設定 Microsoft Purview 稽核 (進階版)

注意

Microsoft 365合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告

如果您的組織有支援稽核 (進階版) 的訂用帳戶和使用者授權,請執行下列步驟來設定及使用稽核 (進階版) 中的其他功能。

設定稽核 (進階版) 的工作流程。

步驟 1:設定使用者的稽核 (進階版)

稽核 (進階版)功能,如記錄重要事件 (如 MailItemsAccessed 和 Send) 功能,需要為使用者指派適當的 E5 授權。 此外,必須為這些使用者啟用 [進階稽核] 應用程式/服務方案。 要驗證 [進階稽核] 應用程式是否已指派給使用者,請對每個使用者執行以下步驟:

  1. 在Microsoft 365 系統管理中心中,移至 [使用者 > ][作用中的使用者],然後選取使用者。

  2. 在 [使用者內容] 飛出頁面上,按一下 [授權和應用程式]

  3. 在 [ 授權] 區 段中,確認使用者已獲指派 E5 授權,或已獲指派適當的附加元件授權。 如需支援稽核 (進階版) 的授權清單,請參閱稽核 (進階版) 授權需求

  4. 展開 [應用程式] 區段,並驗證是否選中了 [Microsoft 365 進階稽核] 核取方塊。

  5. 如果未選取核取方塊,請加以選取,然後按一下 [ 儲存變更]。

    MailItemsAccessed 和 Send 的稽核記錄會在 24 小時內開始。 您必須執行步驟 3,才能開始記錄其他兩個稽核 (進階版) 事件:SearchQueryInitiatedExchange 和 SearchQueryInitiatedSharePoint。

此外,如果您已自訂登入使用者信箱或共用信箱的信箱動作,則 Microsoft 發行的任何新稽核 (進階版) 事件都不會在這些信箱上自動稽核。 有關變更為每個登入類型稽核的郵箱動作之資訊,請參閱管理郵箱稽核中的 [變更或還原預設記錄的郵箱動作] 一節。

步驟 2:啟用稽核 (進階版) 事件

當使用者在 Exchange Online 和 SharePoint Online 中執行搜尋時,您必須 (SearchQueryInitiatedExchange 和 SearchQueryInitiatedSharePoint) 啟用兩個稽核 (進階版) 事件。 若要讓這兩個事件能夠針對使用者進行稽核,請針對powerShell中每個使用者) 執行下列命令 (Exchange Online:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

在多地理位置環境中,您必須在使用者信箱所在的樹系中執行先前的 Set-Mailbox 命令。 若要識別使用者的信箱位置,請執行下列命令:

Get-Mailbox <user identity> | FL MailboxLocations

如果啟用搜尋查詢稽核的命令先前是在與使用者信箱所在的樹系不同的樹系中執行,則您必須執行 來移除使用者信箱 Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} 中的 SearchQueryInitiated 值,然後將它新增至使用者信箱所在樹系中的使用者信箱。

步驟 3:設定稽核保留原則

除了保留 Exchange、SharePoint 和 Azure AD 稽核記錄一年的預設原則之外,您還可以建立其他稽核記錄保留原則以符合組織的安全性作業、IT 和合規性小組的需求。 如需詳細資訊,請參閱管理稽核記錄保留原則

步驟 4:搜尋稽核 (進階版) 事件

既然您已為組織設定稽核 (進階版) ,您可以在進行鑒識調查時,搜尋重要的稽核 (進階版) 事件和其他活動。 完成步驟 1 和步驟 2 之後,您可以在稽核記錄中搜尋稽核 (進階版) 事件及其他活動,以調查遭入侵的帳戶和其他類型的安全性或合規性調查。 如需使用 MailItemsAccessed Audit (進階版) 事件對遭入侵的使用者帳戶進行鑒識調查的詳細資訊,請參閱使用稽核 (進階版) 來調查遭入侵的帳戶