Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle

  • Artikel

Sie können Aufbewahrungsrichtlinien für Überwachungsprotokolle im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal erstellen und verwalten. Aufbewahrungsrichtlinien für Überwachungsprotokolle sind Bestandteil den neuen Microsoft Purview Audit (Premium)-Funktionen. Mit einer Aufbewahrungsrichtlinie für Überwachungsprotokolle können Sie festlegen, wie lange Überwachungsprotokolle in Ihrer Organisation aufbewahrt werden sollen. Sie können Überwachungsprotokolle bis zu 10 Jahre lang aufbewahren. Sie können Richtlinien nach folgenden Kriterien erstellen:

  • Alle Aktivitäten in einem oder mehreren Microsoft 365-Diensten
  • Bestimmte Aktivitäten (in einem Microsoft 365-Dienst), die von allen Benutzern oder von bestimmten Benutzern ausgeführt werden
  • Eine Prioritätsstufe, die angibt, welche Richtlinie Vorrang hat, wenn es in Ihrer Organisation mehrere Richtlinien gibt

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle

Audit (Premium) in Microsoft Purview bietet eine Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für alle Organisationen. Diese Richtlinie kann nicht geändert werden und behält alle Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Entra Überwachungsdatensätze ein Jahr lang bei. Diese Standardrichtlinie behält Überwachungsdatensätze bei, die den Wert AzureActiveDirectory, Exchange, OneDrive und SharePoint für die Workload-Eigenschaft enthalten (der Dienst, in dem die Aktivität aufgetreten ist). Bestimmte Workloads und Datensatztypen können mithilfe einer Aufbewahrungsrichtlinie in eine andere Dauer geändert werden. Im Abschnitt Standarddatensatztypen für Aufbewahrungsrichtlinien in diesem Artikel finden Sie eine Liste der Datensatztypen für jede Workload, die in der Standardrichtlinie enthalten sind.

Hinweis

Die Standardrichtlinie zur Aufbewahrung von Überwachungsprotokollen gilt nur für Überwachungsdatensätze für Aktivitäten, die von Benutzern durchgeführt werden, denen eine Office 365- oder Microsoft 365 E5-Lizenz zugewiesen ist, oder die über eine Microsoft 365 E5 Compliance- oder E5 eDiscovery- und Überwachungs-Add-on-Lizenz verfügen. Wenn Sie Nicht-E5-Benutzer oder Gastbenutzer in Ihrem organization haben, werden die entsprechenden Überwachungsdatensätze 180 Tage lang aufbewahrt.

Wichtig

Der Standardaufbewahrungszeitraum für Audit (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.

Vor dem Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle

  • Ihnen muss die Rolle Organisationskonfiguration im Microsoft Purview-Portal oder im Complianceportal zugewiesen sein, um eine Aufbewahrungsrichtlinie für Überwachungen erstellen oder ändern zu können.

  • In Ihrer Organisation kann es maximal 50 Aufbewahrungsrichtlinien für Überwachungsprotokolle geben.

  • Um ein Überwachungsprotokoll länger als 180 Tage (und bis zu einem Jahr) aufzubewahren, muss dem Benutzer, der das Überwachungsprotokoll generiert (durch Ausführen einer überwachten Aktivität), eine Office 365 E5- oder Microsoft 365 E5-Lizenz zugewiesen sein oder über eine Microsoft 365 E5 Compliance- oder E5 eDiscovery- und Audit-Add-On-Lizenz verfügen. Um Überwachungsprotokolle 10 Jahre lang aufzubewahren, muss dem Benutzer, der das Überwachungsprotokoll erstellt, zusätzlich zu einer E5-Lizenz eine 10-Jahres-Zusatzlizenz zur Aufbewahrung von Überwachungsprotokollen zugewiesen werden.

    Hinweis

    Wenn der Benutzer, der das Überwachungsprotokoll generiert, diese Lizenzierungsanforderungen nicht erfüllt, werden Die Daten gemäß der Aufbewahrungsrichtlinie mit der höchsten Priorität aufbewahrt. Dies kann entweder die Standardaufbewahrungsrichtlinie für die Lizenz des Benutzers oder die Richtlinie mit der höchsten Priorität sein, die dem Benutzer und seinem Datensatztyp entspricht.

