Für Administratoren von Microsoft 365 stehen Auditlogs zur Verfügung. Da es div. Dienste protokolliert fasst Microsoft es als “Unified Auditlogs” zusammen. Neu stellt Microsoft die Auswertung der Logs im Microsoft 365 Compliance Center zur Verfügung.
Zur allgemeinen Info, in den Auditlogs protokolliert Microsoft Aktivitäten aller Azure AD Accounts um auf Anforderung die Logs für definierte Aktivitäten auszuwerten. Im Moment werden Aktivitäten über folgende Dienste protokolliert.
- SharePoint Online und OneDrive for Business
- Exchange Online
- Azure Active Directory
- eDiscovery Aktivitäten
- Power Platform Services (Power BI, Power Automate, Power Apps)
- Microsoft Teams
- Dynamics 365
- Yammer
- Microsoft Stream
- Microsoft Workplace Analytics
- Microsoft Forms
- Sensitivity Labels in SharePoint Online und Microsoft Teams
Es kommen immer wieder neue Dienste hinzu. Für eine aktuelle Übersicht und Details welche Aktivitäten erfasst werden nimm dir etwas Zeit und beachte die Hilfe. Die Auditlogs sind keine Echtzeitauswertung. Abhängig vom Dienst kann es zwischen 30 Minuten und 24 Stunden dauern bis protokollierte Aktivitäten in den Logs sichtbar sind. Sind die Aktivitäten erfasst können berechtigte Accounts die Logdaten für einen gewissen Zeitraum durchsuchen. Der Zeitraum wird nach Lizenz unterschieden.
Lizenz | Zeitraum |
---|---|
Microsoft 365 E5 und Office 365 E5 | 365 Tage |
Alle anderen Lizenzen | 90 Tage |
Benötigst du es länger musst du dir eine andere Lösung schreiben, oder Tools von Drittherstellern einsetzen. Die Logs lassen sich via PowerShell exportieren.
Bisher ist die Auswertung der Unified Auditlogs unter Office 365 Security & Compliance gelistet.
Im Januar 2019 kündigte Microsoft an das alte Office 365 Security & Compliance Center aufzuteilen, in Microsoft 365 Security und Microsoft 365 Compliance. Viele Teile aus dem alten O365 Security & Compliance Center wurden bereits in Microsoft 365 Security oder Microsoft 365 Compliance aufgeteilt. Jetzt folgen die Unified Auditlogs, diese werden ins Microsoft 365 Compliance Center verschoben. Ein Hinweis zeigt das Ende der alten Auswertung an.
Neu steht die Auswertung der Auditlogs unter https://compliance.microsoft.com/auditlogsearch für berechtigte Accounts zur Verfügung. Jemand der die alte Auswertung kennt wird auch mit der neuen Auswertung zurecht kommen.
Für die Berechtigung ist es wichtig zu wissen, damit ein Account berechtigt ist muss die Berechtigung “View-only Audit Logs” über das Exchange Online Admin Center vergeben werden. Die Berechtigungsrollen im Security Center sind nicht ausreichend. Microsoft erwähnt es in der Hilfe. Bis die Berechtigung aktiv ist wird es bis zu 24 Stunden dauern.
If you assign a user the View-Only Audit Logs or Audit Logs role on the Permissions page in the Security & Compliance Center, they won’t be able to search the audit log. You have to assign the permissions in Exchange Online. This is because the underlying cmdlet used to search the audit log is an Exchange Online cmdlet.