Gérer les stratégies de rétention du journal d'audit

  • Article

Vous pouvez créer et gérer des stratégies de rétention des journaux d’audit dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview. Les stratégies de rétention du journal d’audit font partie des nouvelles fonctionnalités d’Audit (Premium) de Microsoft Purview. Une stratégie de rétention de journal d’audit vous permet de spécifier la durée de conservation des journaux d’audit dans votre organisation. Vous pouvez conserver des journaux d’audit pendant 10 ans. Vous pouvez créer des stratégies en fonction des critères suivants :

  • L'ensemble des activités d’un ou plusieurs services Microsoft 365
  • Des activités spécifiques (dans un service Microsoft 365) effectuées par l'ensemble des utilisateurs ou par des utilisateurs spécifiques
  • Un niveau de priorité indiquant la stratégie prioritaire si vous disposez de plusieurs stratégies au sein de votre organisation

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Une stratégie de rétention de journal d'audit par défaut

Audit (Premium) dans Microsoft Purview fournit une stratégie de rétention des journaux d’audit par défaut pour toutes les organisations. Cette stratégie ne peut pas être modifiée et conserve tous les enregistrements d’audit Exchange Online, SharePoint Online, OneDrive Entreprise et Microsoft Entra pendant un an. Cette stratégie par défaut conserve les enregistrements d’audit qui contiennent la valeur d’AzureActiveDirectory, Exchange, OneDrive et SharePoint pour la propriété Workload (qui est le service dans lequel l’activité s’est produite). Des charges de travail et des types d’enregistrements spécifiques peuvent être modifiés à une durée différente à l’aide d’une stratégie de rétention. Consultez la section Types d’enregistrements de stratégie de rétention par défaut de cet article pour obtenir la liste des types d’enregistrements pour chaque charge de travail incluse dans la stratégie par défaut.

Remarque

La stratégie de rétention du journal d’audit par défaut s’applique uniquement aux enregistrements d’audit pour les activités effectuées par les utilisateurs auxquels une licence Office 365 ou Microsoft 365 E5 est attribuée ou qui disposent de la Conformité Microsoft 365 E5 ou E5 eDiscovery et d’une licence de complément d’audit. Si vous avez des utilisateurs non-E5 ou des utilisateurs invités dans votre organization, leurs enregistrements d’audit correspondants sont conservés pendant 180 jours.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Avant de créer une stratégie de rétention de journal d’audit

  • Le rôle Configuration de l’organisation doit vous être attribué dans le portail Microsoft Purview ou le portail de conformité pour créer ou modifier une stratégie de rétention d’audit.

  • Vous pouvez disposer de 50 stratégies de rétention du journal d’audit au maximum au sein de votre organisation.

  • Pour conserver un journal d’audit pendant plus de 180 jours (et jusqu’à 1 an), l’utilisateur qui génère le journal d’audit (en effectuant une activité auditée) doit se voir attribuer une licence Office 365 E5 ou Microsoft 365 E5 ou disposer d’une licence de complément Microsoft 365 E5 Conformité ou E5 eDiscovery et Audit. Pour conserver les journaux d'audit pendant 10 ans, l'utilisateur qui génère le journal d'audit doit également se voir attribuer une licence complémentaire de rétention des journaux d'audit de 10 ans en plus d'une licence E5.

    Remarque

    Si l’utilisateur qui génère le journal d’audit ne répond pas à ces exigences de licence, les données sont conservées conformément à la stratégie de rétention de priorité la plus élevée. Il peut s’agir de la stratégie de rétention par défaut pour la licence de l’utilisateur ou de la stratégie de priorité la plus élevée qui correspond à l’utilisateur et à son type d’enregistrement.

  • Toutes les stratégies de rétention de journal d’audit personnalisées (créées par votre organisation) sont prioritaires sur la stratégie de rétention par défaut. Par exemple, si vous créez une stratégie de rétention de journal d’audit pour une activité de boîte aux lettres Exchange qui présente une période de rétention de moins d'un an, les enregistrements d’audit pour les activités de boîte aux lettres Exchange sont conservés pendant la durée plus courte spécifiée dans la stratégie personnalisée.

  • La durée de vie des éléments d’audit pour les données est déterminée lorsqu’elles sont ajoutées au pipeline d’audit et est basée sur les paramètres de licence par défaut ou les stratégies de rétention applicables. Toute modification apportée aux licences ou aux stratégies de rétention applicables modifie le délai d’expiration des données d’audit après la mise à jour. Ces modifications ne mettent pas à jour les éléments précédemment validées.

Créer une stratégie de rétention de journal d’audit

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Effectuez les étapes suivantes pour créer une stratégie de rétention d’audit :

  1. Connectez-vous au portail Microsoft Purview avec un compte d’utilisateur auquel le rôle Configuration de l’organisation est attribué dans la page Autorisations du portail de conformité.

  2. Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.

