实施 Microsoft Purview 审核 (标准版)

  • 4 分钟

Microsoft 365 中的 Microsoft Purview 审核 (标准版) 使组织能够搜索由不同 Microsoft 365 服务中的用户和管理员完成的活动的审核记录。 默认情况下,大多数 Microsoft 365 和 Office 365 组织已启用审核 (标准版)。 因此,组织只需执行几项操作即可搜索审核日志。

显示设置 Microsoft Purview 审核 (标准版) 的步骤的关系图,其中包括设置许可和权限。

组织可以使用审核 (标准版) 搜索审核日志之前必须完成的设置步骤包括:

  • 确保拥有生成和保留审核记录所需的适当组织订阅和用户许可。
  • 向安全运营、IT、合规和法律团队的团队成员分配权限。

以下部分将更详细地介绍这些步骤。

步骤 1:验证组织订阅和用户许可

审核 (标准版) 许可需要提供以下内容的相应组织订阅:

  • 对审核日志搜索工具的访问权限。
  • 记录和保留审核记录所需的每个用户的许可。

用户或管理员执行经审核的活动时,将生成审核记录并存储在组织的审核日志中。 在“审核 (标准) ”中,审核记录在审核日志中保留和搜索 180 天。

有关审核 (标准版) 的订阅和许可要求列表,请参阅 Microsoft 365 中的审核解决方案

步骤 2:分配搜索审核日志的权限

若要搜索审核日志,必须在 Exchange Online 中为管理员和调查团队成员分配“仅查看审核日志”角色或“审核日志”角色。

  • 默认情况下,这些角色是在 Exchange 管理中心中的“权限”页上被分配给“合规性管理”和“组织管理”角色组。
  • Office 365 和 Microsoft 365 中的全局管理员将自动添加为 Exchange Online 的“组织管理”角色组成员。

为了使用户能够使用最低级别的权限搜索审核日志,组织可以:

  1. Exchange Online 中创建一个自定义角色组。
  2. 将“仅查看审核日志”或“审核日志”角色添加到该角色组。
  3. 将用户添加为新角色组的成员。

有关详细信息,请参阅在 Exchange Online 中管理角色组

以下屏幕截图显示了在 Exchange 管理中心分配给“组织管理”角色组的两个与审核相关的角色。

Exchange 管理中心的屏幕截图,其中显示了组织管理角色以及为其分配的权限。

步骤 3:搜索审核日志

此时,组织已准备好在 Microsoft Purview 合规门户中搜索审核日志。

  1. Microsoft Purview 合规门户中,在导航窗格中选择“审核”。

  2. 在“审核”页上的“搜索”选项卡中使用以下条件配置搜索。

    Microsoft Purview 合规门户“审核”页的屏幕截图,其中显示了审核日志搜索设置。

    • 答: 日期和时间范围. 选择日期和时间范围,以显示在这段时间内发生的事件。 日期和时间以本地时间显示。 默认情况下,将选择最近七天。
    • B. 活动. 选择要搜索的活动。 使用搜索框搜索要添加到列表的活动。 有关经审核活动的部分列表,请参阅“经审核活动”。 将此框留空以返回所有经审核活动的条目。
    • C. 用户. 在此框中选择,然后开始键入要显示其搜索结果的用户的名称。 由你在此框中所选用户执行的所选活动的审核日志项目将显示在结果列表中。 将此框留空以返回组织中所有用户(和服务帐户)的条目。
    • D. 文件文件夹或网站。 键入部分或完整的文件或文件夹名称,搜索与包含指定关键字的文件夹文件相关的活动。 你还可以指定文件或文件夹的 URL。 如果使用文件或文件夹的 URL,请确保键入完整的 URL 路径,或者如果键入部分 URL,请不要包含任何特殊字符或空格。 将此框留空以返回组织中所有文件和文件夹的条目。

  3. 选择“搜索”以运行搜索。

将显示一个新页面,其中将显示正在运行审核日志搜索。 搜索完成后,审核记录会显示在页面上。 选择一条记录以显示具有详细属性的浮出控件页。

注意

下一单元将更详细地介绍此步骤。