Logs Insights auditoria do Viva

Os Microsoft 365 de auditoria são gerados e acessados no portal Microsoft 365. Como administrador Exchange, você pode acessar esses logs para auditar ou acompanhar atividades e ações gerais do usuário, como ver quem acessou, tentou acessar ou modificar dados.

Esses logs incluem uma seção de auditoria para Insights do Microsoft Viva atividade (anteriormente Workplace Analytics), que normalmente inclui dados confidenciais. Você pode monitorar e rastrear seus dados organizacionais para todas as ações do usuário para garantir a conformidade com as políticas de privacidade e segurança da sua organização.

Requisitos de acesso

Você deve atender aos seguintes requisitos antes de acessar os logs de auditoria:

  • Para acessar Microsoft 365 seção de auditoria do Centro de Conformidade & Segurança, você deve ter uma licença de Exchange Online (incluída com assinaturas Microsoft 365 Enterprise E3 e E5).
  • E você deve ser um administrador global ou ter uma função de administrador Exchange que fornece acesso ao log de auditoria. Exchange funções de administrador são controladas por meio do Exchange Admin center. Para obter mais informações, confira Permissões no Exchange Online.
  1. Os logs de auditoria estão disponíveis por meio do Centro de Conformidade Microsoft 365 Segurança & Segurança. Vá para protection.office.com.
  2. Entre no Microsoft 365 com suas credenciais de administrador.

Para registrar atividades para os logs de auditoria

Antes de poder pesquisar o Microsoft 365 de auditoria, você (ou outro administrador) deve primeiro ativar o log de auditoria:

  1. Vá para a seção Conformidade & segurança na home page do portal Microsoft 365 e expanda Pesquisa & Investigação no painel de navegação esquerdo.

  2. Selecione Pesquisa de log de auditoria e, se disponível, selecione Iniciar a gravação de atividades de usuário e administrador. (Se você não vir esse link, a auditoria já está 100% 2016.)

    Depois de começar a gravar, você verá uma mensagem "log de auditoria sendo preparado". Pode levar algumas horas para que você possa pesquisar atividades gravadas nos logs de auditoria.

Para exibir as atividades do Viva Insights

  1. Na seção Conformidade & segurança na home page do portal Microsoft 365, expanda Pesquisa & Investigação no painel de navegação esquerdo e selecione Pesquisa de log de auditoria .

    Pesquisa de log de auditoria.

  2. Na seção Pesquisa da página pesquisa de log de auditoria, selecione Mostrar resultados para todas as atividades.

  3. Na seção Data de início, selecione um intervalo de datas.

    • Para usar o intervalo máximo de datas de 90 dias, selecione a data e a hora atuais da data de início. Caso contrário, ocorrerá um erro sobre a data de início ser anterior à data de término.
    • Se você tiver ligado a auditoria nos últimos 90 dias, o intervalo de datas não poderá ser ligado antes de a auditoria ser 2016.
  4. Para retornar atividades para todos os usuários (e contas de serviço), deixe o campo Usuários em branco. Ou você pode inserir um ou mais nomes de usuário (o email da conta que eles usam para entrar no Workplace Analytics) no campo Usuários para ver apenas essas atividades do usuário.

    Usuários de log de auditoria.

  5. No campo Pesquisa, insira Insights do Microsoft Viva Atividades e selecione Pesquisar. Veja a seguir uma lista de atividades de exemplo.

    Atividade de log de auditoria.

  6. A seção Resultados da página de pesquisa de log de auditoria mostra um máximo de 5.000 dos eventos mais recentes, em incrementos de 150. Use a barra de rolagem nesta seção para mostrar os próximos 150 eventos. Esta seção lista os eventos de log de auditoria, incluindo as informações a seguir. Você pode selecionar um header de coluna para classificar a lista por ele.

    Coluna Definição
    Data A data e a hora (no formato UTC) quando o evento ocorreu.
    Endereço IP O endereço IP usado quando a atividade de um dispositivo foi registrada. O endereço IP é mostrado no formato de endereço IPv4 ou IPv6.
    Usuário O usuário (ou conta de serviço) que realizou a ação que disparou o evento.
    Atividade A atividade realizada pelo usuário. Esse valor corresponde às atividades selecionadas na lista lista suspenso Atividades. Para um evento do log de auditoria de administradores do Exchange, o valor nessa coluna é um cmdlet do Exchange.
    Item O objeto que foi criado ou modificado devido à atividade correspondente. Por exemplo, o arquivo que foi exibido ou modificado ou a conta de usuário que foi atualizada. Nem todas as atividades nesta coluna têm um valor.
    Detalhe Qualquer detalhe adicional sobre uma atividade. Nem todas as atividades têm um valor.

    Para obter mais detalhes e dicas sobre como pesquisar, filtrar e exportar resultados no log de auditoria, consulte Pesquisar o log de auditoria.

  7. Na seção Resultados, selecione um evento na lista para exibir mais detalhes sobre ele.

  8. Uma página Detalhes mostra as propriedades do evento, que se baseiam Microsoft 365 serviço no qual o evento ocorreu. Selecione Mais informações para exibir mais.

    Detalhes do log de auditoria.

Viva Insights atividades

As tabelas a seguir descrevem as Insights do Viva que os logs de auditoria podem registrar.

Atividades de administrador

Atividade Descrição
Dados da organização carregados Arquivo de dados organizacionais carregado pelo administrador
Configuração de Privacidade Atualizada Configurações atualizadas do administrador
Configuração do acesso a dados atualizada Configurações de acesso a dados atualizadas pelo administrador

Atividades de autorização

Atividade Descrição
Usuário conectado Usuário conectado ao Viva Insights com uma função de usuário válida
Usuário conectado Usuário selecionado para sair do Workplace Analytics

Atividades de acesso a dados de consulta (analista)

Atividade Descrição
Consulta Executada O analista fez uma consulta
Consulta Cancelada O analista cancelou uma consulta em execução
Excluir Resultado O analista excluiu um resultado de consulta
Relatório baixado O analista baixou um resultado de consulta
Link OData acessado O analista acessou o link OData
Criar Exclusão de Reunião O analista criou uma nova regra de exclusão de reunião
Exclusão de reunião preferencial atualizada O analista atualizou a regra de exclusão de reunião preferencial

Explorar atividades de acesso a dados

Atividade Descrição
Exibido Explorar as estatísticas O analista exibiu uma ou mais páginas Desbrava as estatísticas.

Para obter mais informações sobre propriedades de evento, consulte Propriedades detalhadas no log de auditoria.

Usar o PowerShell para pesquisar os logs

Você também pode usar o PowerShell para acessar os logs de auditoria com base no seu logon. Para usar o comando New-PSSession, sua conta deve ter:

  • Uma Exchange Online atribuída a ela.
  • Acesso ao log de auditoria para o Microsoft 365 locatário.

O código de exemplo a seguir usa o comando Search-UnifiedAuditLog para obter entradas de log de Insights de auditoria do Viva.


Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Search-UnifiedAuditLog -StartDate 1/1/2019 -EndDate 1/31/2019 -RecordType WorkplaceAnalytics-ResultSize 1000 | Format-Table | More

Para obter mais informações sobre como se conectar Exchange Online, consulte Conexão para Exchange Online PowerShell.