Microsoft biedt in Office 365 voortdurend nieuwe applicaties en functionaliteiten. Anders dan bij server gebaseerde software is er geen driejaars cyclus met releases, maar komt de verandering dagelijks. Ook verdwijnen apps en functionaliteiten, of gaan ze op in andere. Soms worden dit soort wijzigingen groots aangekondigd (Skype>Teams) maar soms is er ook ergernis dat veranderingen niet of nauwelijks onder de aandacht zijn gebracht door Microsoft. Zelf had ik ook zo’n moment toen ik een actuele vergelijking wilde maken van audit functionaliteit in SharePoint Online en Office 365. In april van dit jaar had ik nog een blog geschreven over het onderwerp. Maar SharePoint Online audit logs – in de NL versie bekend als Controle instellingen voor de site verzameling – is niet meer. Daarom hier mijn bijgewerkte blog.
Audit, audit trail of audit logboek is een functionaliteit waarmee gebruikers- en systeemhandelingen kunnen worden vastgelegd voor latere referentie of verantwoording. Het was en is een eis voor compliant recordsmanagement. In server gebaseerde document management systemen was een audit functionaliteit al standaard aanwezig. Vaak werd de functie uitgeschakeld door beheerders, omdat het een te grote impact had op de performance: het is allemaal mooi, die compliance, maar het moet de werkzaamheden niet teveel gaan verstoren. Ook in SharePoint on premise bestond de functie al sinds 2007, in de Nederlandse versie onder de onmogelijke naam Controle instellingen voor de siteverzameling. Deze moest bewust aangeschakeld worden voor een sitecollectie en geconfigureerd met keuze uit te bewaren handelingen plus de periodieke opslag van het logboek (in Excel formaat). Een discussie over het al dan niet vastleggen van zoekgedrag van medewerkers kon het gevolg zijn.
In SharePoint on premise is deze functie nog steeds te vinden. In SharePoint Online is de functie inmiddels uitgeschakeld door Microsoft en wordt de gebruiker doorverwezen naar auditing in het Beveiliging- en Compliance Center. Overigens blijven reeds eerder ingestelde audit logs in SharePoint Online gewoon functioneren.
Office 365 gaat met auditing heel anders om dan SharePoint. Inmiddels is het default ingeschakeld, logt het meer dan honderd specifieke gebruikers-en systeemhandelingen, bestrijkt het de gehele tenant – niet alleen SharePoint – en wordt de log afhankelijk van abonnement en export korter of langer bewaard. Dat roept nieuwe vragen op.
Microsoft is bezig het inschakelen van audit logging de default instelling te maken voor alle tenants (per 24 nov.: “We’re in the process of turning on auditing by default. Until then, you can turn it on as previously described.”). Is dat (nog) niet het geval dan is de instelling te vinden in het Beveiliging- en compliance Center>Zoeken en onderzoeken>Zoeken naar activiteiten van gebruikers en beheerders.
Office 365 logt op dit moment typen handelingen voor de volgende onderdelen van Office 365:
- Gebruikersactiviteiten in SharePoint Online en OneDrive for Business
- Gebruikersactiviteiten in Exchange Online (Exchange mailbox audit logging)
- Beheeractiviteiten in SharePoint Online
- Beheeractiviteiten in Azure Active Directory
- Beheeractiviteiten in Exchange Online (Exchange admin audit logging)
- Gebruikers- en beheeractiviteiten in Sway
- Gebruikers- en beheeractiviteiten in Power BI
- Gebruikers- en beheeractiviteiten in Microsoft Teams
- Gebruikers- en beheeractiviteiten in Dynamics 365
- Gebruikers- en beheeractiviteiten in Yammer
- Gebruikers- en beheeractiviteiten in Microsoft Flow
- Gebruikers- en beheeractiviteiten in Microsoft Stream
- Gebruikers- en beheeractiviteiten in Microsoft PowerApps
- eDiscovery activiteiten in het Beveiligings- en Compliance center
- Analyticus- en beheeractiviteiten in Microsoft Workplace Analytics
Dat betekent dus dat logging óók plaats vindt van handelingen in de OneDrive van medewerkers. En dat logging ook plaats vindt in Exchange Online. Het laatste is sinds januari dit jaar ook by default zo ingesteld. Let op dat dan ook gebruikershandelingen als HardDelete, Softdelete en MoveToDeletedItems worden gelogd. Waarmee bewuste verwijderacties (verwijderen uit deleted items bijvoorbeeld) kunnen worden onderscheiden van een ongelukje. Deze instellingen kunnen eventueel door een admin aangepast of uitgezet.
