Gerenciar políticas de retenção de log de auditoria

Pode criar e gerir políticas de retenção de registos de auditoria no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview. As políticas de retenção de log de auditoria fazem parte dos novos recursos de Auditoria do Microsoft Purview (Premium). Uma política de retenção de log de auditoria permite especificar por quanto tempo reter os logs de auditoria em sua organização. Você pode manter os logs de auditoria por até dez anos. Você pode criar políticas com base nos critérios a seguir:

  • Todas as atividades num ou mais serviços Microsoft
  • Atividades específicas num serviço Microsoft realizadas por todos os utilizadores ou por utilizadores específicos
  • Um nível de prioridade que especifica qual política tem precedência se você tiver várias políticas em sua organização

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Política de retenção de log de auditoria padrão

A auditoria (Premium) no Microsoft Purview fornece uma política de retenção de registo de auditoria predefinida para todas as organizações. Esta política não pode ser modificada e retém todos os registos de auditoria do Exchange Online, SharePoint, OneDrive e Microsoft Entra durante um ano. Esta política predefinida retém registos de auditoria que contêm o valor de AzureActiveDirectory, Exchange, OneDrive e SharePoint para a propriedade Carga de Trabalho (que é o serviço em que a atividade ocorreu). As cargas de trabalho e os tipos de registo específicos podem ser alterados para uma duração diferente através de uma política de retenção. Veja a secção Tipos de registo de política de retenção predefinidos neste artigo para obter uma lista dos tipos de registo para cada carga de trabalho incluída na política predefinida.

Observação

A política de retenção do log de auditoria padrão aplica-se somente a registros de auditoria para atividades executadas por usuários que receberam uma licença do Office 365 ou Microsoft 365 E5 ou têm uma licença complementar do Microsoft 365 E5 Compliance ou E5 Descoberta Eletrônica e licença complementar de Auditoria. Se tiver utilizadores não E5 ou utilizadores convidados na sua organização, os registos de auditoria correspondentes serão retidos durante 180 dias.

Importante

O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.

Antes de você criar uma política de retenção de log de auditoria

  • Tem de lhe ser atribuída a função Configuração da Organização no portal do Microsoft Purview ou no portal de conformidade para criar ou modificar uma política de retenção de auditoria.

  • Você pode ter até 50 políticas de retenção de log de auditoria em sua organização.

  • Para manter um registo de auditoria durante mais de 180 dias (e até 1 ano), o utilizador que gera o registo de auditoria (ao efetuar uma atividade auditada) tem de ter atribuída uma licença do Office 365 E5 ou do Microsoft 365 E5 ou ter uma licença de Suplemento Deteção de Dados Eletrónicos ou Auditoria do Microsoft 365 E5. Para reter logs de auditoria por 10 anos, o usuário que gera o log de auditoria também deve receber uma licença complementar de retenção de log de auditoria de 10 anos, além de uma licença E5.

    Observação

    Se o utilizador que está a gerar o registo de auditoria não cumprir estes requisitos de licenciamento, os dados são mantidos de acordo com a política de retenção de prioridade mais alta. Esta pode ser a política de retenção predefinida para a licença do utilizador ou a política de prioridade mais alta que corresponde ao utilizador e ao respetivo tipo de registo.

  • Todas as políticas de retenção de log de auditoria personalizadas (criadas por sua organização) têm prioridade sobre a política de retenção padrão. Por exemplo, se você criar uma política de retenção de log de auditoria para a atividade de caixa de correio do Exchange que tenha um período de retenção menor que um ano, os registros de auditoria para as atividades de caixa de correio serão mantidos por um período menor especificado pela política personalizada.

  • A duração do item de auditoria dos dados é determinada quando são adicionados ao pipeline de auditoria e baseiam-se nas predefinições de licenciamento ou nas políticas de retenção aplicáveis. Quaisquer alterações às políticas de licenciamento ou retenção aplicáveis alteram o tempo de expiração dos dados de auditoria após a atualização. Estas alterações não atualizam itens consolidados anteriormente.

