Administrar directivas de retención de registros de auditoría

Puede crear y administrar directivas de retención de registros de auditoría en el portal de cumplimiento de Microsoft Purview. Las directivas de retención de registros de auditoría forman parte de las nuevas funcionalidades de Auditoría de Microsoft Purview (Premium). Una directiva de retención de registro de auditoría le permite especificar durante cuánto tiempo se conservan los registros de auditoría en su organización. Puede conservar los registros de auditoría hasta por 10 años. Puede crear directivas en función de los siguientes criterios:

  • Todas las actividades en uno o más servicios de Microsoft 365
  • Actividades específicas (en un servicio de Microsoft 365) realizadas por todos los usuarios o por usuarios específicos
  • Un nivel de prioridad que especifique qué directiva prevalece en caso de que tenga varias directivas en su organización

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Directivas de retención de registros de auditoría predeterminadas

Auditoría (Premium) en Microsoft Purview proporciona una directiva de retención de registros de auditoría predeterminada para todas las organizaciones. Esta directiva no se puede modificar y conserva todos los registros de auditoría de Exchange Online, SharePoint Online, OneDrive para la Empresa y Microsoft Entra durante un año. Esta directiva predeterminada conserva los registros de auditoría que contienen el valor de AzureActiveDirectory, Exchange, OneDrive y SharePoint para la propiedad Workload (que es el servicio en el que se produjo la actividad). Las cargas de trabajo y los tipos de registro específicos se pueden cambiar a una duración diferente mediante una directiva de retención. Consulte la sección Tipos de registro de directiva de retención predeterminada de este artículo para obtener una lista de los tipos de registro de cada carga de trabajo que se incluyen en la directiva predeterminada.

Nota:

La directiva de retención de registros de auditoría predeterminada solo se aplica a los registros de auditoría para la actividad realizada por usuarios que tienen asignada una licencia de Office 365 o Microsoft 365 E5, o que tienen una licencia del complemento de Cumplimiento de Microsoft 365 E5 o de eDiscovery y Auditoría de Microsoft 365 E5 Si tiene usuarios no E5 o usuarios invitados en su organización, sus registros de auditoría correspondientes se conservan durante 180 días.

Importante

El período de retención predeterminado de Auditoría (estándar) ha cambiado de 90 días a 180 días. Los registros de auditoría (estándar) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (estándar) generados el 17 de octubre de 2023 o después siguen la nueva retención predeterminada de 180 días.

Antes de crear una directiva de retención de registros de auditoría

  • Debe tener asignado el rol Configuración de la organización en el portal de cumplimiento para crear o modificar una directiva de retención de auditoría.

  • Puede tener un máximo de 50 directivas de retención de registros de auditoría en su organización.

  • Para conservar un registro de auditoría durante más de 180 días (y hasta 1 año), al usuario que genera el registro de auditoría (mediante la realización de una actividad auditada) se le debe asignar una licencia de Office 365 E5 o Microsoft 365 E5 o tener una licencia de complemento Cumplimiento de Microsoft 365 E5 o E5 eDiscovery y Audit. Para conservar los registros de auditoría durante 10 años, el usuario que genera el registro de auditoría también debe tener asignada una licencia del complemento de retención de registro de auditoría de 10 años además de una licencia E5.

    Nota:

    Si el usuario que genera el registro de auditoría no cumple estos requisitos de licencia, los datos se conservan según la directiva de retención de prioridad más alta. Puede ser la directiva de retención predeterminada para la licencia del usuario o la directiva de prioridad más alta que coincida con el usuario y su tipo de registro.

  • Todas las directivas de retención de registros de auditoría personalizadas (creadas por la organización) tienen prioridad ante la directiva de retención predeterminada. Por ejemplo, si crea una directiva de retención de registros de auditoría para la actividad del buzón de Exchange que tiene un período de retención inferior a un año, los registros de auditoría de las actividades de buzón de Exchange se conservarán por la duración más corta especificada en la directiva personalizada.

  • La duración del elemento de auditoría de los datos se determina cuando se agrega a la canalización de auditoría y se basa en los valores predeterminados de licencia o las directivas de retención aplicables. Los cambios en las licencias o las directivas de retención aplicables cambian la hora de expiración de los datos de auditoría después de la actualización. Estos cambios no actualizan los elementos confirmados anteriormente.

Crear una directiva de retención de registros de auditoría

  1. Vaya a https://compliance.microsoft.com e inicie sesión con una cuenta de usuario que tenga asignado el rol Configuración de la organización en la página Permisos del portal de cumplimiento.