  • Alle benutzerdefinierten (von Ihrer Organisation erstellten) Aufbewahrungsrichtlinien für Überwachungsprotokolle haben Vorrang vor der Standardaufbewahrungsrichtlinie. Wenn Sie beispielsweise eine Aufbewahrungsrichtlinie für Überwachungsprotokolle für Exchange-Postfachaktivitäten erstellen, die einen Aufbewahrungszeitraum von weniger als einem Jahr vorsieht, werden die Überwachungsdatensätze für Exchange-Postfachaktivitäten für die in der benutzerdefinierten Richtlinie festgelegte kürzere Dauer aufbewahrt.

  • Die Lebensdauer des Überwachungselements für Daten wird bestimmt, wenn sie der Überwachungspipeline hinzugefügt werden, und basiert auf den Lizenzierungsstandards oder anwendbaren Aufbewahrungsrichtlinien. Änderungen an der Lizenzierung oder anwendbaren Aufbewahrungsrichtlinien ändern die Ablaufzeit der Überwachungsdaten nach der Aktualisierung. Diese Änderungen aktualisieren keine zuvor committeten Elemente.

Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Führen Sie die folgenden Schritte aus, um eine Überwachungsaufbewahrungsrichtlinie zu erstellen:

  1. Melden Sie sich beim Microsoft Purview-Portal mit einem Benutzerkonto an, dem die Rolle Organisationskonfiguration auf der Seite Berechtigungen im Complianceportal zugewiesen ist.

  2. Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.

  3. Wählen Sie Überwachungsaufbewahrungsrichtlinie erstellen aus, und füllen Sie dann die folgenden Felder auf der Flyoutseite aus:

    Flyoutseite „Neue Aufbewahrungsrichtlinie für die Überwachung“.

    1. Richtlinienname: Der Name der Aufbewahrungsrichtlinie für Überwachungsprotokolle. Dieser Name muss in Ihrem organization eindeutig sein und kann nach dem Erstellen der Richtlinie nicht mehr geändert werden.

    2. Beschreibung: Optional, aber hilfreich, um Informationen zur Richtlinie bereitzustellen, z. B. den Datensatztyp oder den Workload, die in der Richtlinie angegebenen Benutzer sowie die Dauer.

    3. Benutzer: Wählen Sie einen oder mehrere Benutzer aus, auf die die Richtlinie angewendet werden soll. Wenn Sie dieses Feld leer lassen, gilt die Richtlinie für alle Benutzer. Wenn Sie die Datensatzart leer lassen, müssen Sie einen Benutzer auswählen.

    4. Datensatzart: die Art des Überwachungsdatensatzes, auf den sich die Richtlinie bezieht Wenn Sie diese Eigenschaft leer lassen, müssen Sie im Feld Benutzer einen Benutzer auswählen. Sie können einen einzelnen oder mehrere Datensatztypen auswählen:

      • Wenn Sie einen einzelnen Datensatztyp auswählen, wird das Feld Aktivitäten dynamisch angezeigt. Mithilfe der Drop-down-Liste können Sie Aktivitäten des ausgewählten Datensatztyps auswählen, auf die die Richtlinie angewendet werden soll. Wenn Sie keine bestimmten Aktivitäten auswählen, gilt die Richtlinie für alle Aktivitäten des ausgewählten Datensatztyps.
      • Wenn Sie mehrere Datensatztypen auswählen, können Sie keine Aktivitäten auswählen. Die Richtlinie gilt für alle Aktivitäten der ausgewählten Datensatztypen.

    5. Dauer: die Zeitdauer, wie lange die Überwachungsprotokolle aufbewahrt werden, die den Kriterien der Richtlinie entsprechen Die verfügbaren Optionen sind 7 Tage, 30 Tage, 6 Monate, 9 Monate, 1 Jahr, 3 Jahre (Vorschau),5 Jahre (Vorschau) und 7 Jahre (Vorschau). Benutzer mit der Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen für 10 Jahre können eine Option für 10 Jahre auswählen.

