Управление политиками хранения журнала аудита

Вы можете создавать политики хранения журнала аудита и управлять ими на портале соответствия требованиям Microsoft Purview. Политики хранения журнала аудита являются частью новых возможностей аудита (премиум) Microsoft Purview. Политика хранения журнала аудита позволяет задавать срок хранения журналов аудита в Организации. Вы можете хранить журналы аудита в течение 10 лет. Можно создавать политики, основанные на указанных ниже условиях:

  • Все действия в одной или нескольких службах Microsoft 365
  • Определенные действия (в службе Microsoft 365), выполняемые всеми или конкретными пользователями
  • Уровень приоритета, который определяет, какая политика имеет приоритет у вас есть несколько политик в вашей организации

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Политика хранения журнала аудита по умолчанию

Аудит (премиум) в Microsoft Purview предоставляет политику хранения журнала аудита по умолчанию для всех организаций. Эта политика не может быть изменена и сохраняет все записи аудита Exchange Online, SharePoint Online, OneDrive для бизнеса и Microsoft Entra в течение одного года. Эта политика по умолчанию сохраняет записи аудита, содержащие значения AzureActiveDirectory, Exchange, OneDrive и SharePoint для свойства Workload (это служба, в которой произошло действие). Конкретные рабочие нагрузки и типы записей можно изменить на другую длительность с помощью политики хранения. Список типов записей для каждой рабочей нагрузки, включенной в политику по умолчанию, см. в разделе Типы записей политики хранения по умолчанию .

Примечание.

Стандартная политика хранения журнала аудита применяется только к записям аудита для действий, выполняемых пользователями, которым назначена лицензия Office 365 или Microsoft 365 E5 либо у которых есть дополнительная лицензия на Соответствие требованиям Microsoft 365 E5 или E5 eDiscovery и аудит. Если в вашей организации есть пользователи, не относящиеся к E5, или гостевые пользователи, соответствующие записи аудита хранятся в течение 180 дней.

Важно!

Срок хранения по умолчанию для аудита (стандартный) изменился с 90 до 180 дней. Журналы аудита (стандартный), созданные до 17 октября 2023 г., хранятся в течение 90 дней. Журналы аудита (стандартный), созданные 17 октября 2023 г. или позже, следуют новому сроку хранения по умолчанию — 180 дней.

Что нужно сделать перед созданием политики хранения журнала аудита

  • Чтобы создать или изменить политику хранения аудита, вам должна быть назначена роль "Конфигурация организации " на портале соответствия требованиям.

  • В вашей организации может быть максимум 50 политик хранения журналов аудита.

  • Чтобы хранить журнал аудита дольше 180 дней (и до 1 года), пользователю, который создает журнал аудита (выполняя действия аудита), должна быть назначена лицензия на Office 365 E5 или Microsoft 365 E5 либо лицензия на Соответствие требованиям Microsoft 365 E5 или E5 eDiscovery и audit add-on. Чтобы обеспечить хранение журнала аудита в течение 10 лет, пользователю, создающему журнал аудита, в дополнение к лицензии E5 также должна быть назначена 10-летняя дополнительная лицензия на хранение журнала аудита.

    Примечание.

    Если пользователь, создающий журнал аудита, не соответствует этим требованиям лицензирования, данные сохраняются в соответствии с политикой хранения с наивысшим приоритетом. Это может быть политика хранения по умолчанию для лицензии пользователя или политика с наивысшим приоритетом, соответствующая пользователю и его типу записи.

  • Все пользовательские политики хранения журнала аудита (созданные вашей организацией) имеют приоритет над политикой хранения, заданной по умолчанию. Например, если вы создадите политику хранения журнала аудита для действия почтового ящика Exchange, срок хранения которого не превышает один год, записи аудита для действий почтового ящика Exchange будут сохраняться в течение более короткого периода времени, указанного в пользовательской политике.

  • Время существования элемента аудита для данных определяется при их добавлении в конвейер аудита и основано на параметрах лицензирования по умолчанию или применимых политиках хранения. Любые изменения в лицензировании или применимых политиках хранения изменяют срок действия данных аудита после обновления. Эти изменения не обновляют ранее зафиксированные элементы.

