Microsoft 365

Microsoft 365 Auditlogs neu im Compliance Center

24. November 2020

Für Administratoren von Microsoft 365 stehen Auditlogs zur Verfügung. Da es div. Dienste protokolliert fasst Microsoft es als “Unified Auditlogs” zusammen. Neu stellt Microsoft die Auswertung der Logs im Microsoft 365 Compliance Center zur Verfügung.

Zur allgemeinen Info, in den Auditlogs protokolliert Microsoft Aktivitäten aller Azure AD Accounts um auf Anforderung die Logs für definierte Aktivitäten auszuwerten. Im Moment werden Aktivitäten über folgende Dienste protokolliert.

  • SharePoint Online und OneDrive for Business
  • Exchange Online
  • Azure Active Directory
  • eDiscovery Aktivitäten
  • Power Platform Services (Power BI, Power Automate, Power Apps)
  • Microsoft Teams
  • Dynamics 365
  • Yammer
  • Microsoft Stream
  • Microsoft Workplace Analytics
  • Microsoft Forms
  • Sensitivity Labels in SharePoint Online und Microsoft Teams

Es kommen immer wieder neue Dienste hinzu. Für eine aktuelle Übersicht und Details welche Aktivitäten erfasst werden nimm dir etwas Zeit und beachte die Hilfe. Die Auditlogs sind keine Echtzeitauswertung. Abhängig vom Dienst kann es zwischen 30 Minuten und 24 Stunden dauern bis protokollierte Aktivitäten in den Logs sichtbar sind. Sind die Aktivitäten erfasst können berechtigte Accounts die Logdaten für einen gewissen Zeitraum durchsuchen. Der Zeitraum wird nach Lizenz unterschieden.

LizenzZeitraum
Microsoft 365 E5 und Office 365 E5365 Tage
Alle anderen Lizenzen90 Tage

Benötigst du es länger musst du dir eine andere Lösung schreiben, oder Tools von Drittherstellern einsetzen. Die Logs lassen sich via PowerShell exportieren.
Bisher ist die Auswertung der Unified Auditlogs unter Office 365 Security & Compliance gelistet.

Im Januar 2019 kündigte Microsoft an das alte Office 365 Security & Compliance Center aufzuteilen, in Microsoft 365 Security und Microsoft 365 Compliance. Viele Teile aus dem alten O365 Security & Compliance Center wurden bereits in Microsoft 365 Security oder Microsoft 365 Compliance aufgeteilt. Jetzt folgen die Unified Auditlogs, diese werden ins Microsoft 365 Compliance Center verschoben. Ein Hinweis zeigt das Ende der alten Auswertung an.

Neu steht die Auswertung der Auditlogs unter https://compliance.microsoft.com/auditlogsearch für berechtigte Accounts zur Verfügung. Jemand der die alte Auswertung kennt wird auch mit der neuen Auswertung zurecht kommen.

Für die Berechtigung ist es wichtig zu wissen, damit ein Account berechtigt ist muss die Berechtigung “View-only Audit Logs” über das Exchange Online Admin Center vergeben werden. Die Berechtigungsrollen im Security Center sind nicht ausreichend. Microsoft erwähnt es in der Hilfe. Bis die Berechtigung aktiv ist wird es bis zu 24 Stunden dauern.

If you assign a user the View-Only Audit Logs or Audit Logs role on the Permissions page in the Security & Compliance Center, they won’t be able to search the audit log. You have to assign the permissions in Exchange Online. This is because the underlying cmdlet used to search the audit log is an Exchange Online cmdlet.

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert