Gestire i criteri di conservazione dei log di controllo
È possibile creare e gestire i criteri di conservazione dei log di controllo nel portale di Microsoft Purview o nel portale di conformità di Microsoft Purview. I criteri di conservazione dei log di audit fanno parte delle nuove funzionalità di Microsoft Purview Audit (Premium). Un criterio di conservazione dei log di controllo consente di specificare quanto a lungo conservare i log di controllo nell'organizzazione. È possibile conservare i log di controllo per un massimo di 10 anni. È possibile creare criteri in base ai criteri seguenti:
- Tutte le attività in uno o più servizi Microsoft
- Attività specifiche in un servizio Microsoft eseguite da tutti gli utenti o da utenti specifici
- Un livello di priorità che specifica quale criterio ha la precedenza se sono presenti più criteri nell'organizzazione
Suggerimento
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione del portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Audit (Premium) in Microsoft Purview fornisce un criterio di conservazione del log di controllo predefinito per tutte le organizzazioni. Questo criterio non può essere modificato e conserva tutti i record di controllo di Exchange Online, SharePoint, OneDrive e Microsoft Entra per un anno. Questo criterio predefinito mantiene i record di controllo che contengono il valore di AzureActiveDirectory, Exchange, OneDrive e SharePoint per la proprietà Workload ,ovvero il servizio in cui si è verificata l'attività. Carichi di lavoro e tipi di record specifici possono essere modificati in una durata diversa usando criteri di conservazione. Vedere la sezione Tipi di record dei criteri di conservazione predefiniti in questo articolo per un elenco dei tipi di record per ogni carico di lavoro incluso nei criteri predefiniti.
Nota
Il criterio di conservazione dei log di controllo predefinito si applica solo ai record di controllo per le attività eseguite dagli utenti a cui è assegnata una licenza di Office 365 o Microsoft 365 E5 o che hanno una licenza per il componente aggiuntivo Microsoft 365 E5 Compliance o Microsoft 365 E5 eDiscovery and Audit. Se nell'organizzazione sono presenti utenti non E5 o utenti guest, i record di controllo corrispondenti vengono conservati per 180 giorni.
Importante
Il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 giorni a 180 giorni. I log di controllo (standard) generati prima del 17 ottobre 2023 vengono conservati per 90 giorni. I log di controllo (standard) generati il 17 ottobre 2023 o successivi seguono la nuova conservazione predefinita di 180 giorni.
È necessario assegnare il ruolo Configurazione organizzazione nel portale di Microsoft Purview o nel portale di conformità per creare o modificare un criterio di conservazione del controllo.
Un'organizzazione può avere un massimo di 50 criteri di conservazione dei log di controllo.
Per conservare un log di controllo per più di 180 giorni (e fino a 1 anno), all'utente che genera il log di controllo (eseguendo un'attività verificata) deve essere assegnata una licenza di Office 365 E5 o Microsoft 365 E5 o avere una licenza del componente aggiuntivo Microsoft 365 E5 Compliance o E5 eDiscovery and Audit. Per conservare i log di controllo per 10 anni, all'utente che genera il log di controllo deve anche essere assegnata una licenza per il componente aggiuntivo di conservazione dei log di controllo di 10 anni oltre a una licenza E5.
Nota
Se l'utente che genera il log di controllo non soddisfa questi requisiti di licenza, i dati vengono conservati in base ai criteri di conservazione con priorità più alta. Questo può essere il criterio di conservazione predefinito per la licenza dell'utente o il criterio con priorità più alta corrispondente all'utente e al relativo tipo di record.
Tutti i criteri di conservazione dei log di controllo personalizzati (creati dall'organizzazione) hanno priorità rispetto al criterio di conservazione predefinito. Se ad esempio si crea un criterio di conservazione dei log di controllo per l'attività delle cassette postali di Exchange con un periodo di conservazione più breve di un anno, i record di controllo delle attività delle cassette postali di Exchange verranno conservati per la durata più breve specificata dal criterio personalizzato.
La durata dell'elemento di controllo per i dati viene determinata quando viene aggiunta alla pipeline di controllo e si basa sulle impostazioni predefinite delle licenze o sui criteri di conservazione applicabili. Eventuali modifiche alle licenze o ai criteri di conservazione applicabili modificano l'ora di scadenza dei dati di controllo dopo l'aggiornamento. Queste modifiche non aggiornano gli elementi di cui è stato eseguito il commit in precedenza.