Создание политики хранения журнала аудита

  1. Перейдите по адресу https://compliance.microsoft.com и войдите с учетной записью пользователя, которому назначена роль Конфигурация организации на странице Разрешения на портале соответствия требованиям.

  2. В левой области портала соответствия требованиям выберите Аудит.

  3. Перейдите на вкладку Аудит политик хранения .

  4. Выберите Создать политику хранения аудита, а затем заполните следующие поля на всплывающей странице:

    Всплывающая страница новой политики хранения записей аудита.

    1. Имя политики. Имя политики хранения записей аудита. Это имя должно быть уникальным в вашей организации, и его нельзя изменить после создания политики.

    2. Описание. Необязательный аргумент, но полезно предоставить сведения о политике, такие как тип записи или рабочая нагрузка, пользователи, указанные в политике, и длительность.

    3. Пользователи: Выберите одного или нескольких пользователей, к которым применяется политика. Если оставить это поле пустым, политика применяется ко всем пользователям. Если вы оставите Тип записи пустым, вам потребуется выбрать пользователя.

    4. Тип записи. Тип записи аудита, к которой применяется политика. Если оставить это свойство пустым, вам потребуется выбрать пользователя в поле Пользователи. Вы можете выбрать один или несколько типов записей:

      • Если выбрать один тип записи, поле Действия заполняется динамически. Вы можете использовать раскрывающийся список, чтобы выбрать действия выбранного типа записи, к которым применяется политика. Если вы не выбираете определенные действия, политика применяется ко всем действиям выбранного типа записей.
      • Если вы выберите несколько типов записей, вы не сможете выбрать действия. Политика применяется ко всем действиям выбранных типов записей.
    5. Длительность. Время, в течение которого должны храниться журналы аудита, удовлетворяющие условиям политики. Доступные варианты: 7 дней, 30 дней, 6 месяцев, 9 месяцев, 1 год, 3 года (предварительная версия),5 лет (предварительная версия) и 7 лет (предварительная версия). Пользователи с лицензией на 10-летнее хранение журнала аудита могут выбрать параметр 10 лет .

      Важно!

      Чтобы хранить журналы аудита в течение 7 и 30 дней, необходимо иметь подписку Microsoft 365 корпоративный E5. Чтобы сохранить журналы аудита для параметров продолжительности 3 (предварительная версия), 5 (предварительная версия) и 7 (предварительная версия) лет, вам должна быть назначена 10-летняя лицензия на хранение журналов аудита в дополнение к подписке Microsoft 365 корпоративный E5. Дополнительные сведения о подписках и надстройках аудита см. в статье Решения аудита в Microsoft Purview.

    6. Приоритет: Это значение определяет порядок обработки политик хранения журнала аудита в Организации. Более низкое значение означает более высокий приоритет. Приоритет выражается числовым значением от 1 до 10000. 1 — это наивысший приоритет, а 10000 — наинизший. Например, политика со значением 5 будет иметь приоритет над политикой со значением 10. Любая настраиваемая политика хранения журналов аудита имеет приоритет над политикой по умолчанию для вашей организации.

  5. Нажмите кнопку Сохранить, чтобы создать новую политику хранения журналов аудита.

Новая политика отображается в списке на вкладке Политики хранения записей аудита.

Управление политиками хранения журнала аудита на портале соответствия требованиям

Политики хранения журнала аудита перечислены на вкладке Политики хранения записей аудита (другое название — панель мониторинга). Панель мониторинга можно использовать для просмотра, изменения и удаления политик хранения записей аудита.

Просмотр политик на панели мониторинга

Политики хранения журнала аудита перечислены на панели мониторинга. Одно из преимуществ просмотра политик на информационной панели заключается в том, что можно выбрать столбец Приоритет: в этом случае политики будут перечислены в соответствии с приоритетом их применения. Как указано ранее, чем ниже значение, тем выше приоритет.

Столбец

Кроме того, вы можете выбрать политику, чтобы отобразить ее параметры на всплывающей странице.

Примечание.

Стандартная политика хранения журнала аудита вашей организации не отображается на панели мониторинга.

Изменение политик на панели мониторинга

Для изменения политики выберите ее, чтобы открыть всплывающую страницу. Вы можете изменить один или несколько параметров и сохранить изменения.

Важно!

