管理审核日志保留策略

  • 9 分钟

组织可在 Microsoft Purview 合规门户中创建和管理审核日志保留策略。 审核日志保留策略是 Microsoft Purview 审核(高级版)解决方案的一部分。 审核日志保留策略允许组织指定要保留审核日志的时间。 审核日志最多可保留 10 年。 可以根据以下条件创建保留策略:

  • 一个或多个 Microsoft 365 服务中的所有活动。
  • 所有用户或特定用户执行的特定活动(在 Microsoft 365 服务中)。
  • 优先级,用于指定当组织中有多个策略时优先使用哪个策略。

默认审核日志保留策略

Microsoft Purview 审核(高级版)为所有组织提供了默认审核日志保留策略。 此策略将所有 Exchange Online、SharePoint Online、OneDrive for Business 和 Microsoft Entra 审核记录保留一年。 默认策略将保留审核记录,其中包含针对工作负载属性(即活动所发生的服务)的 Exchange、SharePoint、OneDrive、AzureActiveDirectory 的值。

注意

无法修改默认审核日志保留策略。

默认审核日志保留策略仅适用于分配了以下任一项的用户所执行活动的审核记录:

  • Office 365 或 Microsoft 365 E5 许可证
  • Microsoft 365 E5 合规性或 E5 电子数据展示和审核加载项许可证

如果组织具有非 E5 用户或来宾用户,则其相应的审核记录将保留 90 天。

在创建审核日志保留策略之前

组织必须先满足以下要求,才能创建审核日志保留策略:

  • 在 Microsoft Purview 合规性门户中,必须为组织中负责创建和修改审核日志保留策略的人员分配 组织配置 角色。
  • 在组织中,最多可以拥有 50 个审核日志保留策略。
  • 若要将审核日志保留超过 90 天(以及最多已一年),必须为生成审核日志的用户(通过执行审核活动)分配 Office 365 E5 或 Microsoft 365 E5 许可证,或者该用户必须具有 Microsoft 365 E5 合规或 E5 电子数据展示和审核加载项许可证。
  • 若要将审核日志保留 10 年,除 E5 许可证外,还必须向生成审核日志的用户分配 10 年审核日志保留附加产品许可证以及 E5 许可证。
  • 所有自定义审核日志保留策略(由组织创建)都优先于默认保留策略。 例如,假设为保留期短于一年的 Exchange 邮箱活动创建审核日志保留策略。 在此方案中,Exchange 邮箱活动的审核记录将在自定义策略指定的较短持续时间内保留。

创建审核日志保留策略

完成以下步骤以创建自定义审核日志保留策略:

  1. 使用分配了 组织配置 角色的用户帐户登录 Microsoft Purview 合规性 门户。

  2. Microsoft Purview 合规性 门户中,在导航窗格中选择 审核

  3. 在“审核”页上,选择“审核保留策略”选项卡。

  4. 在“审核保留策略”选项卡上,选择“创建审核保留策略”,然后在出现的“新建审核保留策略”窗口中完成以下字段:

    显示“新建审核保留策略”窗口的屏幕截图,其中突出显示了多个设置。

    1. 策略名称 审核日志保留策略的名称。 此名称在组织中必须唯一。 创建策略后,无法对其进行更改。
    2. 说明。 策略说明。 虽然此字段是可选的,但提供有关策略的信息会很有帮助。 例如,记录类型或工作负荷、策略中指定的用户以及持续时间。
    3. 用户。 选择将应用策略的一个或多个用户。 如果将此字段留空,则该策略将应用于所有用户。 如果将“记录类型”留空,则必须选择用户。
    4. 记录类型。 将应用策略的审核记录类型。 如果将此属性留空,则必须在“用户”字段中选择一个用户。 可选择一种记录类型或多个记录类型:
      • 单一记录类型。 如果选择一条记录类型,将动态显示“活动”字段。 可使用下拉列表从所选记录类型中选择活动,以便对其应用策略。 如果未选择特定活动,则该策略将应用于所选记录类型的所有活动。
      • 多个记录类型。 如果选择多个记录类型,则不能选择活动。 该策略将应用于所选记录类型的所有活动。
    5. 持续时间。 保留符合策略条件的审核日志的时间。
    6. 优先级。 此值确定处理组织中的审核日志保留策略的顺序。 该值越小,表示优先级越高。 有效优先级为 1 到 10000 之间的数值。 值 1 优先级最高,值 10000 优先级最低。 例如,如果策略的值为 5,则优先于值为 10 的策略。 如前文所述,任何自定义审核日志保留策略都优先于组织的默认策略。

