Erste Schritte mit Überwachungslösungen

mit Microsoft Purview Audit (Standard) und Audit (Premium) können Sie nach Überwachungsdatensätzen für Aktivitäten suchen, die von Benutzern und Administratoren in den verschiedenen Microsoft-Diensten ausgeführt werden. Da Die Überwachung (Standard) für die meisten Microsoft 365-Organisationen standardmäßig aktiviert ist, müssen Sie nur einige Dinge tun, bevor Sie das Überwachungsprotokoll durchsuchen können, und andere in Ihrer organization können das Überwachungsprotokoll durchsuchen. Es gibt einige weitere Konfigurationsschritte, die Sie ausführen müssen, um Features zu verwenden, die nur in Audit (Premium) verfügbar sind.

Weitere Informationen zu Überwachungsfunktionen (Standard) und Audit (Premium) finden Sie unter Microsoft Purview-Überwachungslösungen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Schritt 1: Organisationsabonnement und Benutzerlizenzierung überprüfen

Für die Lizenzierung für Audit (Standard) und Audit (Premium) ist das entsprechende organization-Abonnement erforderlich, das Zugriff auf das Überwachungsprotokollsuchtool und die Benutzerlizenzierung bietet, die zum Protokollieren und Aufbewahren von Überwachungsdatensätzen erforderlich ist.

Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll Ihrer Organisation gespeichert. In Audit (Standard) und Audit (Premium) werden Überwachungsdatensätze aufbewahrt und können 180 Tage lang im Überwachungsprotokoll durchsucht werden.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Eine Liste der Abonnement- und Lizenzierungsanforderungen für diese Überwachungslösungen finden Sie in den Abonnementanforderungen für Audit (Standard) und Audit (Premium).

Schritt 2: Zuweisen von Berechtigungen zum Durchsuchen des Überwachungsprotokolls

Administratoren und Mitglieder von Untersuchungsteams müssen die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle im Microsoft Purview-Portal oder dem Microsoft Purview-Complianceportal zugewiesen werden, um das Überwachungsprotokoll zu durchsuchen oder zu exportieren. Standardmäßig werden diese Rollen den Rollengruppen "Audit Reader " und " Audit Manager " auf der Seite "Rollengruppen" im Microsoft Purview-Portal und auf der Seite "Berechtigungen" im Complianceportal zugewiesen.

Hinweis

Der Zugriff zum Aktivieren oder Deaktivieren der Überwachung und des Zugriffs auf Überwachungs-Cmdlets erfordert derzeit Berechtigungen aus dem Exchange Admin Center. Verwenden Sie die vorhandenen Rollen Überwachungsprotokolle und Überwachungsprotokolle anzeigen im Exchange Admin Center, um Zugriff auf Überwachungs-Cmdlets zu gewähren. Verwenden Sie die vorhandene Rolle Überwachungsprotokolle im Exchange Admin Center, um Zugriff zum Aktivieren oder Deaktivieren der Überwachung zu gewähren.

Sie können auch benutzerdefinierte Rollengruppen mit der Möglichkeit erstellen, das Überwachungsprotokoll zu durchsuchen, indem Sie die Rollen Nur anzeigen oder Überwachungsprotokolle zu einer benutzerdefinierten Rollengruppe hinzufügen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Hinweis

Für den Zugriff auf die Überwachungssuche Graph-API müssen zusätzliche Berechtigungen in Microsoft Graph konfiguriert werden. Weitere Informationen finden Sie unter Berechtigungen in Überwachungssuche Graph-API.

Zuweisen von Berechtigungen zu Bereichsüberwachungsprotokollen

Zum Durchsuchen oder Exportieren des Überwachungsprotokolls müssen Administratoren oder Mitglieder von Untersuchungsteams mindestens einer der folgenden überwachungsbezogenen Rollengruppen im Microsoft Purview-Portal oder im Complianceportal zugewiesen sein:

  • Überwachungs-Manager: Ein Benutzer, der der Rollengruppe Audit Manager zugewiesen ist, kann das Überwachungsprotokoll durchsuchen und exportieren und Überwachungseinstellungen für den Mandanten verwalten (z. B. aktivieren oder deaktivieren der Überwachungsprotokollierung). Diese Rollengruppe gewährt dem Benutzer die Rollen Nur Anzeigen von Überwachungsprotokollen und Überwachungsprotokollen .
  • Überwachungsleser: Ein Benutzer, der der Rollengruppe "Überwachungsleseberechtigter " zugewiesen ist, kann nur das Überwachungsprotokoll suchen und exportieren. Sie können die Überwachungsprotokollierung nicht aktivieren oder deaktivieren. Diese Rollengruppe gewährt dem Benutzer die Rolle Nur anzeigende Überwachungsprotokolle .