Selezionare la scheda appropriata per il portale in uso. Per altre informazioni sul portale di Microsoft Purview, vedere Portale di Microsoft Purview. Per altre informazioni sul portale di conformità, vedere Portale di conformità di Microsoft Purview.
Completare la procedura seguente per creare un criterio di conservazione del controllo:
Accedere al portale di Microsoft Purview con un account utente a cui è assegnato il ruolo Configurazione organizzazione nella pagina Autorizzazioni del portale di conformità.
Selezionare la scheda Controlla soluzione. Se la scheda Controlla soluzione non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Controlla nella sezione Core .
Selezionare Crea criteri di conservazione del controllo e quindi completare i campi seguenti nella pagina a comparsa:
Nome del criterio: il nome del criterio di conservazione dei log di controllo. Questo nome deve essere univoco nell'organizzazione e non può essere modificato dopo la creazione dei criteri.
Descrizione: facoltativo, ma è utile per fornire informazioni sul criterio, ad esempio il tipo di record o carico di lavoro, gli utenti specificati nel criterio e la durata.
Utenti: selezionare uno o più utenti ai quali applicare il criterio. Se si lascia vuota questa casella, il criterio si applica a tutti gli utenti. Se si lascia vuoto il campo Tipo di record, è necessario selezionare un utente.
Tipo di record: il tipo di record di controllo a cui si applica il criterio. Se si lascia vuota questa proprietà, è necessario selezionare un utente nella casella Utenti. È possibile selezionare un tipo di record singolo o più tipi di record:
- Se si seleziona un solo tipo di record, il campo Attività viene visualizzato dinamicamente. Si può usare l'elenco a discesa per selezionare le attività del tipo di record selezionato a cui applicare il criterio. Se non si scelgono attività specifiche, il criterio si applica a tutte le attività del tipo di record selezionato.
- Se si selezionano più tipi di record, non è possibile selezionare le attività. I criteri si applicano a tutte le attività dei tipi di record selezionati.
Durata: la quantità di tempo per cui conservare i log di audit che soddisfano i criteri del criterio. Le opzioni disponibili sono 7 giorni, 30 giorni, 6 mesi, 9 mesi, 1 anno, 3 anni (anteprima),5 anni (anteprima) e 7 anni (anteprima). Gli utenti con la licenza del componente aggiuntivo Conservazione log di controllo di 10 anni possono selezionare un'opzione 10 anni .
Importante
Per conservare i log di controllo per le opzioni di durata di 7 e 30 giorni, è necessario avere una sottoscrizione a Microsoft 365 Enterprise E5. Per conservare i log di controllo per le opzioni di durata di 3 (anteprima), 5 (anteprima) e 7 (anteprima), è necessario essere assegnati a una licenza del componente aggiuntivo Conservazione log di controllo di 10 anni oltre alla sottoscrizione di Microsoft 365 Enterprise E5. Per altre informazioni sulle sottoscrizioni e sui componenti aggiuntivi di controllo, vedere Soluzioni di controllo in Microsoft Purview
Priorità: questo valore determina l'ordine con cui vengono elaborati i criteri di conservazione dei log di controllo nell'organizzazione. Un valore più basso indica una priorità più alta. Le priorità valide sono valori numerici compresi tra 1 e 10000. Il valore 1 ha la priorità più alta e il valore 10000 ha quella più bassa. Ad esempio, un criterio con un valore 5 avrà la priorità su un criterio con un valore 10. Qualsiasi criterio di conservazione dei log di controllo personalizzato ha la priorità sui criteri predefiniti per l'organizzazione.
Selezionare Salvaper creare il nuovo criterio di conservazione dei log di controllo.
Il nuovo criterio viene visualizzato nell'elenco nella pagina Criteri .
I criteri di conservazione dei log di controllo sono elencati nella scheda Criteri di conservazione dei log di controllo, denominata anche dashboard. È possibile usare il dashboard per visualizzare, modificare ed eliminare i criteri di conservazione dei log di controllo.
