共用方式為


如何使用全域安全存取擴充Microsoft 365 記錄

當您的Microsoft流量流經 Microsoft Entra Private Internet 服務時,您想要深入了解貴組織所使用的 Microsoft 365 應用程式效能、體驗和可用性。 擴充的 Microsoft 365 記錄能為您提供取得這些見解所需的資訊。 您可以將記錄與第三方安全性資訊與事件管理 (SIEM) 工具整合,以進一步分析。

本文說明記錄中的資訊,以及如何加以匯出。

必要條件

若要使用擴充的記錄,您需要下列角色、設定和訂用帳戶:

角色與權限

  • 需要全域管理員角色,才能啟用擴充的 Microsoft 365 記錄。

組態

  • Microsoft設定檔 - 確定已啟用Microsoft流量配置檔。 需要Microsoft流量轉送配置檔,才能擷取導向至 Microsoft 365 服務的流量,這是記錄擴充的基礎。
  • Microsoft 365 通用和 Office Online 流量原則:記錄擴充所必需。 確定已啟用。
  • 傳送資料的租用戶:確認流量正確地通道傳送至全球安全存取服務,如轉送設定檔中所設定。
  • 診斷設定設定:設定Microsoft Entra 診斷設定,將記錄傳送至指定的端點,例如 Log Analytics工作區。 每個端點的需求會有所不同,如本文中設定診斷設定一節所概述。

訂用帳戶

在設定診斷設定之前,您必須針對要對記錄進行路由的位置設定端點。 每個端點的需求會有所不同,如設定診斷設定一節所述。

記錄提供的內容

擴充的 Microsoft 365 記錄提供 Microsoft 365 工作負載的相關資訊,讓您可以檢閱與 Microsoft 365 應用程式相關的網路診斷資料、效能資料和安全性事件。 例如,在封鎖您組織中的某個使用者存取 Microsoft 365 的情況下,您需要對該使用者的裝置連線到您網路的方式取得可見度。

這些記錄可提供︰

  • 改善的延遲
  • 已新增至原始記錄的其他資訊
  • 精確的 IP 位址

這些記錄是 Microsoft 365 稽核記錄中提供之記錄的子集。 記錄會搭配更多資訊來擴充,包括裝置識別碼、作業系統和原始 IP 位址。 擴充的 SharePoint 記錄能提供已下載、上傳、刪除、修改或回收之檔案的相關資訊。 已刪除或回收的清單項目也會包括在擴充的記錄中。

如何檢視記錄檔

檢視擴充的 Microsoft 365 記錄是包含兩個步驟的流程。 首先,您必須從全球安全存取啟用記錄擴充。 其次,您必須設定 Microsoft Entra 診斷設定,以將記錄路由傳送至某個端點,例如 Log Analytics 工作區。

注意

目前,針對記錄擴充只能使用 SharePoint Online 記錄。

啟用記錄擴充

啟用擴充的 Microsoft 365 記錄:

  1. 全域管理員的身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [全域安全存取>設定>記錄]。
  3. 選取您想要啟用的 Microsoft 365 記錄類型。
  4. 選取儲存

擴充的記錄最多需要 72 小時的時間,才能與服務完全整合。

設定診斷設定

若要檢視擴充的 Microsoft 365 記錄,您必須將記錄匯出或串流至某個端點,例如 Log Analytics 工作區或 SIEM 工具。 您必須先設定該端點,才能設定診斷設定。

設定端點

將記錄傳送至端點

建立端點之後,您就可以設定診斷設定。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]

  3. 選取 [新增診斷設定]

  4. 指定診斷設定的名稱。

  5. 選取 EnrichedOffice365AuditLogs

  6. 針對您想要傳送記錄的位置,選取 [目的地詳細資料]。 選擇下列任一或所有目的地。 視選取項目而定,會出現更多欄位。

    • 傳送至 Log Analytics 工作區:從出現的功能表中選取適當的詳細資料。
    • 封存至儲存體帳戶:在出現在記錄類別旁邊的 [保留天數] 方塊中輸入您想要保留資料的天數。 從出現的功能表中選取適當的詳細資料。
    • 串流至事件中樞:從出現的功能表中選取適當的詳細資料。
    • 傳送至合作夥伴解決方案:從出現的功能表中選取適當的詳細資料。

下列範例會將擴充的記錄傳送至 Log Analytics 工作區,其會要求您從出現的功能表中選取 [訂用帳戶] 和 [Log Analytics 工作區]。

Microsoft Entra 診斷設定的螢幕擷取畫面,其中已醒目提示擴充的記錄和 Log Analytics 選項。

下一步