Implementare Microsoft Purview Audit (Standard)

  • 4 minuti

Microsoft Purview Audit (Standard) in Microsoft 365 consente alle organizzazioni di cercare i record di controllo delle attività completate dagli utenti e dagli amministratori nei diversi servizi Microsoft 365. L'Audit (Standard) è abilitato per impostazione predefinita per la maggior parte delle organizzazioni Microsoft 365 e Office 365. Di conseguenza, un'organizzazione deve eseguire solo alcune operazioni prima di poter eseguire ricerche nel log di controllo.

Diagramma che illustra i passaggi per configurare Microsoft Purview Audit (Standard), che includono la configurazione delle licenze e delle autorizzazioni.

I passaggi di installazione che devono essere completati prima che un'organizzazione possa eseguire ricerche nel log di controllo usando Audit (Standard) includono:

  • Garantire le sottoscrizioni aziendali appropriate e le licenze utente necessarie per generare e mantenere i record di controllo.
  • Assegnazione delle autorizzazioni ai membri del team delle operazioni di sicurezza, IT, conformità e team legali.

Questi passaggi vengono esaminati più dettagliatamente nelle sezioni seguenti.

Passaggio 1: Verificare la sottoscrizione dell'organizzazione e le licenze utente

La licenza per Audit (Standard) richiede la sottoscrizione appropriata dell'organizzazione che fornisce:

  • accesso allo strumento di ricerca del log di controllo.
  • licenze per utente necessarie per registrare e conservare i record di controllo.

Quando un'attività sottoposta al controllo viene eseguita da un utente o da un amministratore, viene generato un record di controllo e archiviato nel registro di controllo dell'organizzazione. In Audit (Standard) i record di controllo vengono conservati e ricercabili nel log di controllo per 180 giorni.

Per un elenco dei requisiti di sottoscrizione e licenza per Audit (Standard), vedere Soluzioni di controllo in Microsoft 365.

Passaggio 2: Assegnare le autorizzazioni per la ricerca nel registro di controllo

Per cercare nel registro di controllo, agli amministratori e ai membri dei team di investigazione deve essere assegnato il ruolo View-Only Audit Logs o Audit Logs in Exchange Online.

  • Per impostazione predefinita, questi ruoli sono assegnati ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioni nell'interfaccia di amministrazione di Exchange.
  • Gli amministratori globali di Office 365 e Microsoft 365 vengono aggiunti automaticamente come membri del gruppo di ruoli Gestione organizzazione in Exchange Online.

Per consentire a un utente di eseguire ricerche nel log di controllo con il livello minimo di privilegi, le organizzazioni possono:

  1. Creare un gruppo di ruoli personalizzato in Exchange Online.
  2. Aggiungere al gruppo di ruoli il ruolo View-Only Audit Logs o Audit Logs.
  3. Aggiungere l'utente come membro del nuovo gruppo di ruoli.

Per altre informazioni, vedere Gestire i gruppi di ruoli in Exchange Online.

La seguente schermata mostra i due ruoli di controllo assegnati al gruppo di ruolo Organization Management nel centro di amministrazione di Exchange.

Screenshot dell'interfaccia di amministrazione di Exchange che mostra il ruolo di gestione dell'organizzazione e le autorizzazioni assegnate.

Passaggio 3: Eseguire una ricerca nel log di controllo

A questo punto, un'organizzazione è pronta per eseguire ricerche nel log di controllo all'interno del Portale di conformità di Microsoft Purview.

  1. Nel portale di conformità Microsoft Purview, selezionare Audit nel riquadro di navigazione.

  2. Nella pagina Audit, configurare la ricerca utilizzando le seguenti condizioni nella scheda Ricerca.

    Schermata della pagina Audit del portale di conformità Microsoft Purview che mostra le impostazioni di ricerca dei registri di audit.

    • R. Intervallo di data e ora. Selezionare un intervallo di date e ore per visualizzare gli eventi che si sono verificati in quel periodo. La data e l'ora vengono visualizzati nel fuso orario locale. Gli ultimi sette giorni sono selezionati per impostazione predefinita.
    • B. Attività. Selezionare le attività da cercare. Usare la casella di ricerca per cercare le attività da aggiungere all'elenco. Per un elenco parziale delle attività controllate, vedere Attività controllate. Lasciare questa casella vuota per restituire le voci di tutte le attività controllate.
    • C. Utenti. Selezionare in questa casella e iniziare a digitare il nome degli utenti per cui visualizzare i risultati della ricerca. Nell'elenco di risultati vengono visualizzate le voci del log di controllo per le attività selezionate eseguite dagli utenti specificati in questa casella. Lasciare la casella vuota per restituire le voci per tutti gli utenti (e gli account del servizio) nell'organizzazione.
    • D. File, cartellao sito. Digitare il nome di un file o di una cartella per cercare l'attività relativa al file della cartella che contiene la parola chiave specificata. È anche possibile specificare un URL di un file o una cartella. Se si utilizza l'URL di un file o di una cartella, assicurarsi di digitare il percorso completo dell'URL o, se si digita una parte dell'URL, non includere caratteri speciali o spazi. Lasciare questa casella vuota per restituire le voci per tutti i file e le cartelle nell'organizzazione.

  3. Selezionare Cerca per eseguire la ricerca.

Viene visualizzata una nuova pagina che mostra che la ricerca nel log di controllo è in esecuzione. Al termine della ricerca, i record di controllo vengono visualizzati nella pagina. Selezionare un record per visualizzare una pagina a comparsa con proprietà dettagliate.

Nota

Questo passaggio viene esaminato in modo più dettagliato nell'unità seguente.