Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
L'interfaccia di amministrazione di Microsoft Teams sostituisce gradualmente l'interfaccia di amministrazione Skype for Business e le impostazioni di Teams vengono migrate dal interfaccia di amministrazione di Microsoft 365. Se è stata eseguita la migrazione di un'impostazione, verrà visualizzata una notifica e quindi verrà indirizzata alla posizione dell'impostazione nell'interfaccia di amministrazione di Teams. Per altre informazioni, vedere Gestire Teams durante la transizione all'interfaccia di amministrazione di Teams.
Il log di controllo consente di analizzare attività specifiche nei servizi Microsoft. Per Microsoft Teams, il log di controllo tiene traccia di attività quali:
- Creazione di team
- Eliminazione di team
- Aggiunta di un canale
- Canale eliminato
- Impostazione del canale cambiata
Per un elenco completo delle attività di Teams controllate, vedere Attività di Teams nel log di controllo.
Nota
Anche gli eventi di controllo dai canali privati vengono registrati così come sono per i team e i canali standard.
Attivare il controllo in Teams
Prima di poter visualizzare i dati di controllo, è necessario attivare il controllo nel portale di Microsoft Purview. Per altre informazioni, vedere Attivare o disattivare il controllo.
Importante
I dati di controllo sono disponibili solo dal punto in cui si attiva il controllo.
Recuperare i dati di Teams dal log di audit
Per recuperare i log di controllo per le attività di Teams, usare il portale di Microsoft Purview. Per istruzioni dettagliate, vedere Cercare nel log di controllo.
Importante
I dati di controllo sono visibili nel log di controllo solo se il controllo è attivato.
Il periodo di tempo in cui un record di controllo viene conservato e ricercabile nel log di controllo dipende dalla sottoscrizione di Microsoft 365 o Office 365 e in particolare dal tipo di licenza assegnata agli utenti. Per altre informazioni, vedere la descrizione del servizio Centro conformità & sicurezza.
Suggerimenti per la ricerca nel log di controllo
Ecco i suggerimenti per cercare le attività di Teams nel log di controllo.
Selezionare attività specifiche da cercare facendo clic sulla casella di controllo accanto a una o più attività. Per annullare la selezione, selezionare l'attività. Utilizzare la casella di ricerca per visualizzare le attività che contengono la parola chiave digitata.
Selezionare Mostra risultati per tutte le attività nell'elenco Attività per visualizzare gli eventi per le attività eseguite usando i cmdlet. Se si conosce il nome dell'operazione per queste attività, digitarlo nella casella di ricerca per visualizzare l'attività, quindi selezionarla.
Selezionare Cancella tutto per cancellare i criteri di ricerca correnti. L'intervallo di date torna impostato sul valore predefinito corrispondente agli ultimi sette giorni.
Se vengono trovati 5.000 risultati, è probabile che ci siano più di 5.000 eventi che soddisfano i criteri di ricerca. Perfezionare i criteri di ricerca ed eseguire nuovamente la ricerca per restituire un minor numero di risultati oppure esportare tutti i risultati della ricerca selezionando Esporta>scarica tutti i risultati. Per istruzioni dettagliate sull'esportazione dei log di controllo, vedere Cercare nel log di controllo.
Per usare la ricerca dei log audio, vedere questo video. Partecipa ad Ansuman Acharya, un program manager di Teams, perché dimostra come eseguire una ricerca nel log di controllo per Teams.
Attività di Teams
Per un elenco di tutti gli eventi registrati per le attività utente e amministratore in Teams nel log di controllo di Microsoft 365, vedere:
- Attività di Teams nel log di controllo
- Sposta l'app nelle attività di Teams nel log di controllo
- Aggiornamenti'app nelle attività di Teams nel log di controllo
API Office 365 Management Activity
È possibile usare l'API attività di gestione Office 365 per ottenere informazioni sugli eventi di Teams. Per altre informazioni sullo schema dell'API attività di gestione per Teams, vedere Schema di Teams.
Attribuzione nei log di controllo di Teams
Quando si modifica l'appartenenza a Teams (ad esempio l'aggiunta o l'eliminazione di utenti) tramite Microsoft Entra ID, il portale di amministrazione di Microsoft 365 o Gruppi di Microsoft 365 API Graph, i messaggi di controllo di Teams e il canale Generale mostrano un proprietario esistente del team come iniziatore, non l'iniziatore effettivo dell'azione. In questi scenari, controllare Microsoft Entra ID o i log di controllo del gruppo di Microsoft 365 per visualizzare le informazioni pertinenti.