  2. En el panel izquierdo del portal de cumplimiento, seleccione Auditar.

  3. Seleccione la pestaña Auditar directivas de retención .

  4. Seleccione Crear directiva de retención de auditoría y, a continuación, complete los campos siguientes en la página de control flotante:

    Página flotante de la directiva de retención de la nueva auditoría.

    1. Nombre de directiva: el nombre de la directiva de retención de registros de auditoría. Este nombre debe ser único en su organización y no se puede cambiar después de crear la directiva.

    2. Descripción: es opcional, pero le resultará útil para proporcionar información sobre la directiva (como el tipo de registro o la carga de trabajo, los usuarios especificados en la directiva y la duración).

    3. Usuarios: seleccione uno o más usuarios para aplicar la directiva. Si deja este cuadro en blanco, la directiva se aplica a todos los usuarios. Si deja en blanco Tipo de registro, deberá seleccionar un usuario.

    4. Tipo de registro: el tipo de registro de auditoría al que se aplica la directiva. Si deja en blanco esta propiedad, debe seleccionar un usuario en el cuadro Usuarios. Puede seleccionar un único tipo de registro o varios tipos de registro:

      • Si selecciona un único tipo de registro, el campo Actividades se mostrará dinámicamente. Puede usar la lista desplegable para seleccionar las actividades del tipo de registro seleccionado a las que desea aplicar la directiva. Si no elige actividades específicas, la directiva se aplica a todas las actividades del tipo de registro seleccionado.
      • Si selecciona varios tipos de registro, no podrá seleccionar actividades. La directiva se aplica a todas las actividades de los tipos de registro seleccionados.
    5. Duración: es la cantidad de tiempo que se conservarán los registros de auditoría que cumplan los criterios de la directiva. Las opciones disponibles son 7 días, 30 días, 6 meses, 9 meses, 1 año, 3 años (versión preliminar),5 años (versión preliminar) y 7 años (versión preliminar). Los usuarios con la licencia del complemento de retención de registros de auditoría de 10 años pueden seleccionar una opción de 10 años .

      Importante

      Para conservar los registros de auditoría para las opciones de duración de 7 y 30 días, debe tener una suscripción Microsoft 365 Enterprise E5. Para conservar los registros de auditoría para las opciones de duración de 3 (versión preliminar), 5 (versión preliminar) y 7 (versión preliminar), debe tener asignada una licencia de complemento de retención de registros de auditoría de 10 años además de la suscripción Microsoft 365 Enterprise E5. Para obtener más información sobre las suscripciones de auditoría y los complementos, consulte Soluciones de auditoría en Microsoft Purview.

    6. Prioridad: este valor determina el orden en el que se procesan las directivas de retención de registros de auditoría de su organización. Un valor inferior indica mayor prioridad. Las prioridades válidas son valores numéricos entre 1 y 10 000. Un valor de 1 tiene la prioridad más alta y un valor de 10 000 tiene la prioridad más baja. Por ejemplo, una directiva con un valor de 5 tiene prioridad sobre una directiva con un valor de 10. Cualquier directiva de retención de registros de auditoría personalizada tiene prioridad sobre la directiva predeterminada para su organización.

  5. Selecciona Guardar para crear la nueva directiva de retención de registros de auditoría.

La nueva directiva se muestra en la lista de la pestaña Auditar directivas de retención.

Crear una directiva de retención de registro de auditoría en el portal de cumplimiento de Microsoft Purview

Las directivas de retención de registros de auditoría se muestran en la pestaña Auditar directivas de retención (también denominada panel). Puede usar el panel para ver, editar y eliminar directivas de retención de auditoría.

Ver directivas en el panel

Las directivas de retención de registros de auditoría se muestran en el panel. Una ventaja de ver las directivas en el panel es que puedes seleccionar la columna Prioridad para enumerar las directivas en la prioridad en la que se aplican. Como se explicó previamente, un valor más alto indica una prioridad mayor.

Columna Prioridad en el panel de directivas de retención de auditoría.

También puede seleccionar una directiva para mostrar su configuración en la página flotante.

Nota:

La directiva de retención de registros de auditoría predeterminada de la organización no se muestra en el panel.

Editar directivas en el panel

Para editar una directiva, selecciónela para mostrar la página de control flotante. Puede modificar una o más opciones de configuración y, después, guardar los cambios.

