Ativar ou desativar a auditoria

  • Artigo

O registo de auditoria está ativado por predefinição para as organizações do Microsoft 365. No entanto, ao configurar uma nova organização do Microsoft 365, deve verificar o status de auditoria da sua organização. Para obter instruções, consulte a secção Verificar o status de auditoria da sua organização neste artigo.

Quando a auditoria é ativada no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, a atividade de utilizador e administrador da sua organização é registada no registo de auditoria e mantida automaticamente durante 180 dias. A retenção (duração) dos dados de auditoria começa quando são adicionados ao registo de auditoria e são retidos com base nas políticas de retenção do registo de auditoria e na licença atribuída aos utilizadores.

Importante

O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.

As alterações às políticas de licenciamento ou retenção do utilizador também alteram a data de expiração dos dados de auditoria.

A sua organização pode ter motivos para não querer registar e reter dados de registo de auditoria. Nestes casos, um administrador global pode desativar a auditoria no Microsoft 365 para a sua organização. Para obter instruções, consulte a secção Desativar auditoria neste artigo.

Importante

Se desativar a auditoria no Microsoft 365, não poderá utilizar a API de Atividade de Gestão de Office 365 ou Microsoft Sentinel para aceder a dados ou registos de auditoria da sua organização. Desativar a auditoria seguindo os passos neste artigo significa que não serão devolvidos resultados ao pesquisar o registo de auditoria através do portal do Microsoft Purview ou do portal de conformidade ou quando executar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Antes de ativar ou desativar a auditoria

Tem de lhe ser atribuída a função Registos de Auditoria no Exchange Online para ativar ou desativar a auditoria. Por predefinição, esta função é atribuída aos grupos de funções Gestão de Conformidade e Gestão da Organização na página Permissões no centro de administração do Exchange.

Verificar o status de auditoria da sua organização

Para verificar se a auditoria está ativada para a sua organização, pode executar o seguinte comando no Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Um valor de True para a propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está ativada. Um valor de False indica que a auditoria não está ativada.

Importante

Certifique-se de que executa o comando anterior no Exchange Online PowerShell. Embora o cmdlet Get-AdminAuditLogConfig também esteja disponível no PowerShell de Conformidade do & de Segurança, a propriedade UnifiedAuditLogIngestionEnabled é sempre False, mesmo quando a auditoria está ativada.

Ativar a auditoria

Se a auditoria não estiver ativada para a sua organização, pode ativá-la no portal do Microsoft Purview ou no portal de conformidade ou através do Exchange Online PowerShell. Pode demorar várias horas depois de ativar a auditoria antes de poder devolver resultados quando pesquisar no registo de auditoria.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Conclua os seguintes passos para ativar a auditoria:

  1. Inicie sessão no portal do Microsoft Purview.
  2. Selecione a solução auditoria card. Se a solução auditoria card não for apresentada, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo.
  3. Se a auditoria não estiver ativada para a sua organização, é apresentada uma faixa a pedir-lhe para começar a gravar a atividade de utilizador e administrador.
  4. Selecione a faixa Iniciar gravação do utilizador e da atividade de administrador .

A alteração pode demorar até 60 minutos a entrar em vigor.

Utilizar o PowerShell para ativar a auditoria

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o seguinte comando do PowerShell para ativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    É apresentada uma mensagem a indicar que a alteração pode demorar até 60 minutos a entrar em vigor.

Desativar a auditoria

Tem de utilizar Exchange Online PowerShell para desativar a auditoria.

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o seguinte comando do PowerShell para desativar a auditoria.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. Após algum tempo, verifique se a auditoria está desativada (desativada). Há duas maneiras de fazer isso:

    • No Exchange Online PowerShell, execute o seguinte comando:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      O valor de False para a propriedade UnifiedAuditLogIngestionEnabled indica que a auditoria está desativada.

    • Aceda à página Auditoria no portal de conformidade.

      Se a auditoria não estiver ativada para a sua organização, é apresentada uma faixa a pedir-lhe para começar a gravar a atividade de utilizador e administrador.

Registos de auditoria ao auditar status é alterado

As alterações à status de auditoria na sua organização são auditadas. Isto significa que os registos de auditoria são registados quando a auditoria está ativada ou desativada. Pode procurar estes registos de auditoria no registo de auditoria do administrador do Exchange.

Para procurar registos de auditoria do administrador do Exchange que são gerados ao ativar ou desativar a auditoria, execute o seguinte comando no Exchange Online PowerShell:

Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig

Os registos de auditoria para estes eventos contêm informações sobre quando o status de auditoria foi alterado, o administrador que o alterou e o endereço IP do computador que foi utilizado para efetuar a alteração. As capturas de ecrã seguintes mostram registos de auditoria que correspondem à alteração do status de auditoria na sua organização.

Registo de auditoria para ativar a auditoria

Registo de auditoria para ativar a auditoria

O valor de Confirm na propriedade CmdletParameters indica que o registo de auditoria unificado foi ativado no portal do Microsoft Purview ou no portal de conformidade ou ao executar o cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Registo de auditoria para desativar a auditoria

Registo de auditoria para desativar a auditoria

O valor de Confirm não está incluído na propriedade CmdletParameters . Isto indica que o registo de auditoria unificado foi desativado ao executar o comando de $false Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled .

Para obter mais informações sobre como procurar no registo de auditoria do administrador do Exchange, veja Search-UnifiedAuditLog.