Introduzione alle soluzioni di controllo

Microsoft Purview Audit (Standard) e Audit (Premium) consentono di cercare i record di controllo per le attività eseguite nei diversi servizi Microsoft da utenti e amministratori. Poiché Audit (Standard) è abilitato per impostazione predefinita per la maggior parte delle organizzazioni di Microsoft 365, è necessario eseguire solo alcune operazioni prima dell'utente e altri utenti dell'organizzazione possono eseguire ricerche nel log di controllo. È necessario completare alcuni altri passaggi di configurazione per usare le funzionalità disponibili solo in Audit (Premium).

Per altre informazioni sulle funzionalità di controllo (Standard) e Controllo (Premium), vedere Soluzioni di controllo di Microsoft Purview.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Passaggio 1: Verificare la sottoscrizione dell'organizzazione e le licenze utente

Le licenze per Audit (Standard) e Audit (Premium) richiedono la sottoscrizione dell'organizzazione appropriata che fornisce l'accesso allo strumento di ricerca dei log di controllo e alle licenze per utente necessarie per registrare e conservare i record di controllo.

Quando un'attività di controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo che viene archiviato nel log di controllo per l'organizzazione. In Audit (Standard) e Audit (Premium) i record di controllo vengono conservati e ricercabili nel log di controllo per 180 giorni.

Importante

Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.

Per un elenco dei requisiti di sottoscrizione e licenza per queste soluzioni di controllo, vedere i requisiti di sottoscrizione per Audit (Standard) e Audit (Premium).

Passaggio 2: Assegnare le autorizzazioni per la ricerca nel registro di controllo

Agli amministratori e ai membri dei team di indagine deve essere assegnato il ruolo Log di controllo o Log di controllo di sola visualizzazione nel portale di Microsoft Purview o il Portale di conformità di Microsoft Purview per cercare o esportare il log di controllo. Per impostazione predefinita, questi ruoli vengono assegnati ai gruppi di ruoli Lettore di controllo e Audit Manager nella pagina Gruppi di ruoli nel portale Di Microsoft Purview e alla pagina Autorizzazioni nel portale di conformità.

Nota

L'accesso per abilitare o disabilitare il controllo e l'accesso ai cmdlet di controllo richiede attualmente le autorizzazioni dall'interfaccia di amministrazione di Exchange. Usare i ruoli Log di controllo e Log di controllo di sola visualizzazione esistenti nell'interfaccia di amministrazione di Exchange per concedere l'accesso ai cmdlet di controllo. Usare il ruolo Log di controllo esistente nell'interfaccia di amministrazione di Exchange per concedere l'accesso per abilitare o disabilitare il controllo.

È anche possibile creare gruppi di ruoli personalizzati con la possibilità di eseguire ricerche nel log di controllo aggiungendo i ruoli Log di controllo di sola visualizzazione o Log di controllo a un gruppo di ruoli personalizzato. Per ulteriori informazioni, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.

Nota

L'accesso alla API Graph Ricerca di controllo richiede la configurazione di autorizzazioni aggiuntive in Microsoft Graph. Per altre informazioni, vedere Autorizzazioni in Audit Search API Graph.For more information, see Permissions in Audit Search API Graph.

Assegnare le autorizzazioni per l'ambito dei log di controllo

Per eseguire ricerche o esportare il log di controllo, gli amministratori o i membri dei team di indagine devono essere assegnati ad almeno uno dei gruppi di ruoli correlati al controllo seguenti nel portale di Microsoft Purview o nel portale di conformità:

  • Audit Manager: un utente assegnato al gruppo di ruoli di Audit Manager può cercare ed esportare il log di controllo e gestire le impostazioni di controllo per il tenant , ad esempio abilitando o disabilitando la registrazione di controllo. Questo gruppo di ruoli concede all'utente i ruoli Log di controllo e Log di controllo di sola visualizzazione.
  • Lettore di controllo: un utente assegnato al gruppo di ruoli Lettore di controllo può solo cercare ed esportare il log di controllo. Non possono abilitare o disabilitare la registrazione di controllo. Questo gruppo di ruoli concede all'utente il ruolo Log di controllo di sola visualizzazione .

