開啟或關閉稽核

  • 文章

Microsoft 365 和Office 365企業組織預設會開啟稽核記錄。 不過,設定新的 Microsoft 365 或Office 365組織時,您應該確認組織的稽核狀態。 如需指示,請參閱本文中的 驗證貴組織的稽核狀態 一節。

開啟Microsoft Purview 合規性入口網站中的稽核時,組織的使用者和系統管理員活動會記錄在稽核記錄中,並保留 90 天,並根據指派給使用者的授權,保留最多一年。 不過,您的組織可能有不想記錄和保留稽核記錄資料的原因。 在這些情況下,全域系統管理員可能會決定關閉 Microsoft 365 中的稽核。

重要

如果您在 Microsoft 365 中關閉稽核,就無法使用Office 365管理活動 API 或 Microsoft Sentinel 來存取組織的稽核資料。 依照本文中的步驟關閉稽核,表示當您使用合規性入口網站搜尋稽核記錄,或在 Exchange Online PowerShell 中執行 Search-UnifiedAuditLog Cmdlet 時,不會傳回任何結果。 這也表示稽核記錄無法透過Office 365管理活動 API 或 Microsoft Sentinel 來使用。

開啟或關閉稽核之前

  • 您必須在Exchange Online中獲指派稽核記錄角色,才能在 Microsoft 365 組織中開啟或關閉稽核。 根據預設,此角色會指派給 Exchange 系統管理中心 [許可權 ] 頁面上的 [合規性管理] 和 [組織管理] 角色群組。 Microsoft 365 中的全域系統管理員是 Exchange Online 中組織管理角色群組的成員。

    注意

    使用者必須在Exchange Online中獲指派許可權,才能開啟或關閉稽核。 如果您在合規性入口網站的 [許可權 ] 頁面上 將稽核記錄角色指派給使用者,他們將無法開啟或關閉稽核。 這是因為基礎 Cmdlet 是Exchange Online PowerShell Cmdlet。

  • 如需搜尋稽核記錄的逐步指示,請參閱 搜尋稽核記錄。 如需 Microsoft 365 管理活動 API 的詳細資訊,請參 閱開始使用 Microsoft 365 管理 API

確認組織的稽核狀態

若要確認已為您的組織開啟稽核,您可以在Exchange Online PowerShell中執行下列命令:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled 屬性的 True 值表示已開啟稽核。 的 False 值表示未開啟稽核。

注意

請務必在 Exchange Online PowerShell 中執行先前的命令。 您無法使用安全性&合規性 PowerShell 來執行此命令。

開啟稽核

如果未為您的組織開啟稽核,您可以在合規性入口網站中或使用 Exchange Online PowerShell 來開啟它。 開啟稽核後可能需要數小時的時間,您才能在搜尋稽核記錄檔時傳回結果。

使用合規性中心開啟稽核

  1. 移至 https://compliance.microsoft.com 並登入。

  2. 在合規性入口網站的左側流覽窗格中,按一下 [ 稽核]

    如果您的組織未開啟稽核,則會顯示橫幅,提示您開始錄製使用者和系統管理活動。

    稽核頁面上的橫幅。

  3. 按一下 [ 開始錄製使用者和系統管理員活動] 橫幅。

    變更最多可能需要 60 分鐘才會生效。

使用 PowerShell 開啟稽核

  1. 連線至 Exchange Online PowerShell

  2. 執行下列 PowerShell 命令以開啟稽核。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    顯示訊息,指出變更最多可能需要 60 分鐘才會生效。

關閉稽核

您必須使用 Exchange Online PowerShell 來關閉稽核。

  1. 連線至 Exchange Online PowerShell

  2. 執行下列 PowerShell 命令以關閉稽核。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. 一段時間之後,請確認稽核已關閉 (停用) 。 執行這項作業的方法有兩種:

    • 在 Exchange Online PowerShell 中,執行下列命令:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      UnifiedAuditLogIngestionEnabled 屬性的 False 值表示稽核已關閉。

    • 移至合規性入口網站中的 [ 核] 頁面。

      如果您的組織未開啟稽核,則會顯示橫幅,提示您開始錄製使用者和系統管理活動。

稽核狀態變更時的稽核記錄

系統會稽核貴組織中稽核狀態的變更。 這表示稽核記錄會在開啟或關閉稽核時記錄。 您可以在 Exchange 系統管理員稽核記錄中搜尋這些稽核記錄。

若要在 Exchange 系統管理員稽核記錄中搜尋開啟或關閉稽核時產生的稽核記錄,請在 Exchange Online PowerShell中執行下列命令:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

這些事件的稽核記錄包含稽核狀態變更的相關資訊、變更該事件的系統管理員,以及用來進行變更之電腦的 IP 位址。 下列螢幕擷取畫面顯示與變更組織中的稽核狀態相對應的稽核記錄。

開啟稽核的稽核記錄

開啟稽核的稽核記錄

CmdletParameters 屬性中的 值 Confirm 表示已在合規性中心開啟統一稽核記錄,或執行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true Cmdlet。

關閉稽核的稽核記錄

關閉稽核的稽核記錄

的值 Confirm 不包含在 CmdletParameters 屬性中。 這表示已藉由執行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false 命令來關閉整合稽核記錄。

如需搜尋 Exchange 系統管理員稽核記錄的詳細資訊,請 參閱 Search-AdminAuditLog