Criar uma política de retenção de log de auditoria

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, veja Portal de conformidade do Microsoft Purview.

Conclua os seguintes passos para criar uma política de retenção de auditoria:

  1. Inicie sessão no portal do Microsoft Purview com uma conta de utilizador que tenha atribuída a função Configuração da Organização na página Permissões no portal de conformidade.

  2. Selecione o cartão Solução de auditoria. Se o cartão Solução de auditoria não for apresentado, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo .

  3. Selecione Criar política de retenção de auditoria e, em seguida, preencha os seguintes campos na página de lista de opções:

    Nova página de submenu da política de retenção de auditoria.

    • Nome da política: O nome da política de retenção do log de auditoria. Este nome tem de ser exclusivo na sua organização e não pode ser alterado após a criação da política.

    • Descrição: opcional, mas útil para fornecer informações sobre a política, como o tipo de registro ou a carga de trabalho, os usuários especificados na política e a duração.

    • Usuários: selecione um ou mais usuários aos quais aplicar a política. Se deixar esta caixa em branco, a política aplica-se a todos os utilizadores. Se você deixar os Tipos de registro em branco, você deve selecionar um usuário.

    • Tipos de registro: O tipo de registro de auditoria ao qual a política se aplica. Além disso, se você deixar essa propriedade em branco, deve selecionar um usuário na caixa Usuários. Você pode selecionar um único tipo de registro ou vários tipos de registro:

      • Se você selecionar um único tipo de registro, o campo Atividades será exibido dinamicamente. Você pode usar a lista suspensa para selecionar atividades do tipo de registro selecionado para a qual aplicar a política. Se não escolher atividades específicas, a política aplica-se a todas as atividades do tipo de registo selecionado.
      • Se você selecionar vários tipos de registro, não será possível selecionar atividades. A política aplica-se a todas as atividades dos tipos de registo selecionados.
    • Duração: O tempo necessário para manter os logs de auditoria que atendam aos critérios da política. As opções disponíveis são 7 Dias, 30 Dias, 6 Meses, 9 Meses, 1 Ano, 3 Anos (pré-visualização),5 Anos (pré-visualização) e 7 Anos (pré-visualização). Os utilizadores com a licença de suplemento Retenção do Registo de Auditoria de 10 anos podem selecionar uma opção de 10 Anos .

      Importante

      Para manter os registos de auditoria para as opções de duração de 7 e 30 dias, tem de ter uma subscrição do Microsoft 365 Enterprise E5. Para manter os registos de auditoria das opções de duração de 3 (pré-visualização), 5 (pré-visualização) e 7 (pré-visualização), tem de ser atribuído a uma licença de retenção de registo de auditoria de 10 anos para além da sua subscrição do Microsoft 365 Enterprise E5. Para obter mais informações sobre Subscrições de auditoria e suplementos, veja Soluções de auditoria no Microsoft Purview

    • Prioridade: esse valor determinar a ordem na qual as políticas de retenção de log de auditoria são processadas na sua organização. Um valor mais baixo indica uma prioridade mais alta. As prioridades válidas são valores numéricos entre 1 e 10.000. Um valor de 1 é a prioridade mais alta e um valor de 10000 é a prioridade mais baixa. Por exemplo, uma política com valor 5 tem prioridade sobre uma política com valor 10. Qualquer política de retenção de registo de auditoria personalizada tem prioridade sobre a política predefinida para a sua organização.

  4. Clique em Salvar para criar a nova política de retenção.

A nova política é apresentada na lista na página Políticas .

Gerenciar políticas de retenção de log de auditoria no portal de conformidade

As políticas de retenção de log de auditoria estão listadas na guia Políticas de retenção de Auditoria (também chamado de painel). Você pode usar o painel para exibir, editar e excluir políticas de retenção de auditoria.

Exibir políticas no painel

As políticas de retenção de log de Auditoria são listadas no painel. Uma vantagem de visualizar as políticas no painel é que você pode clicar na coluna Prioridade para listar as políticas na prioridade em que são aplicadas. Conforme explicado anteriormente, um valor mais baixo indica uma prioridade mais alta.