      Wichtig

      Um Überwachungsprotokolle für die Dauer von 7 und 30 Tagen aufzubewahren, benötigen Sie ein Microsoft 365 Enterprise E5-Abonnement. Um Überwachungsprotokolle für die Optionen 3 (Vorschau), 5 (Vorschau) und 7 Jahre (Vorschau) beizubehalten, müssen Sie zusätzlich zu Ihrem Microsoft 365 Enterprise E5-Abonnement einer 10-jährigen Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen zugewiesen sein. Weitere Informationen zu Überwachungsabonnements und Add-Ons finden Sie unter Überwachungslösungen in Microsoft Purview.

    6. Priorität: Dieser Wert bestimmt die Reihenfolge, in der Aufbewahrungsrichtlinien für Überwachungsprotokolle in Ihrer Organisation angewandt werden. Ein niedrigerer Wert gibt eine höhere Priorität an. Gültige Prioritäten sind numerische Werte zwischen 1 und 10000. Ein Wert von 1 ist die höchste Priorität, und der Wert 10000 ist die niedrigste Priorität. Beispielsweise hat eine Richtlinie mit dem Wert 5 Vorrang vor einer Richtlinie mit dem Wert 10. Jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle hat Vorrang vor der Standardrichtlinie für Ihre organization.

  4. Wählen Sie Speichern aus, um die neue Aufbewahrungsrichtlinie für Überwachungsprotokolle zu erstellen.

Die neue Richtlinie wird in der Liste auf der Seite Richtlinien angezeigt.

Verwalten der Aufbewahrungsrichtlinien für Überwachungsprotokolle im Complianceportal

Aufbewahrungsrichtlinien für Überwachungsprotokolle werden auf der Registerkarte Aufbewahrungsrichtlinien für die Überwachung (auch als Dashboard bezeichnet) angezeigt. Über das Dashboard können Sie Aufbewahrungsrichtlinien anzeigen, bearbeiten und löschen.

Anzeigen von Richtlinien im Dashboard

Aufbewahrungsrichtlinien für Überwachungsprotokolle werden im Dashboard aufgelistet. Ein Vorteil des Anzeigens von Richtlinien im Dashboard besteht darin, dass Sie die Spalte Priorität auswählen können, damit die Richtlinien nach der Priorität aufgelistet werden, mit der sie angewendet werden. Wie zuvor erläutert, steht ein tieferer Wert für eine höhere Priorität.

Spalte „Priorität“ im Dashboard für „Aufbewahrungsrichtlinien für die Überwachung“.

Sie können außerdem eine Richtlinie auswählen, damit deren Einstellungen auf der Flyoutseite angezeigt werden.

Hinweis

Die standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für Ihre Organisation wird nicht im Dashboard angezeigt.

Bearbeiten von Richtlinien im Dashboard

Wenn Sie eine Richtlinie bearbeiten möchten, klicken Sie darauf, um die Flyoutseite anzuzeigen. Sie können eine oder mehrere Einstellungen ändern und die Änderungen dann speichern.

Wichtig

Wenn Sie das Cmdlet New-UnifiedAuditLogRetentionPolicy verwenden, können Sie eine Aufbewahrungsrichtlinie für Überwachungsprotokolle für Datensatztypen oder Aktivitäten erstellen, die im Tool zum Erstellen von Aufbewahrungsrichtlinien für die Überwachung im Dashboard nicht verfügbar sind. In diesem Fall werden Sie nicht in der Lage sein, die Richtlinie über das Dashboard für Aufbewahrungsrichtlinien für die Überwachung zu bearbeiten (beispielsweise die Aufbewahrungsdauer ändern oder Aktivitäten hinzufügen oder entfernen). Sie können die Richtlinie im Microsoft Purview-Complianceportal nur anzeigen oder löschen. Zum Bearbeiten der Richtlinie müssen Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy in Security & Compliance PowerShell verwenden.>

Tipp: Oben auf der Flyoutseite wird eine Nachricht zu Richtlinien angezeigt, die mittels PowerShell bearbeitet werden müssen.

Löschen von Richtlinien im Dashboard

Um eine Richtlinie zu löschen, wählen Sie das Symbol Löschen aus, und bestätigen Sie dann, dass Sie die Richtlinie löschen möchten. Die Richtlinie wird aus dem Dashboard entfernt, es kann jedoch bis zu 30 Minuten dauern, bis die Richtlinie aus Ihrer Organisation entfernt wurde.

