Sådan slår du Microsoft 365 Unified Audit Log til, og tjekker at den faktisk logger det du forventer

Når noget går galt i microsoft 365, er det sjældent selve fejlen, der tager tid. Det er manglen på spor. Hvem gjorde hvad, hvornår, og fra hvor? Det er her Microsoft 365 audit log (Unified Audit Log) gør en reel forskel.

Denne guide viser, hvordan man slår Unified Audit Log til, hvordan man bekræfter status (også via PowerShell), og hvordan man tester, at den faktisk logger de hændelser, man forventer. Det er skrevet til SMV’er, der vil have styr på it-sikkerhed, compliance og incident response uden at gøre det unødigt tungt.

Unified Audit Log samler audit-hændelser fra flere workloads i én søgbar log, typisk via Microsoft Purview-portalen. I praksis handler det om synlighed på tværs af:

• Exchange Online (mailbox- og admin-hændelser)
• SharePoint og OneDrive (filer, deling, sletning, adgang)
• Teams (møder, beskeder, kanalaktivitet, afhænger af politikker og workload)
• Entra ID-relaterede hændelser (fx ændringer og visse sign-in relaterede events, dækning varierer)

Det er vigtigt at få på plads, hvad audit ikke er:

• Audit er ikke backup . Audit fortæller, at noget blev slettet, men den gendanner ikke data.
• Audit erstatter ikke antivirus eller firewall . Det er en log, ikke en kontrol.
• Audit er ikke altid “real-time”. Der kan være forsinkelse i ingestion.

Som udgangspunkt bør Unified Audit Log være en fast del af jeres it-løsninger, på linje med patching, adgangsstyring og it-support.

Microsoft ændrer løbende UI og menupunkter. Navnene nedenfor er de typiske pr. januar 2026, men forvent små variationer.

1. Log ind som Global Admin eller en rolle med audit-rettigheder i Microsoft Purview: compliance.microsoft.com
2. Gå til Solutions og vælg Audit .
3. Hvis audit ikke er aktiv, vises ofte en tydelig besked om at starte logning (fx “Start recording user and admin activity”). Aktivér.
4. Vent. Det er normalt med op til cirka 60 minutter, før de første events dukker op. Logning gælder fra aktiveringstidspunktet og frem, ikke bagud.

Microsofts egen vejledning til aktivering er den mest stabile reference, fordi den opdateres, når menuer flytter sig: slå auditing til eller fra i Purview.

Praktisk note til SMV: Aktivér audit tidligt, også selv om I “ikke har behov endnu”. Når incident response rammer, er det for sent at opdage, at der ikke var logning.

Portalvisning er fin, men PowerShell giver den korte sandhed. Det er især nyttigt, når man vil dokumentere status i en change-log eller en intern kontrol.

• Forbind til Exchange Online PowerShell.
• Kør: Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
• Resultat True betyder, at ingestion er aktiv.
• Resultat False betyder, at I ikke får hændelser ind i Unified Audit Log.

• Kør: Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
• Vent og tjek igen med “Get”-kommandoen.

Når man leverer it-support til flere kunder (klassisk MSP-scenarie), er det her et godt “baseline check” at køre ved onboarding. Hos NETDK (århus, lystrup) indgår det typisk i en standard pakke for it-sikkerhed, fordi det giver sporbarhed på tværs af brugere og administratorer.

Unified Audit Log virker kun, hvis de rigtige personer kan tilgå den, og hvis man ved, hvad man forventer at se.

Roller og mindst-privilegium
Giv ikke Global Admin til alle, bare fordi audit skal tjekkes. Brug de relevante Purview-roller (fx audit view-only), og begræns adgangen til få personer.

Workloads og “huller”
Nogle hændelser ligger både i Purview Audit og i de enkelte admin-porte (fx Entra). Entra ID har egne audit logs og sign-in logs, som ofte er mere detaljerede til identitetshændelser. Unified Audit Log er stadig vigtig, fordi den samler på tværs af workloads, men brug Entra som supplement, når sagen handler om identitet.

Retention og drift
Retention afhænger af licens og konfiguration. Typisk ser man kortere standard retention i SMV-miljøer end man ville ønske. Planlæg derfor eksport til arkiv eller SIEM, hvis logning skal bruges ved revision, kundekrav eller længere undersøgelser. Microsofts overblik og startpunkt for audit-funktionerne er her: kom godt i gang med auditing.

Test er den del, mange springer over. Men audit uden verificering svarer til en alarm, man aldrig prøver. Brug Purview Audit-søgning som primær metode, og noter at ingestion kan være forsinket.

Søg i portalen efter hændelser via: sådan søger du i audit log. Vælg en snæver tidsperiode (fx sidste 1-2 timer) og filtrér på testbrugeren.