Coluna de prioridade no painel de políticas de retenção de Auditoria.

Você também pode selecionar uma política para exibir suas configurações na página de submenu.

Observação

A política de retenção de log de auditoria padrão para sua organização não é exibida no painel.

Editar políticas no painel

Para editar uma política, selecione-a para exibir a página de submenu. Você pode modificar uma ou mais configurações e salvar suas alterações.

Importante

Se você usar o cmdlet New-UnifiedAuditLogRetentionPolicy, é possível criar uma política de retenção de log de auditoria para tipos de registro ou atividades que não estão disponíveis na ferramenta Criar política de retenção de auditoria no painel. Nesse caso, você não poderá editar a política (por exemplo, alterar a duração da retenção ou adicionar e remover atividades) no painel Políticas de retenção de Auditoria. Você só poderá exibir e excluir a política no portal de conformidade do Microsoft Purview. Para editar a política, terá de utilizar o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell de Conformidade do & de Segurança.>

Dica: Uma mensagem é exibida na parte superior da página de submenu para políticas que devem ser editadas usando o Windows PowerShell.

Excluir políticas no painel

Para eliminar uma política, selecione o ícone Eliminar e, em seguida, confirme que pretende eliminar a política. A política é removida do painel, mas pode demorar até 30 minutos para que a política seja removida de sua organização.

Criar e gerenciar políticas de retenção de log de auditoria no Windows PowerShell

Você também pode usar o PowerShell de Segurança e Conformidade para criar e gerenciar políticas de retenção de log de auditoria. Um motivo para usar o Windows PowerShell é criar uma política para um tipo de registro ou atividade que não está disponível na interface do usuário.

Criar uma política de retenção de log de auditoria no Windows PowerShell

Siga estas etapas para criar uma política de retenção de log de auditoria no Windows PowerShell:

  1. Conectar-se a Segurança e Conformidade do PowerShell.

  2. Execute o seguinte comando para criar uma política de retenção de log de auditoria:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    Este exemplo cria uma política de retenção de log de auditoria chamada “Política de Auditoria do Microsoft Teams” com as seguintes configurações:

    • Uma descrição da política.
    • Retém todas as atividades do Microsoft Teams (conforme definido pelo parâmetro RecordType).
    • Retém os logs de auditoria do Microsoft Teams por dez anos.
    • Prioridade de 100.

Veja outro exemplo de como criar uma política de retenção de log de auditoria. Esta política retém os registos de auditoria da atividade "Utilizador com sessão iniciada" durante seis meses para o utilizador admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Para saber mais, confira New-UnifiedAuditLogRetentionPolicy.

Exibir políticas no Windows PowerShell

Use o cmdlet Get-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell para exibir as políticas de retenção de log de auditoria.

Este é um exemplo de comando para exibir as configurações de todas as políticas de retenção de log de auditoria em sua organização. Este comando classifica as políticas da prioridade mais alta para a mais baixa.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Observação

O cmdlet Get-UnifiedAuditLogRetentionPolicy não retorna a política de retenção de log de auditoria padrão para sua organização.

Editar políticas no Windows PowerShell

Use o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell de Segurança e Conformidade para editar uma política de retenção de log de auditoria existente.

Excluir políticas no Windows PowerShell

Use o cmdlet Remove-UnifiedAuditLogRetentionPolicy no PowerShell de Segurança e Conformidade para excluir uma política de retenção de log de auditoria. Pode levar até 30 minutos para que a política seja removida de sua organização.

Tipos de registo de política de retenção predefinidos

Os registos de auditoria para operações no Microsoft Entra ID, Exchange Online, SharePoint e OneDrive são retidos por um anopor predefinição. Isto significa que os registos de auditoria de qualquer operação com esta carga de trabalho são retidos durante um ano, a menos que uma política de retenção de registo de auditoria personalizada tenha precedência para um tipo de registo, operação ou utilizador específico.