實作 Microsoft Purview 稽核 (標準版)

已完成

Microsoft 365 中的 Microsoft Purview 稽核 (標準版) 可讓組織搜尋由不同 Microsoft 365 服務中的使用者和系統管理員所完成活動的稽核記錄。 稽核 (標準版) 會為多數 Microsoft 365 和 Office 365 組織預設啟用。 因此,組織必須先執行才能夠搜尋稽核記錄的動作只有幾個。

圖表顯示設定 Microsoft Purview 稽核 (標準版) 的步驟,包括設定授權和權限。

組織必須先完成,才能使用稽核 (標準版) 搜尋稽核記錄的設定步驟包括:

  • 確保產生和保留稽核記錄所需的適當組織訂閱和使用者授權。
  • 將權限指派給安全性作業、IT、合規性和法務小組的小組成員。

以下小節將更詳細討論這些步驟。

步驟 1:驗證組織訂閱和使用者授權

稽核授權 (標準版) 需要適當的組織訂閱,其提供:

  • 稽核記錄搜尋工具的存取權。
  • 記錄和保留稽核記錄所需的每一使用者授權。

當使用者或系統管理員執行稽核活動,稽核記錄會隨即產生,並儲存在組織的稽核記錄中。 在稽核 (標準) 中,稽核記錄會保留並可在稽核記錄中搜尋 180 天。

如需稽核 (標準版) 的訂閱和授權需求清單,請參閱 Microsoft 365 中的稽核解決方案

步驟 2:指派搜尋稽核記錄的權限

若要搜尋稽核記錄,調查小組的系統管理員和成員必須獲指派 Exchange Online 中的僅檢視稽核記錄稽核記錄角色。

  • 根據預設,這些角色會在 Exchange 系統管理中心的 [權限] 頁面上,指派給合規性管理組織管理角色群組。
  • Office 365 和 Microsoft 365 中的全域系統管理員,會自動新增為 Exchange Online 中組織管理角色群組的成員。

若要讓使用者能夠以最低權限層級搜尋稽核記錄,組織可以:

  1. Exchange Online 中建立自訂角色群組。
  2. 僅檢視稽核記錄稽核記錄角色新增至角色群組。
  3. 將使用者新增為新角色群組的成員。

如需詳細資訊,請參閱管理 Exchange Online 中的角色群組

下列螢幕擷取畫面顯示獲指派 Exchange 系統管理中心的組織管理角色群組的兩個稽核相關角色。

Exchange 系統管理中心的螢幕擷取畫面,顯示組織管理角色和指派的權限。

步驟 3:搜尋稽核記錄

此時,組織已準備好在 Microsoft Purview 合規性入口網站內搜尋稽核記錄。

  1. Microsoft Purview 合規性入口網站中,選取功能窗格中的 [稽核]

  2. 在 [稽核] 頁面上,於 [搜尋] 索引標籤上使用下列條件來設定搜尋。

    Microsoft Purview 合規性入口網站上稽核頁面的螢幕擷取畫面,顯示稽核記錄搜尋設定。

    • 答: 日期和時間範圍. 選取日期和時間範圍,以顯示該期間內已發生的事件。 日期和時間以當地時間顯示。 預設會選取過去 7 天。
    • B. 活動. 選取要搜尋的活動。 使用搜尋方塊來搜尋要新增至清單的活動。 如需部分已稽核活動的清單,請參閱已稽核活動。 將此方塊保留空白,以傳回所有已稽核活動的項目。
    • C. 使用者. 選取此方塊,然後開始輸入要顯示要搜尋其結果的使用者名稱。 結果清單會顯示您在此方塊中選取的使用者所執行的所選取活動的稽核記錄項目。 若要傳回貴組織中所有使用者 (及服務帳戶) 的項目,請將此方塊保留空白。
    • D. 檔案資料夾或網站。 輸入檔案或資料夾名稱的部分或全部,以搜尋含有特定關鍵字的資料夾檔案相關活動。 您也可以指定檔案或資料夾的 URL。 如果您使用檔案或資料夾的 URL,請確定輸入完整的 URL 路徑,或如果您只輸入部分 URL,請不要包含任何特殊字元或空格。 若要傳回貴組織中所有檔案和資料夾的項目,請將此方塊保留空白。
  3. 選取 [搜尋] 以執行搜尋。

隨即會顯示新頁面,其顯示稽核記錄搜尋執行中。 搜尋完成時,頁面上會顯示稽核記錄。 選取記錄可顯示具有詳細屬性的飛出視窗頁面。

注意事項

下列單元中將更詳細討論此步驟。