Schritt 3: Aktivieren von SearchQueryInitiated-Ereignissen

Sie müssen explizit zwei Ereignisse (SearchQueryInitiatedExchange und SearchQueryInitiatedSharePoint) für die Protokollierung aktivieren, wenn Benutzer Suchvorgänge in Exchange Online und SharePoint ausführen.

Damit diese beiden Ereignisse für Benutzer überwacht werden können, führen Sie das folgende Cmdlet (für jeden Benutzer) in Exchange Online PowerShell aus:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In einer Multi-Geo-Umgebung müssen Sie den Befehl Set-Mailbox in der Gesamtstruktur ausführen, in der sich das Postfach des Benutzers befindet. Führen Sie das folgende Cmdlet aus, um den Postfachspeicherort des Benutzers zu identifizieren:

Get-Mailbox <user identity> | FL MailboxLocations

Wenn das Cmdlet zum Aktivieren der Überwachung von Suchabfragen zuvor in einer Gesamtstruktur ausgeführt wurde, die sich von der Gesamtstruktur unterscheidet, in der sich das Postfach des Benutzers befindet, müssen Sie den SearchQueryInitiated-Wert aus dem Postfach des Benutzers entfernen. Entfernen Sie den Wert, indem Sie ausführen Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} , und fügen Sie ihn dann dem Postfach des Benutzers in der Gesamtstruktur hinzu, in der sich das Postfach des Benutzers befindet.

Schritt 4: Einrichten der Überwachung (Premium) für Benutzer

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Überwachungsfeatures (Premium), z. B. die Möglichkeit, intelligente Erkenntnisse zu protokollieren, erfordern eine entsprechende E5-Lizenz, die Benutzern zugewiesen ist. Darüber hinaus muss die Erweiterte Überwachungs-App/ der Serviceplan für diese Benutzer aktiviert sein.

Führen Sie die folgenden Schritte für jeden Benutzer aus, um zu überprüfen, ob die App "Erweiterte Überwachung" Benutzern zugewiesen ist:

  1. Wechseln Sie im Microsoft 365 Admin Center zu Benutzer>Aktive Benutzer, und wählen Sie einen Benutzer aus.

  2. Wählen Sie auf der Flyoutseite für Benutzereigenschaften die Option Lizenzen und Apps aus.

  3. Überprüfen Sie im Abschnitt Lizenzen , ob dem Benutzer eine E5-Lizenz oder eine entsprechende Add-On-Lizenz zugewiesen ist. Eine Liste der Lizenzen, die Audit (Premium) unterstützen, finden Sie unter Überwachungslizenzanforderungen.

  4. Erweitern Sie den Abschnitt Apps und bestätigen Sie das Kontrollkästchen Microsoft 365 – Erweiterte Überwachung aktiviert ist.

  5. Wenn das Kontrollkästchen nicht aktiviert ist, aktivieren Sie es, und wählen Sie dann Änderungen speichern aus.

    Die Protokollierung von Audit (Premium) Insights beginnt innerhalb von 24 Stunden.

Wenn Sie die Postfachaktionen angepasst haben, die in Benutzerpostfächern oder freigegebenen Postfächern angemeldet sind, werden alle neuen Audit (Premium)-Ereignisse, die von Microsoft veröffentlicht werden, nicht automatisch für diese Postfächer überwacht. Weitere Informationen über das Ändern von Postfachaktionen, die für jeden Anmeldetyp überwacht werden, finden Sie unter „Standardmäßig überwachte Postfachaktionen ändern oder wiederherstellen“ in Verwalten der Postfächern.

Schritt 5: Einrichten von Überwachungsaufbewahrungsrichtlinien in Audit (Premium)

Tipp

Organisationen, die Die Überwachung (Standard) verwenden, können diesen Schritt überspringen.

Zusätzlich zu der Standardrichtlinie, die Microsoft Entra ID-, Exchange-, OneDrive- und SharePoint-Überwachungsdatensätze für ein Jahr aufbewahrt, können Organisationen, die Audit (Premium) verwenden, Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um die Anforderungen der Sicherheitsvorgänge, IT- und Complianceteams Ihres organization zu erfüllen.

Weitere Informationen finden Sie unter Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Schritt 6: Suchen nach überwachten Ereignissen

Nachdem Sie audit (Standard) oder Audit (Premium) für Ihre organization konfiguriert haben, können Sie das Überwachungsprotokoll im Microsoft Purview-Complianceportal durchsuchen. Ausführliche Anleitungen finden Sie unter Durchsuchen des Überwachungsprotokolls.