Включение и отключение аудитаTurn auditing on or off

По умолчанию ведение журналов аудита включено для организаций, использующих Microsoft 365 и Office 365 корпоративный.Audit logging is turned on by default for Microsoft 365 and Office 365 enterprise organizations. Сюда также входят организации с подпиской E3/G3 или E5/G5.This includes organizations with E3/G3 or E5/G5 subscriptions. При включенном аудите в центре соответствия требованиям действия пользователя и администратора организации записывают в журнал аудита и сохраняются в течение 90 дней и до одного года в зависимости от лицензии, назначенной пользователям.When auditing in the compliance center is turned on, user and admin activity from your organization is recorded in the audit log and retained for 90 days, and up to one year depending on the license assigned to users. Однако у вашей организации могут быть причины, по которой вы не хотите записывать и хранить данные журнала аудита.However, your organization may have reasons for not wanting to record and retain audit log data. В этих случаях глобальный администратор может принять решение отключить аудит в Microsoft 365.In those cases, a global admin may decide to turn off auditing in Microsoft 365.

Важно!

Если вы отключите аудит в Microsoft 365, вы не можете использовать API Office 365 управления или Azure Sentinel для доступа к данным аудита для вашей организации.If you turn off auditing in Microsoft 365, you can't use the Office 365 Management Activity API or Azure Sentinel to access auditing data for your organization. Отключение аудита, следуя шагам в этой статье, означает, что результаты не будут возвращены при поиске журнала аудита с помощью Центра соответствия требованиям безопасности & или при запуске cmdlet Search-UnifiedAuditLog в Exchange Online PowerShell.Turning off auditing by following the steps in this article means that no results will be returned when you search the audit log using the Security & Compliance Center or when you run the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell. Это также означает, что журналы аудита не будут доступны через API Office 365 управления или Azure Sentinel.This also means that audit logs won't be available through the Office 365 Management Activity API or Azure Sentinel.

Прежде чем включить аудит или отключитьBefore you turn auditing on or off

  • Для того чтобы включить или отключить аудит в Exchange Online организации, необходимо Exchange Online роли Microsoft 365 журналов аудита.You have to be assigned the Audit Logs role in Exchange Online to turn auditing on or off in your Microsoft 365 organization. По умолчанию эта роль назначена группам ролей управления соответствием требованиям и организации на странице Permissions в центре администрирования Exchange.By default, this role is assigned to the Compliance Management and Organization Management role groups on the Permissions page in the Exchange admin center. Глобальные администраторы в Microsoft 365 являются членами группы ролей управления организацией в Exchange Online.Global admins in Microsoft 365 are members of the Organization Management role group in Exchange Online.

    Примечание

    Пользователям должны быть назначены разрешения в Exchange Online, чтобы включить или отключить аудит.Users have to be assigned permissions in Exchange Online to turn auditing on or off. Если назначить пользователям роль журналов аудита на странице Разрешения в Центре соответствия требованиям & безопасности, они не смогут включить или отключить аудит.If you assign users the Audit Logs role on the Permissions page in the Security & Compliance Center, they won't be able to turn auditing on or off. Это потому, что в основном cmdlet является Exchange Online PowerShell.This is because the underlying cmdlet is an Exchange Online PowerShell cmdlet.

  • Пошаговая инструкция по поиску журнала аудита см. в журнале Search the audit log in the Security & Compliance Center.For step-by-step instructions on searching the audit log, see Search the audit log in the Security & Compliance Center. Дополнительные сведения об API Microsoft 365 управления см. в Microsoft 365 APIуправления.For more information about the Microsoft 365 Management Activity API, see Get started with Microsoft 365 Management APIs.

  • Чтобы убедиться, что аудит включен, можно выполнить следующую команду в Exchange Online PowerShell:To verify that auditing is turned on, you can run the following command in Exchange Online PowerShell:

    Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
    

    Значение свойства True UnifiedAuditLogIngestionEnabled указывает, что аудит включен.The value of True for the UnifiedAuditLogIngestionEnabled property indicates that auditing is turned on.

Включи аудитTurn on auditing

Если аудит не включен для организации, его можно включить в центре соответствия требованиям или с помощью Exchange Online PowerShell.If auditing is not turned on for your organization, you can turn it on in the compliance center or by using Exchange Online PowerShell. Может потребоваться несколько часов после того, как вы включит аудит, прежде чем вы сможете возвращать результаты при поиске журнала аудита.It may take several hours after you turn on auditing before you can return results when you search the audit log.

Используйте центр соответствия требованиям, чтобы включить аудитUse the compliance center to turn on auditing

  1. Перейдите на https://compliance.microsoft.com и войдите.Go to https://compliance.microsoft.com and sign in.

  2. В левой области навигации центра Microsoft 365 нажмите кнопку Показать все, а затем нажмите аудит.In the left navigation pane of the Microsoft 365 compliance center, click Show all, and then click Audit.

    Если аудит не включен для вашей организации, отображается баннер, в результате чего начинается запись действий пользователя и администратора.If auditing is not turned on for your organization, a banner is displayed prompting you start recording user and admin activity.

    Баннер на странице Аудит

  3. Нажмите кнопку Начните запись пользователя и баннера действий администратора.Click the Start recording user and admin activity banner.

    На то, чтобы изменение вступает в силу, может потребоваться до 60 минут.It may take up to 60 minutes for the change to take effect.

Чтобы включить аудит, используйте PowerShellUse PowerShell to turn on auditing

  1. Подключение к PowerShell Exchange OnlineConnect to Exchange Online PowerShell

  2. Запустите следующую команду PowerShell, чтобы включить аудит в Office 365.Run the following PowerShell command to turn on auditing in Office 365.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Отображается сообщение о том, что для в действие изменения может потребоваться до 60 минут.A message is displayed saying that it may take up to 60 minutes for the change to take effect.

Отключение аудитаTurn off auditing

Чтобы отключить аудит Exchange Online PowerShell, необходимо использовать Exchange Online PowerShell.You have to use Exchange Online PowerShell to turn off auditing.

  1. Подключение к PowerShell Exchange OnlineConnect to Exchange Online PowerShell

  2. Запустите следующую команду PowerShell, чтобы отключить аудит.Run the following PowerShell command to turn off auditing.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Через некоторое время убедитесь, что аудит отключен (отключен).After a while, verify that auditing is turned off (disabled). Это можно сделать двумя способами:There are two ways to do this:

    • В Exchange Online PowerShell запустите следующую команду:In Exchange Online PowerShell, run the following command:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Значение свойства False UnifiedAuditLogIngestionEnabled указывает на отключение аудита.The value of False for the UnifiedAuditLogIngestionEnabled property indicates that auditing is turned off.

    • Перейдите на страницу Аудит в центре Microsoft 365 соответствия требованиям.Go to the Audit page in the Microsoft 365 compliance center.

      Если аудит не включен для вашей организации, отображается баннер, в результате чего начинается запись действий пользователя и администратора.If auditing is not turned on for your organization, a banner is displayed prompting you start recording user and admin activity.