Her er 7 testhændelser, der er nemme at udføre og gode til at bekræfte dækning:

1. Brugerlogin (Entra ID sign-in)
   Udfør et login på portal.office.com med en testbruger.
   I audit: filtrér på brugeren, og vælg relevante sign-in aktiviteter, hvis de vises. Hvis de ikke dukker op, verificér også i Entra sign-in logs (det kan være mere pålideligt til sign-in detaljer).

2. MFA challenge (til/fra eller step-up)
   Udfør et login, der udløser MFA (ny browser eller inkognito).
   I audit: se efter sign-in relaterede events for samme tidspunkt. Vær realistisk: MFA-detaljer kan fremgå bedre i Entra end i Unified Audit Log, afhængigt af tenant og opsætning.

3. Mailbox access (læse eller åbne mail)
   Log ind i Outlook på web, åbn et par mails.
   I audit: filtrér på Exchange workload og vælg mailbox access-aktiviteter (operation-navne varierer, brug aktivitetsvælgeren frem for at gætte). Dette er ofte det, man skal bruge ved mistanke om kompromitteret konto.

4. SharePoint/OneDrive filhændelse (upload og download)
   Upload en fil til OneDrive, og download den igen.
   I audit: filtrér på SharePoint/OneDrive workload og vælg file access-aktiviteter (fx “FileAccessed” eller tilsvarende, afhængigt af listen).

5. Deling med link (opret og fjern link)
   Opret et delingslink til filen, og fjern det igen.
   I audit: søg på delingsrelaterede aktiviteter i samme tidsrum. Det er en klassiker i data leakage-sager.

6. Teams besked redigér/slet
   Post en besked i en testkanal, redigér den, og slet den.
   I audit: filtrér på Teams workload og vælg message events. Microsoft har en dedikeret oversigt, som gør det nemmere at vælge de rigtige aktiviteter: Teams audit log events i Purview.

7. Admin ændring: tildel rolle eller ændr indstilling
   Tildel en testrolle til en bruger (brug en lavrisiko rolle i test).
   I audit: filtrér på administrative aktiviteter og look for role assignment eller directory change events. Notér også “who did it” feltet, det er ofte nøglen i incident response.

Hvis I er i tvivl om, hvilke aktivitetstyper der findes, så brug Microsofts officielle oversigt som facitliste: oversigt over audit log activities.

• Aktivér audit i Purview (Solutions, Audit).
• Kør PowerShell check: Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
• Udfør test 1-3 (login, fil, Teams).
• Vent 60 minutter.
• Søg i Purview Audit på testbrugeren og tidsintervallet.
• Gem resultater (CSV) som dokumentation.

De samme fejl går igen i SMV-miljøer:

• Rettigheder : Admin-kontoen mangler audit-roller, eller er ikke i den rigtige Purview role group.
• Audit er ikke aktiveret : UnifiedAuditLogIngestionEnabled står stadig som False .
• Ingestion delay : vent længere, og test igen (nogle workloads tager længere tid).
• Filter-fejl : for bredt tidsrum giver støj; for smalt tidsrum kan misse events. Start med 1-2 timer og præcis bruger.
• Forkert workload : Teams-hændelser findes ikke under Exchange, og omvendt.
• Retention : ældre hændelser er væk. Planlæg eksport eller SIEM, hvis I skal tilbage i tid.
• Test med forkert konto : brug en dedikeret testbruger, så søgning er ren.

Unified Audit Log er mest værd, når det bliver drift, ikke projekt.

Roller og ansvar
Udpeg 1-2 ansvarlige (IT-ansvarlig og en backup). Brug mindst-privilegium. Sørg for, at ændringer i Entra ID og Purview er sporbare og godkendt.

Retention og eksport
Hvis jeres krav er længere end standard retention, så planlæg eksport. Mange SMV’er ender med at skulle bevise hændelser ved kundekrav, forsikring eller compliance.

SIEM og alarmer
Send relevante audit-hændelser videre til et SIEM (fx Microsoft Sentinel) eller et log-arkiv, så I kan korrelere på tværs af systemer. Lav alerts på højrisiko hændelser (rolleændringer, masse-sletninger, usædvanlig deling).

Audit som del af it-sikkerhed-pakken
Audit står stærkere sammen med resten: endpoint antivirus , perimeter firewall , og testet backup . De tre stopper og gendanner. Audit forklarer, hvad der skete.

Hos NETDK bliver audit typisk sat op sammen med andre it-løsninger, så it-support ikke kun handler om at “fikse”, men også om at kunne dokumentere og afgrænse hændelser.

Unified Audit Log er ikke pynt. Det er jeres hændelseshistorik, når der skal svares hurtigt og sikkert. Slå det til, bekræft status med PowerShell, og kør faste testhændelser, så I ved, hvad der faktisk logges. Når først en sag rammer, er Microsoft 365 audit log forskellen på gæt og viden.