Importante

Si usa el cmdlet New-UnifiedAuditLogRetentionPolicy, es posible crear una directiva de retención de registros de auditoría para las actividades y los tipos de registros que no están disponibles en la herramienta Crear directivas de retención de auditoría en el panel. En este caso, no podrá editar la directiva (por ejemplo, cambiar la duración de la retención o agregar y quitar actividades) desde el panel Directivas de retención de auditoría. Solo podrá ver y eliminar la directiva en el portal de cumplimiento de Microsoft Purview. Para editar la directiva, tendrá que usar el cmdlet Set-UnifiedAuditLogRetentionPolicy en PowerShell de cumplimiento de seguridad &.>

Sugerencia: se muestra un mensaje en la parte superior de la página de salida para las directivas que se deben editar con PowerShell.

Eliminar directivas en el panel

Para eliminar una directiva, seleccione el icono Eliminar y, a continuación, confirme que desea eliminar la directiva. La directiva se quita del panel, pero puede tardar hasta 30 minutos en quitarse la directiva de la organización.

Crear y administrar directivas de retención de registros de auditoría en PowerShell

También puede usar eguridad y cumplimiento de PowerShell para crear y administrar directivas de retención de registros de auditoría. Uno de los motivos para usar PowerShell es crear una directiva para un tipo de registro o actividad que no esté disponible en la interfaz de usuario.

Crear una directiva de retención de registros de auditoría en PowerShell

Siga estos pasos para crear una directiva de retención de registros de auditoría en PowerShell:

  1. Conéctese al PowerShell de Seguridad y cumplimiento

  2. Ejecute el siguiente comando para crear una directiva de retención de registros de auditoría:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    En este ejemplo se crea una directiva de retención de registros de auditoría denominada "Directiva de auditoría de Microsoft Teams" con esta configuración:

    • Una descripción de la directiva.
    • Conserva todas las actividades de Microsoft Teams (definidas en el parámetro RecordType).
    • Conserva los registros de auditoría de Microsoft Teams por 10 años.
    • Una prioridad de 100.

Este es otro ejemplo para la creación de una directiva de retención de registros de auditoría. Esta directiva conserva los registros de auditoría de la actividad "Usuario que ha iniciado sesión" durante seis meses para el usuario admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Para obtener más información, consulte New-UnifiedAuditLogRetentionPolicy.

Ver directivas en PowerShell

Use el cmdlet Get-UnifiedAuditLogRetentionPolicy en Seguridad y cumplimiento de PowerShell para ver directivas de retención de registros de auditoría.

Este es un comando de ejemplo para mostrar la configuración para todas directivas de retención de registros de auditoría en su organización. Este comando ordena las directivas de mayor a menor prioridad.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Nota:

El cmdlet Get-UnifiedAuditLogRetentionPolicy no devuelve la directiva de retención de registros de auditoría predeterminada para su organización.

Editar directivas en PowerShell

Use el cmdlet Set-UnifiedAuditLogRetentionPolicy en Seguridad y cumplimiento de PowerShell para editar una directiva de retención de registros de auditoría existente.

Eliminar directivas en PowerShell

Use el cmdlet Remove-UnifiedAuditLogRetentionPolicy en Seguridad y cumplimiento de PowerShell para eliminar una directiva de retención de registros de auditoría. La directiva puede tardar hasta 30 minutos para eliminarse por completo de su organización.

Tipos de registros de directiva de retención predeterminados

Los registros de auditoría de las operaciones en Microsoft Entra ID, Exchange Online, SharePoint Online y OneDrive para la Empresa, se conservan durante un año de forma predeterminada. En la siguiente tabla se enumeran todos los tipos de registro (para cada uno de estos servicios) incluidos en la directiva de retención de registros de auditoría predeterminada. Esto significa que los registros de auditoría de cualquier operación con este tipo de registro se conservan durante un año, a menos que una directiva de retención de registros de auditoría personalizada tenga prioridad para un tipo de registro, una operación o un usuario específicos. El valor Enum (que se muestra como el valor de la propiedad RecordType en un registro de auditoría) para cada tipo de registro se muestra entre paréntesis.

Esto significa que los registros de auditoría de cualquier operación con este tipo de registro se conservan durante un año, a menos que una directiva de retención de registros de auditoría personalizada tenga prioridad para un tipo de registro, una operación o un usuario específicos. El valor de Enumeración (que se muestra como el valor de la propiedad RecordType en un registro de auditoría) para cada tipo de registro se muestra entre paréntesis.

AzureActiveDirectory Exchange SharePoint o OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Campaña (62) Proyecto (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)