Köra en administratörsrapport för rollgrupp i fristående EOPRun an administrator role group report in standalone EOP

Viktigt

Välkommen till Microsoft Defender för Office 365 , det nya namnet för Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365 , the new name for Office 365 Advanced Threat Protection. Läs mer om den här och andra uppdateringar i Microsoft levererar enhetliga SIEM och XDR för att modernisera säkerhetsåtgärder.Read more about this and other updates in Microsoft delivers unified SIEM and XDR to modernize security operations.

I fristående Exchange Online Protection (EOP)-organisationer utan Exchange Online-postlådor när en administratör lägger till eller tar bort medlemmar från administratörs roll grupper loggar tjänsten in varje förekomst.In standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, when an admin adds members to or removes members from administrative role groups, the service logs each occurrence. Mer information om roll grupper i fristående EOP finns i behörigheter i fristående EOP.For more information about role groups in standalone EOP, see Permissions in standalone EOP.

När du kör en rapport i administratörs gruppen för administratörer i administrations centret för Exchange (UK) visas posterna som Sök Resultat och innehåller de roll grupper som påverkas, vem som ändrade roll gruppens medlemskap och när och vilka medlemskaps uppdateringar som har gjorts.When you run an administrator role group report in the Exchange admin center (EAC), entries are displayed as search results and include the role groups affected, who changed the role group membership and when, and what membership updates were made. Använd den här rapporten för att övervaka ändringar av de administrativa behörigheter som tilldelats användare i organisationen.Use this report to monitor changes to the administrative permissions assigned to users in your organization.

Vad behöver jag veta innan jag börjar?What do you need to know before you begin?

Tips

Har du problem?Having problems? Be om hjälp i Exchange Online Protection forum.Ask for help in the Exchange Online Protection forum.

Använda rapporten UK för att köra en administratörs rollUse the EAC to run an administrator role group report

Kör rapporten administratörs grupp för att hitta ändringarna i roll grupperna för hantering inom en viss tids period.Run the administrator role group report to find the changes to management role groups within a particular time frame.

  1. Gå till granskning i överensstämmelse hantering i UK > Auditing och välj sedan kör en administratörs grupp rapport för administratörer.In the EAC, go to Compliance management > Auditing , and then choose Run an administrator role group report.

  2. I sidan Sök efter ändringar av gruppen Administratörer som öppnas konfigurerar du följande inställningar:In the Search for changes to administrator role groups page that opens, configure the following settings:

    • Start datum och slutdatum : Ange ett datum intervall.Start date and End date : Enter a date range. Som standard söker rapporten efter ändringar som gjorts i administratörs roll grupper under de senaste två veckorna.By default, the report searches for changes made to administrator role groups in the past two weeks.

    • Välj roll grupper : som standard genomsöks alla roll grupper.Select role groups : By default, all role groups are searched. Om du vill filtrera resultaten efter specifika roll grupper klickar du på Välj roll grupper.To filter the results by specific role groups, click Select role groups. I dialog rutan som visas väljer du en roll grupp och klickar på Lägg till >.In the dialog that appears, select a role group and click add ->. Upprepa det här steget så många gånger som behövs och klicka sedan på OK när du är klar.Repeat this step as many times as necessary, and then click OK when you're finished.

  3. När du är klar klickar du på Sök.When you're finished, click Search.

Om några ändringar hittas med de villkor du angett visas de i fönstret resultat.If any changes are found using the criteria you specified, they will appear in the results pane. Klicka på en roll grupp i Sök resultatet för att visa ändringarna i informations fönstret.Click a role group in the search results to see the changes in the details pane.

Hur vet du att det fungerade?How do you know this worked?

Om du har kört en administratörs rapport för administratörer visas roll grupper som har ändrats inom datum intervallet i fönstret Sök resultat.If you've successfully run an administrator role group report, role groups that have been changed within the date range are displayed in the search results pane. Om det inte finns några resultat ändras inga roll grupper i det angivna datum intervallet.If there are no results, then no changes to role groups have taken place within the specified date range. Om du tror att det borde finnas resultat, ändra datum intervallet och kör sedan rapporten igen.If you think there should be results, change the date range and then run the report again.

