllo.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Dopo un po', verificare che il controllo sia disattivato (disabilitato). È possibile eseguire questa operazione in due modi:

    • In Exchange Online PowerShell eseguire il comando seguente:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Il valore di False per la proprietà UnifiedAuditLogIngestionEnabled indica che il controllo è disattivato.

    • Passare alla pagina Controllo nel portale di conformità.

      Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede l'avvio della registrazione dell'attività utente e amministratore.

Controllare i record quando viene modificato lo stato del controllo

Le modifiche apportate allo stato di controllo nell'organizzazione vengono controllate a loro volta. Ciò significa che i record di controllo vengono registrati quando il controllo è attivato o disattivato. È possibile cercare questi record di controllo nel log di controllo dell Exchange amministratore.

Per cercare nel log di controllo dell'amministratore Exchange i record di controllo generati quando si attiva o disattiva il controllo, eseguire il comando seguente in Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

I record di controllo per questi eventi contengono informazioni su quando è stato modificato lo stato di controllo, l'amministratore che lo ha modificato e l'indirizzo IP del computer usato per apportare la modifica. Gli screenshot seguenti mostrano i record di controllo che corrispondono alla modifica dello stato del controllo nell'organizzazione.

Record di controllo per l'attivazione del controllo

Record di controllo per l'attivazione del controllo

Il valore di Confirm nella proprietà CmdletParameters indica che la registrazione di controllo unificata è stata attivata nel Centro conformità o eseguendo il cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Record di controllo per la disattivazione del controllo

Record di controllo per la disattivazione del controllo

Il valore di Confirm non è incluso nella proprietà CmdletParameters . Ciò indica che la registrazione di controllo unificata è stata disattivata eseguendo il comando Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Per altre informazioni sulla ricerca nel log di controllo dell'amministratore Exchange, vedere Search-AdminAuditLog.