С помощью командлета New-UnifiedAuditLogRetentionPolicy можно создать политику хранения журнала аудита для типов записей или действий, недоступных в средстве Создание политики хранения записей аудита в панели мониторинга. В этом случае вы не сможете изменять эту политику (например, изменять срок хранения, добавлять или удалять действия) на панели мониторинга Политики хранения записей аудита. Вы сможете просматривать и удалять политику только на Портале соответствия Microsoft Purview. Чтобы изменить политику, необходимо использовать командлет Set-UnifiedAuditLogRetentionPolicy в PowerShell по обеспечению соответствия требованиям безопасности &.>

Совет. Для политик, которые нужно изменять с помощью PowerShell, в верхней части всплывающей страницы выводится сообщение.

Удаление политик на панели мониторинга

Чтобы удалить политику, щелкните значок Удалить и подтвердите, что вы хотите удалить политику. Политика удаляется из панели мониторинга, но ее удаление из вашей организации может занять до 30 минут.

Создание политик хранения журнала аудита и управление ими в PowerShell

Вы также можете использовать Безопасность и соответствие требованиям PowerShell для создания политик хранения журналов аудита и управления ими. Одной из причин использования PowerShell является создание политики для типа записи или действия, которые недоступны в пользовательском интерфейсе.

Создание политики хранения журнала аудита в PowerShell

Выполните следующие действия, чтобы создать политику хранения журнала аудита в PowerShell.

  1. Подключение к Безопасности и соответствию требованиям PowerShell

  2. Чтобы создать политику хранения журнала аудита, выполните следующую команду:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    В этом примере создается политика хранения журнала аудита с именем "политика аудита Microsoft Teams" с такими параметрами:

    • Описание политики.
    • Сохраняет все действия в Microsoft Teams (как определено в параметре RecordType).
    • Сохраняет журнал аудита Microsoft Teams на 10 лет.
    • Приоритет — 100.

Вот еще один пример создания политики хранения журнала аудита. Эта политика сохраняет журналы аудита для действия "Пользователь вошел в систему" в течение шести месяцев для пользователя admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Дополнительные сведения см. в статье New-UnifiedAuditLogRetentionPolicy.

Просмотр политик в PowerShell

Используйте командлет Get-UnifiedAuditLogRetentionPolicy в Безопасности и соответствии требованиям PowerShell для просмотра политик хранения журналов аудита.

Вот пример команды, чтобы отобразить параметры для всех политик хранения журнала аудита в вашей организации. Эта команда сортирует политики в порядке убывания приоритета.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Примечание.

Командлет Get-UnifiedAuditLogRetentionPolicy не возвращает стандартную политику хранения журнала аудита для вашей организации.

Изменение политик в PowerShell

Используйте командлет Set-UnifiedAuditLogRetentionPolicy в Безопасности и соответствии требованиям PowerShell, чтобы изменить существующую политику хранения журнала аудита.

Удаление политик в PowerShell

Используйте командлет Remove-UnifiedAuditLogRetentionPolicy в Безопасности и соответствии требованиям PowerShell, чтобы удалить политику хранения журнала аудита. Удаление политики из организации может занять до 30 минут.

Типы записей политики хранения по умолчанию

Записи аудита для операций в идентификаторе Microsoft Entra, Exchange Online, SharePoint Online и OneDrive для бизнеса по умолчанию хранятся в течение одного года. В таблице ниже перечислены все типы записей (для каждой из этих служб), включенные в заданную по умолчанию политику хранения журнала аудита. Это означает, что журналы аудита для любой операции с этим типом записи сохраняются в течение одного года, если пользовательская политика хранения журналов аудита не имеет приоритета для определенного типа записи, операции или пользователя. Значение Enum (которое отображается как значение для свойства RecordType в записи аудита) для каждого типа записи показано в скобках.

Это означает, что журналы аудита для любой операции с этим типом записи сохраняются в течение одного года, если пользовательская политика хранения журналов аудита не имеет приоритета для определенного типа записи, операции или пользователя. Значение перечисления (которое отображается в качестве значения свойства RecordType в записи аудита) для каждого типа записи отображается в круглых скобках.

AzureActiveDirectory Exchange SharePoint или OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Кампания (62) Project (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)