Microsoft Purview Audit (Standard) implementieren

  • 4 Minuten

Microsoft Purview Audit (Standard) in Microsoft 365 ermöglicht Organisationen die Suche nach Überwachungsdatensätzen von Aktivitäten, die von Benutzern und Administratoren in den verschiedenen Microsoft 365-Diensten ausgeführt wurden. Audit (Standard) ist für die meisten Microsoft 365- und Office 365-Organisationen standardmäßig aktiviert. Daher muss eine Organisation nur einige Dinge ausführen, bevor das Überwachungsprotokoll durchsucht werden kann.

Diagramm, das die Schritte zum Einrichten von Microsoft Purview Audit (Standard) zeigt, einschließlich der Einrichtung von Lizenzierung und Berechtigungen.

Die Einrichtungsschritte, die ausgeführt werden müssen, bevor eine Organisation das Überwachungsprotokoll mithilfe von Audit (Standard) durchsuchen kann, umfassen:

  • Sicherstellen der richtigen Organisationsabonnements und Benutzerlizenzierung, die zum Generieren und Beibehalten von Überwachungsdatensätzen erforderlich sind.
  • Zuweisen von Berechtigungen zu Teammitgliedern Ihrer Sicherheits-, IT-, Compliance- und Rechtsteams.

Diese Schritte werden in den folgenden Abschnitten ausführlicher untersucht.

Schritt 1: Organisationsabonnement und Benutzerlizenzierung überprüfen

Die Lizenzierung für Audit (Standard) erfordert das entsprechende Organisation-Abonnement, das Folgendes bietet:

  • Zugriff auf das Suchtool für Überwachungsprotokolle.
  • Pro-Benutzer-Lizenzierung, die zum Protokollieren und Aufbewahren von Überwachungsdatensätzen erforderlich ist.

Wenn eine überwachte Aktivität von einem Benutzer oder Administrator ausgeführt wird, wird ein Überwachungsdatensatz erstellt und im Überwachungsprotokoll der Organisation gespeichert. In Audit (Standard) werden Überwachungsdatensätze 180 Tage lang im Überwachungsprotokoll aufbewahrt und durchsuchbar.

Eine Liste der Abonnement- und Lizenzierungsanforderungen für Audit (Standard) finden Sie unter Überwachungslösungen in Microsoft 365.

Schritt 2: Zuweisen von Berechtigungen zum Durchsuchen des Überwachungsprotokolls

Einem Administrator muss in Exchange Online entweder die Rolle Überwachungsprotokolle nur anzeigen oder die Rolle Überwachungsprotokolle zugewiesen werden, damit er das Office 365-Überwachungsprotokoll durchsuchen kann.

  • Standardmäßig werden diese Rollen den Rollengruppen Complianceverwaltung und Organisationsverwaltung auf der Seite Berechtigungen im Exchange Admin Center zugewiesen.
  • Globale Administratoren in Office 365 und Microsoft 365 werden automatisch als Mitglieder der Rollengruppe Organisationsverwaltung in Exchange Online hinzugefügt.

Um einem Benutzer die Möglichkeit zu geben, das Überwachungsprotokoll mit der minimalen Berechtigungsstufe zu durchsuchen, haben Organisationen folgende Möglichkeiten:

  1. Erstellen Sie eine benutzerdefinierte Rollengruppe in Exchange Online.
  2. Fügen Sie der Rollengruppe die Rolle Nur anzeigende Überwachungsprotokolle oder Überwachungsprotokolle hinzu.
  3. Fügen Sie den Benutzer als Mitglied der neuen Rollengruppe hinzu.

Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.

Der folgende Screenshot zeigt die beiden überwachungsbezogenen Rollen, die der Rollengruppe Organisationsverwaltung im Exchange Admin Center zugewiesen sind.

Screenshot des Exchange Admin Centers mit der Organisationsverwaltungsrolle und den ihr zugewiesenen Berechtigungen.

Schritt 3: Durchsuchen des Überwachungsprotokolls

An diesem Punkt ist eine Organisation bereit, das Überwachungsprotokoll im Microsoft Purview-Complianceportal zu durchsuchen.

  1. Wählen Sie im Microsoft Purview-Complianceportal im Navigationsbereich die Option Überwachung aus.

  2. Konfigurieren Sie auf der Seite Überwachung die Suche mithilfe der folgenden Bedingungen auf der Registerkarte Suchen.

    Screenshot der Seite

    • A. Datums- und Zeitbereich. Wählen Sie einen Datums- und Uhrzeitbereich aus, um die Ereignisse anzuzeigen, die innerhalb dieses Zeitraums aufgetreten sind. Das Datum und die Uhrzeit werden in Ortszeit angezeigt. Standardmäßig sind die letzten sieben Tage ausgewählt.
    • B. Aktivitäten. Wählen Sie die Aktivitäten aus, nach denen gesucht werden soll. Verwenden Sie das Suchfeld, um nach Aktivitäten zu suchen, die der Liste hinzugefügt werden sollen. Eine partielle Liste der überwachten Aktivitäten finden Sie unter Überwachte Aktivitäten. Lassen Sie dieses Feld leer, um Einträge für alle Dateien und Ordner in Ihrer Organisation zurückzugeben.
    • C. Benutzer. Wählen Sie dieses Feld aus, und geben Sie den Namen der Benutzer ein, für die Suchergebnisse angezeigt werden sollen. In der Liste der Ergebnisse werden die Überwachungsprotokolleinträge für die ausgewählten Aktivitäten angezeigt, die von den Benutzern ausgeführt wurde, die Sie in diesem Feld ausgewählt haben. Lassen Sie dieses Feld leer, um die Einträge für alle Benutzer (und Dienstkonten) in Ihrer Organisation zurückzugeben.
    • D. File, Ordner, oder Website. Geben Sie einen Datei- oder Ordnernamen ganz oder teilweise ein, um nach Aktivitäten für die Datei oder den Ordner zu suchen, die bzw. der das angegebene Schlüsselwort enthält. Sie können auch die URL einer Datei oder eines Ordners verwenden. Wenn Sie eine URL einer Datei oder eines Ordners verwenden wollen, geben Sie unbedingt den vollständigen URL-Pfad ein. Falls Sie nur einen Teil der URL eingeben, verwenden Sie bitte keine Sonder- oder Leerzeichen. Lassen Sie dieses Feld leer, um Einträge für alle Dateien und Ordner in Ihrer Organisation zurückzugeben.

  3. Klicken Sie auf Suchen, um die Suche durchzuführen.

Es wird eine neue Seite angezeigt, die anzeigt, dass die Überwachungsprotokollsuche ausgeführt wird. Wenn die Suche abgeschlossen ist, werden Überwachungsdatensätze auf der Seite angezeigt. Wählen Sie einen Datensatz aus, um eine Flyout-Seite mit detaillierten Eigenschaften anzuzeigen.

Hinweis

Dieser Schritt wird in der folgenden Lerneinheit ausführlicher untersucht.