Microsoft Purview-Überwachung (Premium) implementieren

  • 3 Minuten

Wenn eine Organisation über ein Abonnement und eine Endbenutzerlizenzierung verfügt, die Überwachung (Premium) unterstützt, sollte sie die folgenden Schritte ausführen, um die Überwachungsfunktionen (Premium) einzurichten und zu verwenden.

Diagramm, das den Workflow zum Einrichten von Microsoft Purview-Überwachung (Premium) zeigt.

Schritt 1: Überwachung (Premium) für Benutzer einrichten

Für Überwachungsfunktionen (Premium) ist eine entsprechende E5-Lizenz erforderlich, die Benutzern zugewiesen ist. Der App-/Serviceplan für die erweiterte Überwachung muss auch für diese Benutzer aktiviert sein. Um zu bestätigen, dass die Erweiterte Überwachungs-App an Benutzer zugewiesen ist, führen Sie für jeden Benutzer die folgenden Schritte durch:

  1. Wählen Sie im Microsoft 365 Admin Center im Navigationsbereich Benutzer aus und wählen Sie dann Aktive Benutzer aus.
  2. Wählen Sie auf der Seite Aktive Benutzer einen Benutzer aus.
  3. Wählen Sie auf der angezeigten Flyoutseite für Benutzereigenschaften die Registerkarte Lizenzen und Apps aus.
  4. Vergewissern Sie sich im Abschnitt Lizenzen, dass dem Benutzer eine E5-Lizenz oder eine entsprechende Add-On-Lizenz zugewiesen ist. Eine Liste der Lizenzen, die Überwachung (Premium) unterstützen, finden Sie unter Überwachung (Premium) – Lizenzierungsanforderungen.
  5. Erweitern Sie den Abschnitt Apps. Überprüfen Sie, ob das Kontrollkästchen Microsoft 365 – Erweiterte Überwachung aktiviert ist. Aktivieren Sie das Kontrollkästchen, wenn es nicht aktiviert ist und wählen Sie dann Änderungen speichern aus.

Die Protokollierung von Überwachungsdatensätzen für die Ereignisse MailItemsAccessed und Senden beginnt innerhalb von 24 Stunden. Eine Organisation muss Schritt 4 ausführen, um mit der Protokollierung von zwei weiteren Überwachungsereignissen (Premium) zu beginnen:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Wenn Sie die Postfachaktionen angepasst haben, die für Benutzerpostfächer oder freigegebene Postfächer überwacht werden, werden alle neuen von Microsoft veröffentlichten Überwachungsereignisse (Premium) nicht automatisch für diese Postfächer überwacht.

Zusätzliche Informationen. Informationen zum Ändern der Postfachaktionen, die für jeden Anmeldetyp überwacht werden, finden Sie im Abschnitt "Standardmäßig protokollierte Postfachaktionen ändern oder wiederherstellen" in Postfachüberwachung verwalten.

Schritt 2: Überwachungsereignisse (Premium) aktivieren

Sie müssen die folgenden Überwachungsereignisse (Premium) so protokollieren, dass Benutzer Suchvorgänge in Exchange Online und SharePoint Online ausführen können:

  • SearchQueryInitiatedExchange
  • SearchQueryInitiatedSharePoint

Um die Überwachung dieser beiden Ereignisse für Benutzer zu ermöglichen, führen Sie den folgenden Befehl (für jeden Benutzer) in Exchange Online PowerShell aus:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

In einer Multi-Geo-Umgebung müssen Sie den vorherigen Set-Mailbox-Befehl in der Gesamtstruktur ausführen, in der sich das Postfach des Benutzers befindet.

Führen Sie den folgenden Befehl aus, um den Postfachspeicherort des Benutzers zu identifizieren:

Get-Mailbox <user identity> | FL MailboxLocations

Wenn der Befehl zum Aktivieren der Überwachung von Suchabfragen zuvor in einer Gesamtstruktur ausgeführt wurde, die sich von der Gesamtstruktur unterscheidet, in der sich das Postfach des Benutzers befindet, müssen Sie den SearchQueryInitiated-Wert aus dem Postfach des Benutzers entfernen, indem Sie den folgenden Befehl ausführen:

Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}

Anschließend müssen Sie dem Postfach des Benutzers in der Gesamtstruktur, in der sich das Postfach des Benutzers befindet, den Wert SearchQueryInitiated hinzufügen.

Schritt 3: Überwachungsaufbewahrungsrichtlinien einrichten

Die Standardaufbewahrungsrichtlinie in Audit (Premium) speichert Exchange-, SharePoint- und Microsoft Entra-Überwachungsdatensätze für ein Jahr. Eine Organisation kann andere Aufbewahrungsrichtlinien für Überwachungsprotokolle erstellen, um die Anforderungen ihrer Sicherheits-, IT- und Complianceteams zu erfüllen.

Weitere Informationen finden Sie in der nächsten Lerneinheit zum Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Schritt 4: Nach Überwachungsereignissen (Premium) suchen

Nachdem Sie die Überwachung (Premium) für Ihre Organisation eingerichtet haben, können Sie bei forensischen Untersuchungen nach wichtigen Überwachungsereignissen (Premium) und anderen Aktivitäten suchen. Nach Abschluss der Schritte 1 und 2 können Sie das Überwachungsprotokoll nach Überwachungsereignissen (Premium) und anderen Aktivitäten während forensischer Untersuchungen kompromittierter Konten und anderer Arten von Sicherheits- oder Complianceuntersuchungen durchsuchen.

Weitere Informationen zum Durchführen einer forensischen Untersuchung kompromittierter Benutzerkonten mithilfe der MailItemsAccessed-Überwachungsereignisse (Premium) finden Sie in der letzten Lerneinheit in diesem Modul zum "Untersuchen kompromittierter Konten".