Övervaka ändringar i roll grupp medlemskapMonitor changes to role group membership

När medlemmar läggs till eller tas bort från en roll grupp indikerar Sök resultaten som visas i informations fönstret att roll grupp medlemskapet har uppdaterats och visar en lista över aktuella medlemmar.When members are added to or removed from a role group, the search results displayed in the details pane indicate that the role group membership was updated and lists the current members. Resultaten anger inte uttryckligen vilken användare som lades till eller togs bort.The results don't explicitly state which user was added or removed.

För att avgöra om en användare har lagts till eller tagits bort måste du jämföra två separata poster i rapporten.To determine if a user was added or removed, you have to compare two separate entries in the report. Låt oss titta på följande logg poster för roll gruppen helpdesk :For example, let's look at the following log entries for the HelpDesk role group:

1/27/2018 4:43 PM1/27/2018 4:43 PM
LösenAdministrator
Uppdaterade medlemmar: administratör; annb; florencef; pilarpUpdated members: Administrator;annb,florencef;pilarp
2/06/2018 10:09 AM2/06/2018 10:09 AM
LösenAdministrator
Uppdaterade medlemmar: administratör; annb; florencef; pilarp; tonipUpdated members: Administrator;annb;florencef;pilarp;tonip
2/19/2018 2:12 PM2/19/2018 2:12 PM
LösenAdministrator
Uppdaterade medlemmar: administratör; annb; florencef; tonipUpdated members: Administrator;annb;florencef;tonip

I det här exemplet utförde administratörs användar kontot följande ändringar:In this example, the Administrator user account made the following changes:

  • I 2/06/2018 La de in användaren tonip.On 2/06/2018, they added the user tonip.
  • På 2/19/2018 har de tagit bort användaren pilarp.On 2/19/2018, they removed the user pilarp.

Använda fristående Exchange Online PowerShell för att söka efter Gransknings logg posterUse standalone Exchange Online PowerShell to search for audit log entries

Du kan använda Exchange Online PowerShell för att söka efter poster för gransknings loggar som uppfyller de villkor du anger.You can use Exchange Online PowerShell to search for audit log entries that meet the criteria you specify. En lista över Sök villkor finns i Sök-AdminAuditLog Sök kriterier.For a list of search criteria, see Search-AdminAuditLog search criteria. Den här proceduren använder cmdleten search-AdminAuditLog och visar Sök resultat i Exchange Online PowerShell.This procedure uses the Search-AdminAuditLog cmdlet and displays search results in Exchange Online PowerShell. Du kan använda denna cmdlet när du behöver returnera en uppsättning resultat som överskrider de gränser som är definierade för New-AdminAuditLogSearch- cmdleten eller i rapporteringen för UK-granskningen.You can use this cmdlet when you need to return a set of results that exceeds the limits defined on the New-AdminAuditLogSearch cmdlet or in the EAC Audit Reporting reports.

Använd följande syntax för att söka i den Gransknings logg efter villkor du anger.To search the audit log for criteria you specify, use the following syntax.

Search-AdminAuditLog - Cmdlets <cmdlet 1, cmdlet 2, ...> -Parameters <parameter 1, parameter 2, ...> -StartDate <start date> -EndDate <end date> -UserIds <user IDs> -ObjectIds <object IDs> -IsSuccess <$True | $False >

Anteckning

Cmdleten search-AdminAuditLog returnerar högst 1 000-loggpost som standard.The Search-AdminAuditLog cmdlet returns a maximum of 1,000 log entries by default. Använd parametern ResultSize för att ange upp till 250 000-loggnings poster.Use the ResultSize parameter to specify up to 250,000 log entries. Eller Använd värdet Unlimited för att returnera alla poster.Or, use the value Unlimited to return all entries.

I det här exemplet utförs en sökning efter alla gransknings loggar med följande villkor:This example performs a search for all audit log entries with the following criteria:

  • Start datum : 08/04/2018Start date : 08/04/2018
  • Slutdatum : 10/03/2018End date : 10/03/2018
  • Användar-ID : davids , chrisd , kimaUser IDs : davids, chrisd, kima
  • Cmdlet : set-MailboxCmdlets : Set-Mailbox
  • Parametrar : ProhibitSendQuota , ProhibitSendReceiveQuota , IssueWarningQuota , MaxSendSize , MaxReceiveSizeParameters : ProhibitSendQuota , ProhibitSendReceiveQuota , IssueWarningQuota , MaxSendSize , MaxReceiveSize
Search-AdminAuditLog -Cmdlets Set-Mailbox -Parameters ProhibitSendQuota,ProhibitSendReceiveQuota,IssueWarningQuota,MaxSendSize,MaxReceiveSize -StartDate 08/04/2018 -EndDate 10/03/2018 -UserIds davids,chrisd,kima