Office 365 audit logs worden voor handelingen van gebruikers met een E3 abonnement drie maanden bewaard. Van gebruikers met een E5 abonnement (en E3 met advance Compliance add-on abo) een jaar, althans Microsoft lijkt ook wel een slag om de arm te houden als het stelt “Retaining audit records for one year may eventually be available (mijn curs., EB) for E5 users and users with an E3 license and an Office 365 Advanced Compliance add-on license.”
De logs kunnen gefilterd worden voor raadpleging. Ze kunnen geraadpleegd in een zoekscherm met filter en export functionaliteit. Ze kunnen ook naar Excel geëxporteerd. Het laatste handmatig of eventueel te automatiseren via Office 365 Management Activity API, een REST webservice.
Het verschil tussen de audit logboek functie in Office 365 en de audit trail functie in SharePoint on premise (!) is dus groot. In SharePoint on premise (en reeds bestaande logs in Online!) is de audit log:
- Alleen voor SharePoint
- Bewust aanschakelen audit trail functionaliteit: Controle instellingen voor de siteverzameling
- Instellen per site-collectie
- Logboek in Excel
- Instellen lengte en opslaglocatie van logboek
- Beperkt aantal handelingen
- Alleen weergave item-ID ipv bestandsnamen
De meeste activiteiten in Office 365 worden na 30 minuten weergegeven in het audit logboek, uitgezonderd zijn Azure Active Directory, Sway en Yammer (na 24 uur). Opmerkelijk is dat de Power BI pagina van Microsoft de auditlogs van Power BI uitzondert, door handmatige aanschakeling en opname na 48 uur in de log. Terwijl deze pagina met overzicht van auditing het vinkje zet bij 30 minuten.
Een enorme vooruitgang is de Office 365 audit log ten opzichte van SharePoint. Niet alleen worden veel meer handelingen nu automatisch gelogd, ook worden andere Office 365 functies – anders dan alleen handelingen in geselecteerde SharePoint sitecollecties – hiermee onder het regime van logging gebracht. Een prettige verandering is de weergave van bestandsnamen, in plaats van documentID’s. Natuurlijk zouden we nu alle andere ID’s in de log (bijvoorbeeld voor search query) ook willen zien verdwijnen. Een ding is nog de bewaring van de logs (wel technisch mogelijk, maar nog niet by default) langer dan 90 dagen of een jaar.
Ik kan me voorstellen dat de Controle instellingen voor de siteverzameling in SharePoint on premise wel een praktische aanvulling zouden kunnen zijn in een scenario met een recordcenter, aangezien deze dan is toegespitst op alleen die site-collectie, is in te stellen naar wens van de recordsmanager, voortdurend wordt afgeroomd naar Excel en op een zelf gekozen locatie in het recordcenter bewaard kan blijven voor een zelf gekozen duur. Daarvoor bestaat dan weer wel aanvullende software. Maar goed, het is dus niet langer standaard in SharePoint Online. En bovendien is Microsoft zelf inmiddels geen voorstander meer van gebruik van het recordcenter in SharePoint, in verband met de ‘label’- functionaliteit in Office 365.
En de discussie wie deze logs mag inzien en gebruiken vergt een nieuw en tijdig gesprek over Office 365 governance en wie daardoor toegang zal moeten krijgen tot de Office 365 beheeromgeving(-en).