Passaggio 3: Abilitare gli eventi SearchQueryInitiated

È necessario abilitare in modo esplicito due eventi (SearchQueryInitiatedExchange e SearchQueryInitiatedSharePoint) per la registrazione quando gli utenti eseguono ricerche in Exchange Online e SharePoint.

Per abilitare il controllo di questi due eventi per gli utenti, eseguire il cmdlet seguente (per ogni utente) in Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In un ambiente multi-geografico, è necessario eseguire il comando Set-Mailbox nella foresta di domini in cui si trova la cassetta postale dell'utente. Per identificare il percorso della cassetta postale dell'utente, eseguire il cmdlet seguente:

Get-Mailbox <user identity> | FL MailboxLocations

Se il cmdlet per abilitare il controllo delle query di ricerca è stato eseguito in precedenza in una foresta diversa dalla foresta in cui si trova la cassetta postale dell'utente, è necessario rimuovere il valore SearchQueryInitiated dalla cassetta postale dell'utente. Rimuovere il valore eseguendolo Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} e quindi aggiungerlo alla cassetta postale dell'utente nella foresta in cui si trova la cassetta postale dell'utente.

Passaggio 4: Configurare audit (Premium) per gli utenti

Consiglio

Le organizzazioni che usano Audit (Standard) possono ignorare questo passaggio.

Le funzionalità di controllo (Premium), ad esempio la possibilità di registrare informazioni dettagliate intelligenti, richiedono una licenza E5 appropriata assegnata agli utenti. Inoltre, è necessario che per tali utenti siano abilitati l'app Controllo avanzato e/o il piano di servizio.

Per verificare che l'app Controllo avanzato sia assegnata agli utenti, seguire questa procedura per ogni utente:

  1. Nel interfaccia di amministrazione di Microsoft 365 passare a Utenti>attivi e selezionare un utente.

  2. Nella pagina a comparsa delle proprietà utente selezionare Licenze e app.

  3. Nella sezione Licenze verificare che all'utente sia assegnata una licenza E5 o che sia assegnata una licenza del componente aggiuntivo appropriata. Per un elenco delle licenze che supportano Audit (Premium), vedere Controllare i requisiti di licenza.

  4. Espandere la sezione App e verificare che la casella di controllo Controllo avanzato Microsoft 365 sia selezionata.

  5. Se la casella di controllo non è selezionata, selezionarla e quindi selezionare Salva modifiche.

    La registrazione delle informazioni dettagliate di controllo (Premium) inizia entro 24 ore.

Inoltre, se sono state personalizzate le azioni delle cassette postali registrate nelle cassette postali degli utenti o nelle cassette postali condivise, tutti i nuovi eventi Di controllo (Premium) rilasciati da Microsoft non verranno controllati automaticamente in tali cassette postali. Per informazioni sulla modifica delle azioni della cassetta postale controllate per ogni tipo di accesso, vedere la sezione "Modificare o ripristinare le azioni della cassetta postale registrate per impostazione predefinita" in Gestire il controllo delle cassette postali.

Passaggio 5: Configurare i criteri di conservazione dei controlli in Controllo (Premium)

Consiglio

Le organizzazioni che usano Audit (Standard) possono ignorare questo passaggio.

Oltre ai criteri predefiniti che conservano i record di controllo di Microsoft Entra ID, Exchange, OneDrive e SharePoint per un anno, le organizzazioni che usano Audit (Premium) possono creare criteri di conservazione dei log di controllo per soddisfare i requisiti dei team di sicurezza, IT e conformità dell'organizzazione.

Per altre informazioni, vedere Gestire i criteri di conservazione dei log di controllo.

Passaggio 6: Cercare gli eventi controllati

Dopo aver configurato Audit (Standard) o Audit (Premium) per l'organizzazione, è possibile eseguire ricerche nel log di controllo nel Portale di conformità di Microsoft Purview. Per indicazioni dettagliate, vedere Cercare nel log di controllo.