  5. 选择“保存”以创建新的审核日志保留策略。

新策略将显示在“审核保留策略”选项卡上的列表中。

在 Microsoft Purview 合规门户中管理审核日志保留策略

审核日志保留策略列在“审核保留策略”选项卡(也称为仪表板)上。 可使用仪表板查看、编辑和删除审核保留策略。

在仪表板中查看策略

审核日志保留策略列在仪表板中。 在仪表板中查看策略的一个优点是,可以选择“优先级”列以按它们应用的优先级列出策略。 如前所述,值越小表示优先级越高。

显示“审核”页上的“审核保留策略”选项卡的屏幕截图,其中突出显示了每个策略的优先级列。

还可以选择一个策略,以在显示的策略详细信息窗格上显示其设置。

注意

仪表板中不显示你的组织的默认审核日志保留策略。

在仪表板中编辑策略

若要编辑策略,请选择它以显示策略详细信息窗格。 可以修改一个或多个设置,然后保存更改。

重要

如果使用 New UnifiedAuditLogRetentionPolicy cmdlet 创建策略,则可以为 Microsoft Purview 合规门户的“创建审核保留策略”工具中不可用的记录类型或活动创建审核日志保留策略。 在这种情况下,你将无法从“审核保留策略”仪表板编辑策略(例如,更改保留期或添加和删除活动)。 只能在 Microsoft Purview 合规门户中查看和删除策略。 若要编辑策略,必须在安全性与合规性 PowerShell 模块中使用 Set-UnifiedAuditLogRetentionPolicy cmdlet。

提示

对于必须使用 PowerShell 编辑的策略,在策略详细信息窗格的顶部会显示一条信息。

在仪表板中删除策略

若要删除策略,请选择垃圾桶(删除)图标。 然后确认要删除该策略。 当该策略已从仪表板中删除,可能需要最多 30 分钟才能将已删除的策略从组织中移除。

在 PowerShell 中创建和管理审核日志保留策略

组织还可以使用安全性和合规性 PowerShell 模块创建和管理审核日志保留策略。 使用 PowerShell 的一个原因是为 Microsoft Purview 合规门户中不可用的记录类型或活动创建策略。

在 PowerShell 中创建审核日志保留策略

请按照以下步骤在 PowerShell 中创建审核日志保留策略:

  1. Windows PowerShell中,连接到 安全性与合规性 PowerShell 模块。

  2. 运行以下命令以创建审核日志保留策略:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    本示例使用以下设置创建名为“Microsoft Teams 审核策略”的审核日志保留策略:

    • 策略说明。
    • 保留所有 Microsoft Teams 活动(由 RecordType 参数定义)。
    • 将 Microsoft Teams 审核日志保留 10 年。
    • 将优先级 100 分配给该策略。

下面是创建审核日志保留策略的另一个示例。 此策略:

  • 将“用户登录”活动的审核日志保留六个月。
  • 它对用户 admin@contoso.onmicrosoft.com 执行此操作。
  • 将优先级 25 分配给该策略。
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

在 PowerShell 中查看策略

使用安全与合规 PowerShell 模块中的 Get-UnifiedAuditLogRetentionPolicy cmdlet 查看审核日志保留策略。

下面是用于显示组织中所有审核日志保留策略的设置的示例命令。 此命令从最高优先级到最低优先级对策略进行排序。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注意

Get-UnifiedAuditLogRetentionPolicy cmdlet 不会返回组织的默认审核日志保留策略。

在 PowerShell 中编辑策略

使用安全与合规 PowerShell 模块中的 Set-UnifiedAuditLogRetentionPolicy cmdlet 编辑现有审核日志保留策略。

在 PowerShell 中删除策略

使用安全与合规 PowerShell 模块中的 Remove-UnifiedAuditLogRetentionPolicy cmdlet 删除审核日志保留策略。 可能需要最多 30 分钟才能将已删除的策略从组织中移除。

知识检查

为以下每个问题选择最佳答案。 然后选择“检查答案”。

知识检查

1.

Tailspin Toys 已实现 Microsoft Purview 审核(高级版)。 Contoso 的默认审核日志保留策略保留 Exchange Online 审核记录多长时间?