Внедрить аудит Microsoft Purview (стандартный)

  • 4 мин

Аудит Microsoft Purview (стандартный) в Microsoft 365 позволяет организациям искать записи аудита действий, выполненных пользователями и администраторами в различных службах Microsoft 365. Аудит (стандартный) включен по умолчанию для большинства организаций Microsoft 365 и Office 365. В результате организация должна сделать всего несколько вещей, прежде чем сможет выполнять поиск в журнале аудита.

Схема, показывающая шаги по настройке Microsoft Purview Audit (Standard), включая настройку лицензирования и разрешений.

Шаги настройки, которые необходимо выполнить, прежде чем организация сможет выполнять поиск в журнале аудита с помощью аудита (стандартный), включают:

  • Обеспечение надлежащих организационных подписок и лицензирования пользователей, необходимых для создания и сохранения записей аудита.
  • Назначение разрешений членам вашей команды по обеспечению безопасности, ИТ, комплаенс и юриспруденции.

Эти этапы более подробно рассматриваются в следующих разделах.

Шаг 1. Проверка подписки организации и лицензирования пользователей

Лицензирование для аудита (стандартное) требует соответствующей подписки организации, которая обеспечивает:

  • доступ к инструменту поиска журнала аудита.
  • лицензирование на пользователя, необходимое для регистрации и сохранения записей аудита.

Когда проверяемое действие выполняется пользователем или администратором, создается запись аудита, которая сохраняется в журнале аудита для организации. В разделе Аудит (стандартный) записи аудита хранятся и доступны для поиска в журнале аудита в течение 180 дней.

Список требований к подписке и лицензированию для аудита (стандартный) см. в разделе Решения для аудита в Microsoft 365 .

Шаг 2. Назначьте разрешения на поиск в журнале аудита.

Для поиска в журнале аудита администраторам и членам групп по расследованию должна быть назначена роль Журналы аудита только для просмотра или Журналы аудита в Exchange Online.

  • По умолчанию эти роли назначаются группам ролей Управление соответствием и Управление организацией на странице Разрешения в центре администрирования Exchange.
  • Глобальные администраторы в Office 365 и Microsoft 365 автоматически добавляются в качестве членов группы ролей Управление организацией в Exchange Online.

Чтобы предоставить пользователю возможность поиска в журнале аудита с минимальным уровнем привилегий, организации могут:

  1. Создайте пользовательскую группу ролей в Exchange Online .
  2. Добавьте роль Журналы аудита только для просмотра или Журналы аудита в группу ролей.
  3. Добавьте пользователя в качестве члена новой группы ролей.

Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.

На следующем снимке экрана показаны две связанные с аудитом роли, назначенные группе ролей Управление организацией в центре администрирования Exchange.

Снимок экрана центра администрирования Exchange, показывающий роль управления организацией и назначенные ей разрешения.

Шаг 3. Поиск в журнале аудита

На этом этапе организация готова к поиску в журнале аудита на портале соответствия Microsoft Purview.

  1. На портале соответствия Microsoft Purview выберите Аудит на панели навигации.

  2. На странице Аудит настройте поиск, используя следующие условия на вкладке Поиск .

    Снимок экрана страницы аудита на портале соответствия требованиям Microsoft Purview, на котором показаны параметры поиска в журнале аудита.

    • О. Дата и диапазон времени. Выберите диапазон дат и времени, чтобы просмотреть события, которые произошли за этот период. Дата и время представлены по местному времени. По умолчанию выбраны последние семь дней.
    • Б. Действия. Выберите действия для поиска. Используйте поле поиска для поиска действий, которые нужно добавить в список. Частичный список проверенных действий см. в разделе Проверенные действия . Оставьте это поле пустым, чтобы вернуть записи для всех проверенных действий.
    • C. Пользователи. Установите флажок в этом поле и начните вводить имена пользователей, для которых должны отображаться результаты поиска. Записи журнала аудита для выбранных действий, выполненных пользователями, выбранными в этом поле, отображаются в списке результатов. Чтобы получить результаты для всех пользователей (и учетных записей служб) в организации, оставьте это поле пустым.
    • D. File, папка , или сайт . Введите часть или все имя файла или папки для поиска действий, связанных с файлом или папкой, содержащей указанное ключевое слово. Также можно указать URL-адрес файла или папки. Если вы используете URL-адрес файла или папки, обязательно введите полный путь к URL-адресу или, если вы вводите часть URL-адреса, не включайте специальные символы или пробелы. Чтобы получить результаты для всех файлов и папок в организации, оставьте это поле пустым.

  3. Выберите Поиск , чтобы выполнить поиск.

Отображается новая страница, показывающая, что выполняется поиск в журнале аудита. По завершении поиска на странице отображаются записи аудита. Выберите запись, чтобы отобразить всплывающую страницу с подробными свойствами.

Примечание.

Этот шаг рассматривается более подробно в следующем блоке.