警报配置文件

本文档将引导您完成以下步骤，

• 创建警报配置文件
• 查看警报配置文件
• 修改警报配置文件
• 删除警报
• 配置警报保留期限

添加新警报配置文件

1. 转到 设置 选项卡。
2. 选择 配置 → 审计配置 → 警报配置文件 在左侧窗格中。
3. 点击 添加配置文件.
4. 在配置文件配置页面，
• 提供 配置文件名称，以及一个 描述 来描述该警报配置文件。
• 从相应的下拉列表中选择 Microsoft 365 服务 和 类别 。
• 选择必须进行审计的活动，可以选择多个操作。
• 选择配置文件的 严重性 级别。
• 提供一个 警报消息 ，该消息将在产品中显示。
• 点击 高级配置 以配置电子邮件通知和筛选条件。
• 在 通知选项卡中，选择 针对该配置文件的所有警报均发送电子邮件选项，并选择将要使用的 通知模板 。
• 在 筛选条件 选项卡，选择 警报阈值，并指定触发警报的最小事件数及这些事件应发生的时间间隔。您还可以按国家、状态和操作等属性对事件进行分组。
例如，若要在用户在三分钟内连续五次登录失败时接收警报，输入应为：
• 事件数量： 5
• 时间（分钟）： 3
• 分组依据： 用户
• 在 筛选条件 选项卡，选择 工作时间 选项，以选择警报是否仅在工作时间或非工作时间内触发。如果尚未在工具中配置工作时间，系统会提示您先进行配置。 点击此处 了解如何配置您的工作时间。
• 从相应的下拉列表中选择 筛选 选项，用于设置基于属性的条件，以筛选审计日志。使用 + 选项添加多个条件。
• 点击 添加.
• 现在，您将进入 配置配置文件 页面，可以在表中看到您创建的警报配置文件以及其他配置文件。点击警报配置文件以查看其详细信息。

查看现有配置文件

• 转到 设置 选项卡。
• 选择 配置 → 审计配置 → 警报配置文件 在左侧窗格中。
• 点击 搜索 图标，如果您正在寻找特定警报。
• 您可以查看特定的 Microsoft 365 服务 或/和 类别 通过点击相应的选项卡
• 您还可以通过表格右上角的 启用/禁用 选项查看警报。 筛选

修改现有配置文件

• 转到 设置 选项卡。
• 选择 配置 → 审计配置 → 警报配置文件 在左侧窗格中。
• 选择对应您想要修改的警报的复选框。您可以选择多个警报。
• 选择 管理 下拉菜单，位于表格左角。
• 点击 启用 图标，位于 操作 列，如果您想启用已禁用的警报。
• 点击 禁用 位于 操作 列，如果您想禁用已启用的警报。
• 点击 编辑 位于 操作 列，用于修改现有警报。

删除现有配置文件

• 转到 设置 选项卡。
• 选择 配置 → 审计配置 → 警报配置文件 在左侧窗格中。
• 点击 删除，如果您想删除现有配置文件。您可以通过选择多个配置文件执行批量操作。
• 点击 警报设置 用于删除您指定天数之前的警报。

配置警报保留期限

您需要配置警报消息的保留天数，以更好地管理磁盘空间。配置后，超过保留期限的警报消息将自动删除。

• 转到 设置 选项卡。
• 选择 配置 → 审计配置 → 警报配置文件 左侧窗格中的选项。
• 在显示的页面中，选择位于右上角的 警报设置 选项。
• 从相应的下拉列表中选择 删除早于 复选框，并在文本框中输入警报消息的保留天数。

目标对象

这些是可以执行邮箱登录、删除、修改等事件的对象，进一步分为用户和组。目标用户包括所有 Azure Active Directory 用户帐户。目标组为 Active Directory 组。

目标调用者

这些是对目标对象执行邮箱登录、删除、创建等操作的对象。

同样分为用户和组。目标用户包括所有 Azure Active Directory 用户帐户。目标组为 Active Directory 组。

报告生成

当您需要生成报告时，可以选择相应的用户和组，生成累积报告。对于目标组，报告仅针对当前组成员生成。

例如，假设邮箱“A”已委派给用户“X”和“Y”。如果您要创建报告邮箱“A”非所有者访问的配置文件，目标对象为邮箱 A，目标调用者为用户 X 和 Y。