Usare Defender for Cloud Apps per impostare i criteri attività
Usando l'integrazione Microsoft Defender for Cloud Apps, è possibile impostare criteri di attività per applicare un'ampia gamma di processi automatizzati usando le API del provider di app. Con questi criteri, è possibile monitorare attività specifiche eseguite da vari utenti o seguire tassi inaspettatamente elevati di un determinato tipo di attività.
Dopo aver impostato un criterio di rilevamento attività, inizia a generare avvisi. Gli avvisi si verificano solo per le attività che si verificano dopo la creazione dei criteri. Ecco alcuni scenari di esempio su come usare i criteri attività in Defender for Cloud Apps per monitorare le attività di Teams.
Scenario utente esterno
Dal punto di vista aziendale, è possibile tenere d'occhio l'aggiunta di utenti esterni all'ambiente Teams. Se si abilitano gli utenti esterni, è consigliabile monitorarne la presenza. È possibile usare Defender for Cloud Apps per identificare potenziali minacce.
Lo screenshot di questo criterio per monitorare l'aggiunta di utenti esterni mostra come assegnare un nome ai criteri, impostare la gravità in base alle esigenze aziendali, impostarla come (in questo caso) una singola attività e quindi stabilire i parametri che monitorano in modo specifico solo l'aggiunta di utenti non interni e limitano questa attività a Teams.
È possibile visualizzare i risultati di questo criterio nel log attività:
Qui è possibile esaminare le corrispondenze ai criteri impostati, apportare eventuali modifiche in base alle esigenze o esportare i risultati da usare altrove.
Scenario di eliminazione di massa
Come accennato in precedenza, è possibile monitorare gli scenari di eliminazione. È possibile creare un criterio che monitora l'eliminazione di massa dei siti di Teams. In questo esempio si configurano criteri basati su avvisi per rilevare l'eliminazione di massa dei team entro 30 minuti.
Come illustrato nello screenshot, è possibile impostare molti parametri diversi per questo criterio per monitorare le eliminazioni di Teams, tra cui gravità, azione singola o ripetuta e parametri che lo limitano a Teams e all'eliminazione del sito. È possibile impostare questi parametri indipendentemente da un modello oppure usare un modello, a seconda delle esigenze dell'organizzazione.
Dopo aver creato un criterio che funziona per l'azienda, è possibile esaminare i risultati nel log attività quando vengono attivati gli eventi:
È possibile filtrare in base al criterio impostato per visualizzare i risultati. Se i risultati ottenuti nel log attività non sono soddisfacenti (è possibile che vengano visualizzati molti risultati o che non siano affatto disponibili), è possibile ottimizzare la query per renderla più pertinente a ciò di cui si ha bisogno.
Scenario di avviso e governance
È possibile impostare avvisi e inviare messaggi di posta elettronica agli amministratori e ad altri utenti quando viene attivato un criterio attività. È possibile impostare azioni di governance automatizzate, ad esempio sospendere un utente o richiedere a un utente di eseguire di nuovo l'accesso. Questo esempio mostra come un account utente può essere sospeso quando viene attivato un criterio attività e determina che un utente ha eliminato due o più team in 30 minuti.
Usare Defender for Cloud Apps per impostare i criteri di rilevamento anomalie
I criteri di rilevamento anomalie in Defender for Cloud Apps forniscono analisi del comportamento degli utenti e delle entità (UEBA) e Machine Learning (ML) predefiniti, in modo da poter eseguire immediatamente il rilevamento avanzato delle minacce nell'ambiente cloud. Poiché sono abilitati automaticamente, i nuovi criteri di rilevamento anomalie forniscono risultati immediati fornendo rilevamenti immediati, indirizzando numerose anomalie comportamentali tra gli utenti e i computer e i dispositivi connessi alla rete. Inoltre, i nuovi criteri espongono più dati dal motore di rilevamento Defender for Cloud Apps, per velocizzare il processo di indagine e contenere minacce in corso.
Stiamo lavorando per integrare gli eventi di Teams nei criteri di rilevamento anomalie. Per il momento, è possibile configurare i criteri di rilevamento anomalie per altri prodotti Office e intervenire sugli utenti che corrispondono a tali criteri.