执行 Microsoft Purview 审核(高级版)
如果组织具有支持审核(高级版)的订阅和最终用户许可,则应执行以下步骤来设置和使用审核(高级版)功能。
步骤 1:为用户设置审核(高级版)。
审核(高级)功能需要为用户分配适当的 E5 许可证。 此外,必须为这些用户启用“高级审核”应用程序/服务计划。 要验证“高级审核”应用程序是否已分配给用户,请对每个用户执行以下步骤:
- 在 Microsoft 365 管理中心的导航窗格中,展开“用户”,然后选择“活动用户”。
- 在“活动用户”页上,选择“用户”。
- 在显示的用户属性浮出控件页上,选择“ 许可证和应用 ”选项卡。
- 在“ 许可证 ”部分中,验证是否为用户分配了 E5 许可证或分配了适当的加载项许可证。 有关支持审核(高级版)的许可证列表,请参阅 审核(高级)许可要求。
- 展开“应用”部分。 验证是否选中了 “Microsoft 365高级审核” 复选框。 如果未选中该复选框,请选中该复选框,然后选择 “保存更改”。
MailItemsAccessed 和 Send事件的审核记录日志记录将在 24 小时内开始。 组织必须执行步骤 4 才能开始记录其他两个审核(高级)事件:
- SearchQueryInitiatedExchange
- SearchQueryInitiatedSharePoint
此外,如果已自定义在用户邮箱或共享邮箱上审核的邮箱操作,Microsoft 发布的任何新的审核(高级)事件都不会在这些邮箱上自动审核。
其他读取。 有关更改为每个登录类型审核的邮箱操作的信息,请参阅管理邮箱审核中的“更改或还原默认记录的邮箱操作”部分。
步骤 2:启用审核(高级)事件
必须启用记录以下审核(高级)事件,以便用户可以在 Exchange Online 和 SharePoint Online 中执行搜索:
- SearchQueryInitiatedExchange
- SearchQueryInitiatedSharePoint
若要为用户启用这两个事件的审核,请在 Exchange Online PowerShell 中运行以下命令(针对每个用户):
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
在多地理环境中,必须在用户邮箱所在的林中运行 Set-Mailbox 命令。
若要确定用户的邮箱位置,请运行以下命令:
Get-Mailbox <user identity> | FL MailboxLocations
如果启用搜索查询审核的命令以前在不同于用户邮箱所在的林中运行,则必须通过运行以下命令从用户的邮箱中删除 SearchQueryInitiated 值:
Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}
然后,必须将 SearchQueryInitiated 值添加到用户邮箱所在的林中的用户邮箱。
步骤 3:设置审核保留策略
Audit (Premium) 中的默认保留策略将 Exchange、SharePoint 和 Microsoft Entra 审核记录保留一年。 组织可以创建其他审核日志保留策略,以满足其安全操作、IT 和合规性团队的要求。
有关详细信息,请参阅有关如何“管理审核日志保留策略”的下一单元。
步骤 4:搜索审核(高级)事件
为组织设置审核(高级版)后,可以在执行取证调查时搜索关键审核(高级)事件和其他活动。 完成步骤 1 和步骤 2 后,可在审核日志中搜索关键事件和调查已泄露帐户以及其他类型的安全或合规性调查期间的其他活动。
有关使用 MailItemsAccessed Audit (Premium) 事件对被盗用的用户帐户执行取证调查的详细信息,请参阅本模块中有关如何“调查被盗用的帐户”的最后一个单元。