I criteri di conservazione dei log di controllo sono elencati nel dashboard. Uno dei vantaggi della visualizzazione dei criteri nel dashboard è che è possibile selezionare la colonna Priorità per elencare i criteri in base alla priorità con cui vengono applicati. Come spiegato in precedenza, un valore più basso indica una priorità più elevata.
È anche possibile selezionare un criterio per visualizzarne le impostazioni nel riquadro a comparsa.
Nota
I criteri di conservazione predefiniti dei log di controllo per l'organizzazione non vengono visualizzati nel dashboard.
Per modificare un criterio, selezionarlo in modo da visualizzare il riquadro a comparsa. È possibile modificare una o più impostazioni poi salvare le modifiche.
Importante
Se si usa il cmdlet New-UnifiedAuditLogRetentionPolicy, è possibile creare un criterio di conservazione dei log di controllo per i tipi di record o le attività non disponibili nello strumento Crea criteri di conservazione dei log di controllo del dashboard. In questo caso, non sarà possibile modificare il criterio, ad esempio modificare la durata di conservazione o aggiungere e rimuovere attività, dal dashboard Criteri di conservazione dei log di controllo. Nel portale di conformità Microsoft Purview si potrà solo visualizzare ed eliminare il criterio. Per modificare i criteri, è necessario usare il cmdlet Set-UnifiedAuditLogRetentionPolicy in PowerShell sicurezza & conformità.>
Suggerimento: nella parte superiore del riquadro a comparsa viene visualizzato un messaggio per i criteri che devono essere modificati tramite PowerShell.
Per eliminare un criterio, selezionare l'icona Elimina e quindi confermare che si vuole eliminare il criterio. I criteri vengono rimossi dal dashboard, ma potrebbero essere necessari fino a 30 minuti prima che il criterio venga rimosso dall'organizzazione.
Per creare e gestire i criteri di conservazione dei log di controllo è possibile anche usare PowerShell per Sicurezza e conformità. Uno dei motivi per cui usare PowerShell è la possibilità di creare un criterio per un tipo di record o un'attività non disponibile nell'interfaccia utente.
Seguire questa procedura per creare criteri di conservazione del log di controllo in PowerShell:
Eseguire il comando seguente per creare un criterio di conservazione dei log di audit:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
In questo esempio viene creato un criterio di conservazione dei log di controllo denominato "Microsoft Teams Audit Policy" con queste impostazioni:
- Una descrizione del criterio.
- Conserva tutte le attività di Microsoft Teams (come definito dal parametro RecordType).
- Conserva i log di controllo di Microsoft Teams per 10 anni.
- Una priorità di 100.
Ecco un altro esempio relativo alla creazione di un criterio di conservazione dei log di controllo. Questo criterio mantiene i log di controllo per l'attività "Utente connesso" per sei mesi per l'utente admin@contoso.onmicrosoft.com.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Per altre informazioni, vedere New-UnifiedAuditLogRetentionPolicy.
Usare il cmdlet Get-UnifiedAuditLogRetentionPolicy in PowerShell per Sicurezza e conformità per visualizzare i criteri di conservazione dei log di controllo.
Ecco un comando di esempio per visualizzare le impostazioni di tutti i criteri di conservazione dei log di controllo nell'organizzazione. Questo comando ordina i criteri dalla priorità più alta a quella più bassa.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Nota
Il cmdlet Get-UnifiedAuditLogRetentionPolicy non restituisce il criterio di conservazione dei log di controllo predefinito per l'organizzazione.
Usare il cmdlet Set-UnifiedAuditLogRetentionPolicy in PowerShell per Sicurezza e conformità per modificare un criterio di conservazione dei log di controllo esistente.
Usare il cmdlet Remove-UnifiedAuditLogRetentionPolicy in PowerShell per Sicurezza e conformità per eliminare un criterio di conservazione dei log di controllo. La rimozione dei criteri dall'organizzazione può richiedere fino a 30 minuti.
I record di controllo per le operazioni in Microsoft Entra ID, Exchange Online, SharePoint e OneDrive vengono conservati per un anno per impostazione predefinita. Ciò significa che i log di controllo per qualsiasi operazione con questo carico di lavoro vengono conservati per un anno, a meno che un criterio di conservazione del log di controllo personalizzato abbia la precedenza per un tipo di record, un'operazione o un utente specifico.