Attivare o disattivare il controllo
La registrazione di controllo è attivata per impostazione predefinita per le organizzazioni di Microsoft 365. Tuttavia, quando si configura una nuova organizzazione di Microsoft 365, è necessario verificare lo stato di controllo per l'organizzazione. Per istruzioni, vedere la sezione Verificare lo stato del controllo per l'organizzazione in questo articolo.
Quando il controllo è attivato nel portale di Microsoft Purview o l'attività Portale di conformità di Microsoft Purview, utente e amministratore dell'organizzazione viene registrata nel log di controllo e mantenuta automaticamente per 180 giorni. La conservazione (durata) per i dati di controllo viene avviata quando viene aggiunta al log di controllo e viene mantenuta in base ai criteri di conservazione dei log di controllo e alla licenza assegnata agli utenti.
Importante
Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (Standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (Standard) generati dopo il 17 ottobre 2023 seguono la nuova conservazione predefinita di 180 giorni.
Le modifiche apportate ai criteri di licenza o conservazione degli utenti modificano anche la data di scadenza dei dati di controllo.
L'organizzazione potrebbe avere motivi per non voler registrare e conservare i dati del log di controllo. In questi casi, un amministratore globale può disattivare il controllo in Microsoft 365 per l'organizzazione. Per istruzioni, vedere la sezione Disattiva controllo in questo articolo.
Importante
Se si disattiva il controllo in Microsoft 365, non è possibile usare l'API attività di gestione Office 365 o Microsoft Sentinel per accedere ai dati o ai log di controllo per l'organizzazione. Disattivare il controllo seguendo la procedura descritta in questo articolo significa che non vengono restituiti risultati quando si esegue una ricerca nel log di controllo usando il portale di Microsoft Purview o il portale di conformità o quando si esegue il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Prima di attivare o disattivare il controllo
Per attivare o disattivare il controllo, è necessario assegnare il ruolo Log di controllo in Exchange Online. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Gestione conformità e Gestione organizzazione nella pagina Autorizzazioni nell'interfaccia di amministrazione di Exchange.
- Per istruzioni dettagliate sulla ricerca nel log di controllo, vedere Cercare nel log di controllo.
- Per altre informazioni sull'API Attività di gestione di Microsoft 365, vedere Introduzione alle API di gestione di Microsoft 365.
Verificare lo stato del controllo per l'organizzazione
Per verificare che il controllo sia attivato per l'organizzazione, è possibile eseguire il comando seguente in Exchange Online PowerShell:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Il valore per True
la proprietà UnifiedAuditLogIngestionEnabled indica che il controllo è attivato. Il valore False
indica che il controllo non è attivato.
Importante
Assicurarsi di eseguire il comando precedente in Exchange Online PowerShell. Anche se il cmdlet Get-AdminAuditLogConfig è disponibile anche in PowerShell sicurezza & conformità, la proprietà UnifiedAuditLogIngestionEnabled è sempre False
, anche quando il controllo è attivato.
Attivare il controllo
Se il controllo non è attivato per l'organizzazione, è possibile attivarlo nel portale di Microsoft Purview o nel portale di conformità oppure usando Exchange Online PowerShell. L'attivazione del controllo potrebbe richiedere diverse ore prima di poter restituire i risultati durante la ricerca nel log di controllo.
Selezionare la scheda appropriata per il portale in uso. A seconda del piano di Microsoft 365, il Portale di conformità di Microsoft Purview viene ritirato o verrà ritirato a breve.
Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Completare i passaggi seguenti per attivare il controllo:
- Accedere al portale di Microsoft Purview.
- Selezionare la scheda Controlla soluzione. Se la scheda Controlla soluzione non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Controlla nella sezione Core .
- Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore.
- Selezionare il banner Avvia registrazione dell'attività utente e amministratore .
L'applicazione della modifica può richiedere fino a 60 minuti.
Usare PowerShell per attivare il controllo
Eseguire il comando di PowerShell seguente per attivare il controllo.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Viene visualizzato un messaggio che indica che potrebbero essere necessari fino a 60 minuti prima che la modifica venga applicata.
Disattiva controllo
È necessario usare Exchange Online PowerShell per disattivare il controllo.
Eseguire il comando di PowerShell seguente per disattivare il controllo.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false
Dopo un po', verificare che il controllo sia disattivato (disabilitato). È possibile eseguire questa operazione in due modi:
In Exchange Online PowerShell eseguire il comando seguente:
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled
Il valore di
False
per la proprietà UnifiedAuditLogIngestionEnabled indica che il controllo è disattivato.Passare alla pagina Controllo nel portale di conformità.
Se il controllo non è attivato per l'organizzazione, viene visualizzato un banner che richiede di avviare la registrazione dell'attività utente e amministratore.
Controllare i record quando viene modificato lo stato del controllo
Le modifiche apportate allo stato di controllo nell'organizzazione vengono controllate a loro volta. Ciò significa che i record di controllo vengono registrati quando il controllo è attivato o disattivato. È possibile cercare questi record di controllo nel log di controllo dell'amministratore di Exchange.
Per cercare nel log di controllo dell'amministratore di Exchange i record di controllo generati quando si attiva o disattiva il controllo, eseguire il comando seguente in Exchange Online PowerShell:
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
I record di controllo per questi eventi contengono informazioni su quando è stato modificato lo stato di controllo, l'amministratore che lo ha modificato e l'indirizzo IP del computer usato per apportare la modifica. Gli screenshot seguenti mostrano i record di controllo che corrispondono alla modifica dello stato del controllo nell'organizzazione.
Record di controllo per Set-AdminAuditLogConfig
Cercare il valore del risultato di UnifiedAuditLogIngestionEnabled
nella proprietà AuditData , che indica se la registrazione di controllo unificata è stata attivata o disattivata nel portale di Microsoft Purview o nel portale di conformità oppure eseguendo il cmdlet Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .
Per altre informazioni sulla ricerca nel log di controllo dell'amministratore di Exchange, vedere Search-UnifiedAuditLog.