Erstellen und Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle in PowerShell

Aufbewahrungsrichtlinien für Überwachungsprotokolle können auch mithilfe von Security & Compliance Center-PowerShell erstellt und verwaltet werden. Ein Grund für die Verwendung von PowerShell ist das Erstellen einer Richtlinie für einen Datensatztyp oder eine Aktivität, der bzw. die auf der Benutzeroberfläche nicht verfügbar ist.

Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle in PowerShell

Gehen Sie folgendermaßen vor, um eine Aufbewahrungsrichtlinie für Überwachungsprotokolle in PowerShell zu erstellen:

  1. Herstellen einer Verbindung zur Security & Compliance Center-PowerShell.

  2. Führen Sie zum Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle den folgenden Befehl aus:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    In diesem Beispiel wird eine Aufbewahrungsrichtlinie für Überwachungsprotokolle namens "Microsoft Teams Audit Policy" mit diesen Einstellungen erstellt:

    • Eine Beschreibung der Richtlinie.
    • Bewahrt alle Microsoft Teams-Aktivitäten auf (gemäß der Definition durch den RecordType-Parameter).
    • Bewahrt Microsoft Teams-Überwachungsprotokolle 10 Jahre lang auf.
    • Eine Priorität von 100.

Hier ist ein weiteres Beispiel für das Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle. Diese Richtlinie speichert Überwachungsprotokolle für die Aktivität "Benutzer angemeldet" für den Benutzer admin@contoso.onmicrosoft.comsechs Monate lang.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Weitere Informationen finden Sie unter New-UnifiedAuditLogRetentionPolicy-.

Anzeigen von Richtlinien in PowerShell

Verwenden Sie das Cmdlet Get-UnifiedAuditLogRetentionPolicy in Security & Compliance Center-PowerShell, um Aufbewahrungsrichtlinien für Überwachungsprotokolle anzuzeigen.

Hier ist ein Beispielbefehl zum Anzeigen der Einstellungen für alle Aufbewahrungsrichtlinien für Überwachungsprotokolle in Ihrer Organisation. Mit diesem Befehl werden die Richtlinien von der höchsten bis zur niedrigsten Priorität sortiert.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Hinweis

Das Cmdlet Get-UnifiedAuditLogRetentionPolicy gibt nicht die standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für Ihre Organisation zurück.

Bearbeiten von Richtlinien in PowerShell

Verwenden Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy in Security & Compliance Center-PowerShell, um eine bestehende Aufbewahrungsrichtlinie für Überwachungsprotokolle zu bearbeiten.

Löschen von Richtlinien in PowerShell

Verwenden Sie das Cmdlet Remove-UnifiedAuditLogRetentionPolicy in Security & Compliance Center-PowerShell, um eine Aufbewahrungsrichtlinie für Überwachungsprotokolle zu löschen. Es kann bis zu 30 Minuten dauern, bis die Richtlinie aus Ihrer Organisation entfernt wurde.

Standarddatensatztypen für Aufbewahrungsrichtlinien

Überwachungsdatensätze für Vorgänge in Microsoft Entra ID, Exchange Online, SharePoint Online und OneDrive for Business werden standardmäßig ein Jahr lang aufbewahrt. In der folgenden Tabelle sind alle Datensatztypen (für jeden dieser Dienste) aufgelistet, die in der standardmäßigen Aufbewahrungsrichtlinie für Überwachungsprotokolle enthalten sind. Dies bedeutet, dass Überwachungsprotokolle für jeden Vorgang mit diesem Datensatztyp für ein Jahr aufbewahrt werden, es sei denn, eine benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle hat Vorrang in Hinblick auf einen bestimmten Datensatztyp, Vorgang oder Benutzer. Der Enumerationswert (der als Wert für die RecordType-Eigenschaft in einem Überwachungsdatensatz angezeigt wird) ist in Klammern angezeigt.

Dies bedeutet, dass Überwachungsprotokolle für jeden Vorgang mit diesem Datensatztyp für ein Jahr aufbewahrt werden, es sei denn, eine benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle hat Vorrang in Hinblick auf einen bestimmten Datensatztyp, Vorgang oder Benutzer. Der Enumerationswert (der als Wert für die RecordType-Eigenschaft in einem Überwachungsdatensatz angezeigt wird) für jeden Datensatztyp wird in Klammern angezeigt.

AzureActiveDirectory Exchange SharePoint oder OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Campaign (62) Project (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)