I det här exemplet söker du efter ändringar som gjorts i en viss post låda.This example searches for changes made to a specific mailbox. Det är användbart om du felsöker eller om du behöver ange information för en undersökning.This is useful if you're troubleshooting or you need to provide information for an investigation. Följande kriterier används:The following criteria are used:

  • Start datum : 05/01/2018Start date : 05/01/2018
  • Slutdatum : 10/03/2018End date : 10/03/2018
  • Objekt-ID : contoso.com/users/DavidSObject ID : contoso.com/Users/DavidS
Search-AdminAuditLog -StartDate 05/01/2018 -EndDate 10/03/2018 -ObjectID contoso.com/Users/DavidS

Om dina sökningar returnerar många logg poster rekommenderar vi att du använder proceduren i använda Exchange Online PowerShell för att söka efter poster för gransknings logg och skickar resultat till en mottagare längre ned i den här artikeln.If your searches return many log entries, we recommend that you use the procedure provided in Use Exchange Online PowerShell to search for audit log entries and send results to a recipient later in this article. Proceduren i avsnittet skickar en XML-fil som en e-postbilaga till de mottagare som du anger, vilket gör att du enkelt kan extrahera de data du är intresse rad av.The procedure in that section sends an XML file as an email attachment to the recipients you specify, enabling you to more easily extract the data you're interested in.

Detaljerad information om syntax och parametrar finns i sökAdminAuditLog.For detailed syntax and parameter information, see Search-AdminAuditLog.

Visa information om Gransknings logg posterView details of audit log entries

Cmdleten search-AdminAuditLog returnerar fälten som beskrivs i gransknings loggens innehåll.The Search-AdminAuditLog cmdlet returns the fields described in Audit log contents. För de fält som returneras av cmdleten, två fält, CmdletParameters och ModifiedProperties , innehåller ytterligare information som inte visas som standard.Of the fields returned by the cmdlet, two fields, CmdletParameters and ModifiedProperties , contain additional information that isn't viewable by default.

Om du vill visa innehållet i fälten CmdletParameters och ModifiedProperties följer du stegen nedan.To view the contents of the CmdletParameters and ModifiedProperties fields, use the following steps. Eller så kan du använda proceduren i använda Exchange Online PowerShell för att söka efter poster för gransknings logg och skicka resultat till en mottagare längre fram i den här artikeln för att skapa en XML-fil.Or, you can use the procedure in Use Exchange Online PowerShell to search for audit log entries and send results to a recipient later in this article to create an XML file.

I den här proceduren används följande koncept:This procedure uses the following concepts:

  1. Välj de villkor du vill söka efter, kör Sök-AdminAuditLog cmdlet och lagra resultatet i en variabel med hjälp av följande kommando.Decide the criteria you want to search for, run the Search-AdminAuditLog cmdlet, and store the results in a variable using the following command.

    $Results = Search-AdminAuditLog <search criteria>
    
  2. Varje post för gransknings logg sparas som ett mat ris element i variabeln $Results .Each audit log entry is stored as an array element in the variable $Results. Du kan välja ett mat ris element genom att ange dess mat ris element index.You can select an array element by specifying its array element index. Mat ris element index börjar med noll (0) för det första mat ris elementet.Array element indexes start at zero (0) for the first array element. Om du till exempel vill hämta femte mat ris elementet, som har index 4, använder du följande kommando.For example, to retrieve the 5th array element, which has an index of 4, use the following command.

    $Results[4]
    
  3. Föregående kommando returnerar den loggpost som är lagrad i mat ris element 4.The previous command returns the log entry stored in array element 4. Använd följande kommandon för att visa innehållet i fälten CmdletParameters och ModifiedProperties för den här logg posten.To see the contents of the CmdletParameters and ModifiedProperties fields for this log entry, use the following commands.

    $Results[4].CmdletParameters
    $Results[4].ModifiedProperties
    
  4. Om du vill visa innehållet i fälten CmdletParameters eller ModifiedParameters i en annan loggpost ändrar du mat ris element indexet.To view the contents of the CmdletParameters or ModifiedParameters fields in another log entry, change the array element index.