Konfigurera avancerad granskning i Microsoft 365
Om din organisation har en prenumeration och licensiering för slutanvändare som stöder Avancerad granskning utför du följande steg för att konfigurera och använda de ytterligare funktionerna i Avancerad granskning.

Steg 1: Konfigurera avancerad granskning för användare
För Avancerad granskning-funktioner som möjligheten att logga viktiga händelser, till exempel MailItemsAccessed och Send, måste användarna ha tilldelats rätt E5-licens. Dessutom måste appen/tjänstplanen Advanced Auditing vara aktiverad för dessa användare. Du kan kontrollera att appen Advanced Auditing har tilldelats användarna genom att utföra följande steg för varje användare:
I Administrationscenter för Microsoft 365 går du till Användare > aktiva användareoch väljer en användare.
Klicka på Licenser och appar på den utfällbara sidan med användaregenskaper.
I avsnittet Licenser kontrollerar du att användaren har tilldelats en E5-licens eller har tilldelats en lämplig tilläggslicens. En lista över licenser som stöder Avancerad granskning finns i Licenskrav för avancerad granskning.
Visa avsnittet Appar och kontrollera att kryssrutan Microsoft 365 Advanced Auditing är markerad.
Om kryssrutan inte är markerad markerar du den och klickar sedan på Spara ändringar.
Loggning av granskningsposter för MailItemsAccessed och Send startar inom 24 timmar. Du måste utföra steg 3 för att börja loggning av två andra avancerade granskningshändelser: SearchQueryInitiatedExchange och SearchQueryInitiatedSharePoint.
Om organisationen tilldelar licenser till grupper av användare med hjälp av gruppbaserad licensiering måste du inaktivera licenstilldelningen för Microsoft 365 Advanced Auditing för gruppen. När du har sparat ändringarna kontrollerar du att Microsoft 365 Advanced Auditing är inaktiverat för gruppen. Aktivera sedan licenstilldelningen för gruppen igen. Instruktioner för hur du använder gruppbaserad licensiering finns i Tilldela licenser till användare efter gruppmedlemskap i Azure Active Directory.
Om du har anpassat postlådeåtgärder som loggas på användarpostlådor eller delade postlådor, granskas inte nya avancerade granskningshändelser som släppts av Microsoft automatiskt för postlådorna. Information om hur du ändrar postlådeåtgärderna som granskas för varje inloggningstyp finns i avsnittet ”Ändra eller återställa postlådeåtgärder som loggas som standard” i Hantera postlådegranskning.
Steg 2: Aktivera avancerade granskningshändelser
Du måste aktivera två avancerade granskningshändelser (SearchQueryInitiatedExchange och SearchQueryInitiatedSharePoint) när användare utför sökningar i Exchange Online och SharePoint Online. Om du vill aktivera dessa två händelser som ska granskas för användare kör du följande kommando (för varje användare) i Exchange Online PowerShell:
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
I en geomiljö med flera platser måste du köra det tidigare kommandot Uppsättningspostlåda i skogen där användarens postlåda finns. Kör följande kommando för att identifiera användarens postlådas plats:
Get-Mailbox <user identity> | FL MailboxLocations
Om kommandot för att aktivera granskning av sökfrågor tidigare kördes i en annan skog än den användarens postlåda finns i, måste du ta bort värdet searchQueryInitiated från användarens postlåda genom att köra och sedan lägga till det i användarens postlåda i skogen där användarens postlåda Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} finns.
Steg 3: Konfigurera bevarandeprinciper för granskning
Utöver standardprincipen som behåller granskningsposter för Exchange, SharePoint och Azure AD i ett år kan du skapa ytterligare kvarhållningsprinciper för granskningsloggar så att de uppfyller kraven för organisationens säkerhetsåtgärder, IT- och efterlevnadsgrupper. Mer information finns i Hantera kvarhållningsprinciper för granskningsloggar.
Steg 4: Sök efter avancerade granskningshändelser
Nu när du har ställt in Avancerad granskning för din organisation kan du söka efter avgörande avancerade granskningshändelser och andra aktiviteter när du genomför tekniska undersökningar. När du har slutfört steg 1 och steg 2 kan du söka i granskningsloggen efter avancerad granskning och andra aktiviteter under undersökningar av komprometterade konton och andra typer av säkerhets- och efterlevnadsundersökningar. Mer information om en undersökning av komprometterade användarkonton med hjälp av händelsen MailItemsAccessed Advanced Audit finns i Använda avancerad granskning för att undersöka komprometterade konton.