Aktivera eller inaktivera granskningar

Granskningsloggning aktiveras som standard för företag och Microsoft 365 och Office 365 organisationer. När du inställningar för ett Microsoft 365 eller Office 365 organisation bör du dock kontrollera granskningsstatusen för organisationen. Anvisningar finns i avsnittet Kontrollera organisationens granskningsstatus i den här artikeln.

När granskning i Microsoft 365 Efterlevnadscenter är aktiverat registreras användar- och administratörsaktiviteten från organisationen i granskningsloggen och behålls i 90 dagar och upp till ett år beroende på vilken licens användarna tilldelats. Det kan dock finnas skäl för organisationen att inte registrera och behålla granskningsloggdata. I sådana fall kan en global administratör bestämma sig för att inaktivera granskning i Microsoft 365.

Viktigt

Om du inaktiverar granskning i Microsoft 365 kan du inte använda API:t för hanteringsaktivitet Office 365 eller Microsoft Sentinel för att komma åt granskningsdata för organisationen. Om du inaktiverar granskning genom att följa stegen i den här artikeln innebär det att inga resultat returneras när du söker i granskningsloggen med hjälp av Microsoft 365 Efterlevnadscenter eller när du kör cmdleten Search-UnifiedAuditLog i Exchange Online PowerShell. Det innebär också att granskningsloggar inte är tillgängliga via API:t för Office 365 Management Activity eller Microsoft Sentinel.

Innan du aktiverar eller inaktiverar granskning

  • Du måste ha tilldelats rollen Granskningsloggar i Exchange Online att aktivera eller inaktivera granskning i Microsoft 365 organisation. Som standard tilldelas den här rollen rollgrupperna Efterlevnadshantering och Organisationshantering på sidan Behörigheter Exchange administrationscentret. Globala administratörer i Microsoft 365 är medlemmar i rollgruppen Organisationshantering i Exchange Online.

    Anteckning

    Användare måste ha tilldelats behörigheter i Exchange Online att aktivera eller inaktivera granskning. Om du tilldelar användarna rollen Granskningsloggar på sidan Behörigheter i Microsoft 365 Efterlevnadscenter kan de inte aktivera eller inaktivera granskning. Det beror på att den underliggande cmdleten är en Exchange Online PowerShell-cmdlet.

  • Stegvisa instruktioner för hur du söker i granskningsloggen finns i Söka i granskningsloggen. Mer information om API för hanteringsaktivitet Microsoft 365 finns i Komma igång Microsoft 365 Api:er för hantering.

Kontrollera organisationens granskningsstatus

Du kan kontrollera att granskning är aktiverad för organisationen genom att köra följande kommando i Exchange Online PowerShell:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Värdet för True egenskapen UnifiedAuditLogIngestionEnabled anger att granskning är aktiverad. Värdet för False anger att granskning inte är aktiverat.

Aktivera granskning

Om granskning inte är aktiverat för organisationen kan du aktivera den i Microsoft 365 Efterlevnadscenter eller med hjälp Exchange Online PowerShell. Det kan ta flera timmar efter att du har aktiverar granskning innan du kan returnera resultat när du söker i granskningsloggen.

Aktivera granskning med hjälp av efterlevnadscentret

  1. Gå till https://compliance.microsoft.com och logga in.

  2. Klicka på Granska i navigeringsrutan till Microsoft 365 Efterlevnadscenter vänster.

    Om granskning inte är aktiverat för organisationen visas en banderoll där du uppmanas att börja spela in användar- och administratörsaktivitet.

    Banderoll på granskningssidan.

  3. Klicka på banderollen Starta inspelning av användar- och administratörsaktivitet.

    Det kan ta upp till 60 minuter innan ändringen verkställs.

Aktivera granskning med PowerShell

  1. Ansluta till Exchange Online PowerShell.

  2. Kör följande PowerShell-kommando för att aktivera granskning.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
    

    Ett meddelande visas om att det kan ta upp till 60 minuter innan ändringen verkställs.

Inaktivera granskning

Du måste använda PowerShell Exchange Online inaktivera granskning.

  1. Ansluta till Exchange Online PowerShell.

  2. Kör följande PowerShell-kommando för att inaktivera granskning.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
    
  3. Kontrollera att granskning är inaktiverat (inaktiverat) efter ett tag. Du kan göra det på två sätt:

    • I Exchange Online PowerShell kör du följande kommando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
      

      Värdet för False egenskapen UnifiedAuditLogIngestionEnabled anger att granskning är inaktiverat.

    • Gå till sidan Granskning i Microsoft 365 Efterlevnadscenter.

      Om granskning inte är aktiverat för organisationen visas en banderoll där du uppmanas att börja spela in användar- och administratörsaktivitet.

Granskningsposter när granskningsstatus ändras

Ändringar av granskningsstatusen i organisationen granskas själva. Det innebär att granskningsposter loggas när granskning är aktiverat eller inaktiverat. Du kan söka Exchange administratörsgranskningsloggen efter dessa granskningsposter.

Om du vill Exchange administratörsgranskningsloggen efter granskningsposter som genereras när granskning aktiverar eller inaktiveras kör du följande kommando i Exchange Online PowerShell:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Granskningsposter för dessa händelser innehåller information om när granskningsstatusen ändrades, vem som ändrade den och IP-adressen till den dator som användes för att göra ändringen. På följande skärmbilder visas granskningsposter som motsvarar att ändra granskningsstatus i organisationen.

Granskningspost för att aktivera granskning

Granskningspost för att aktivera granskning

Värdet för egenskapen CmdletParameters anger att enhetlig granskningsloggning har aktiverats i efterlevnadscentret eller genom att köra Confirm cmdleten Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true.

Granskningspost för att inaktivera granskning

Granskningspost för att inaktivera granskning

Värdet för Confirm tas inte med i egenskapen CmdletParameters. Det här indikerar att enhetlig granskningsloggning inaktiverades genom att köra kommandot Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false.

Mer information om hur du söker Exchange administratörsgranskningslogg finns i Search-AdminAuditLog.