在 Microsoft 365 中設定高級審計

如果您的組織擁有支援高級審計的訂閱和使用者授權,請執行下列步驟,以在高級審計中設定及使用其他功能。

設定進階稽核的工作流程。

步驟1:為使用者設定高級審計

進階稽核功能,如記錄重要事件 (如 MailItemsAccessed 和 Send) 功能,需要為使用者指派適當的 E5 授權。 此外,必須為這些使用者啟用 [進階稽核] 應用程式/服務方案。 要驗證 [進階稽核] 應用程式是否已指派給使用者,請對每個使用者執行以下步驟:

  1. 在 Microsoft 365 系統管理中心中,移至 [使用者] [作用中 > 使用者],然後選取使用者。

  2. 在 [使用者內容] 飛出頁面上,按一下 [授權和應用程式]

  3. 在 [ 授權 ] 區段中,確認使用者已獲指派 E5 授權,或已獲指派適當的附加元件授權。 如需支援高級審核的授權清單,請參閱「 高級審核授權」需求

  4. 展開 [應用程式] 區段,並驗證是否選中了 [Microsoft 365 進階稽核] 核取方塊。

  5. 如果未選取此核取方塊,請選取它,然後按一下 [ 儲存變更]。

    MailItemsAccessed 和 Send 的審計記錄記錄會從24小時內開始。 您必須執行步驟3來開始記錄其他兩個高級審核事件: SearchQueryInitiatedExchange 和 SearchQueryInitiatedSharePoint。

針對使用以群組為基礎授權之指派授權至使用者群組的組織,請務必關閉該群組的 Microsoft 365 進階稽核授權指派。 儲存變更之後,請確認已關閉群組的 Microsoft 365 進階稽核。 然後重新開啟群組的授權指派。 如需以群組為基礎授權的相關指示,請參閱在 Azure Active Directory 中以群組成員資格指派授權給使用者

此外,如果您已自訂使用者信箱或共用信箱上所記錄的信箱動作,任何由 Microsoft 發行的新的高級審核事件,都不會自動在這些信箱上進行審核。 有關變更為每個登入類型稽核的郵箱動作之資訊,請參閱管理郵箱稽核中的 [變更或還原預設記錄的郵箱動作] 一節。

步驟2:啟用高級審核事件

您必須啟用兩個高級審核事件 (SearchQueryInitiatedExchange 和 SearchQueryInitiatedSharePoint) 在使用者于 Exchange Online 和 SharePoint 線上執行搜尋時才會登入。 若要為使用者審核這兩個事件,請針對Exchange Online PowerShell中的每個使用者) 執行下列命令 (:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

在多地理位置環境中,您必須在使用者信箱所在的樹系中執行先前的 Set-Mailbox 命令。 若要識別使用者的信箱位置,請執行下列命令:

Get-Mailbox <user identity> | FL MailboxLocations

若啟用搜尋查詢審計的命令先前是在與使用者信箱所在的樹系不同的樹系中執行,則必須執行此作業, Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} 然後再將其新增至使用者信箱所在樹系中的使用者信箱,以移除使用者信箱中的 SearchQueryInitiated 值。

步驟3:設定審核保留原則

除了保留 Exchange、SharePoint 和 Azure AD 稽核記錄一年的預設原則之外,您還可以建立其他稽核記錄保留原則以符合組織的安全性作業、IT 和合規性小組的需求。 如需詳細資訊,請參閱管理稽核記錄保留原則

步驟4:搜尋高級審核事件

現在您已設定好組織的高級審核,您可以在進行鑒證調查時搜尋重要的高級審核事件及其他活動。 完成步驟1和步驟2後,您可以在取證調查遭破壞的帳戶和其他類型的安全性或法規遵從性調查期間,搜尋「審計」記錄檔中的高級審計事件及其他活動。 如需使用 MailItemsAccessed 的高級審核事件,進行取證調查已遭破壞之使用者帳戶的詳細資訊,請參閱 使用 Advanced audit 調查已遭破壞的帳戶