  3. Sélectionnez Créer une stratégie de rétention d’audit, puis renseignez les champs suivants sur la page de menu volant :

    Page de menu volant de la stratégie de rétention d'audit.

    1. Nom de la stratégie Le nom de la stratégie de rétention du journal d’audit. Ce nom doit être unique dans votre organization et ne peut pas être modifié une fois la stratégie créée.

    2. Description : facultatif, mais utile pour fournir des informations sur la stratégie, telles que le type d’enregistrement ou la charge de travail, les utilisateurs spécifiés dans la stratégie et la durée.

    3. Utilisateurs : sélectionnez un ou plusieurs utilisateurs auxquels la stratégie doit être appliquée. Si vous laissez cette zone vide, la stratégie s’applique à tous les utilisateurs. Si vous laissez le Type d’enregistrement vierge, vous devez alors sélectionner un utilisateur.

    4. Type d’enregistrement : le type d’enregistrement d’audit auquel la stratégie s’applique. Si vous laissez cette propriété vierge, vous devez sélectionner un utilisateur dans la zone Utilisateurs. Vous pouvez sélectionner un seul type d’enregistrement ou plusieurs types d’enregistrements :

      • Si vous sélectionnez un seul type d’enregistrement, le champ Activités s’affiche de façon dynamique. Vous pouvez utiliser la liste déroulante pour sélectionner les activités du type d’enregistrement sélectionné auquel la stratégie doit être appliquée. Si vous ne choisissez pas d’activités spécifiques, la stratégie s’applique à toutes les activités du type d’enregistrement sélectionné.
      • Si vous sélectionnez plusieurs types d’enregistrements, vous n’avez pas la possibilité de sélectionner des activités. La stratégie s’applique à toutes les activités des types d’enregistrements sélectionnés.

    5. Durée : la durée de conservation des journaux d’audit qui correspondent aux critères de la stratégie. Les options disponibles sont 7 jours, 30 jours, 6 mois, 9 mois, 1 an, 3 ans (préversion),5 ans (préversion) et 7 ans (préversion). Les utilisateurs disposant de la licence du module complémentaire rétention du journal d’audit de 10 ans peuvent sélectionner une option 10 ans .

      Importante

      Pour conserver les journaux d’audit pour les options de durée de 7 et 30 jours, vous devez disposer d’un abonnement Microsoft 365 Entreprise E5. Pour conserver les journaux d’audit pour les options de durée de 3 (préversion), 5 (préversion) et 7 (préversion), vous devez être affecté à une licence complémentaire de rétention des journaux d’audit de 10 ans en plus de votre abonnement Microsoft 365 Entreprise E5. Pour plus d’informations sur les abonnements d’audit et les modules complémentaires, consultez Audit des solutions dans Microsoft Purview

    6. Priorité : cette valeur détermine l’ordre dans lequel les stratégies de rétention du journal d’audit sont traitées au sein de votre organisation. Une valeur faible implique une priorité élevée. Les priorités valides sont les valeurs numériques comprises entre 1 et 10 000. La valeur 1 est la priorité la plus élevée et la valeur 10 000 est la priorité la plus faible. Par exemple, une stratégie avec une valeur de 5 sera prioritaire sur une stratégie ayant une valeur de 10. Toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie par défaut pour votre organization.

  4. Sélectionnez Enregistrer pour créer la stratégie de rétention du journal d’audit.

La nouvelle stratégie s’affiche dans la liste de la page Stratégies .

Gérer les stratégies de rétention du journal d’audit dans le portail de conformité

Les stratégies de rétention du journal d’audit sont répertoriées sur l’onglet Stratégies de rétention d’audit (également appelé tableau de bord). Vous pouvez utiliser le tableau de bord pour afficher, modifier, et supprimer des stratégies de rétention d’audit.

Afficher des stratégies dans le tableau de bord

Les stratégies de rétention du journal d’audit sont répertoriées dans le tableau de bord. L’un des avantages de l’affichage des stratégies dans le tableau de bord est que vous pouvez sélectionner la colonne Priorité pour répertorier les stratégies dans la priorité dans laquelle elles sont appliquées. Comme indiqué précédemment, une valeur plus basse indique une priorité plus élevée.

Colonne de priorité dans le Tableau de bord des stratégies de rétention d’audit.

Vous pouvez également sélectionner une stratégie pour afficher ses paramètres sur la page de menu volant.

Remarque

La stratégie de rétention du journal d’audit par défaut de votre organisation n’est pas affichée dans le tableau de bord.

Modifier des stratégies dans le tableau de bord

Pour modifier une stratégie, sélectionnez-la pour afficher la page de menu volant. Vous pouvez modifier un ou plusieurs paramètres, puis enregistrer vos modifications.

Importante

Si vous utilisez la cmdlet New-UnifiedAuditLogRetentionPolicy , il est possible de créer une stratégie de rétention de journal d’audit des types d’enregistrements ou des activités qui ne sont pas disponibles dans l’outil Créer une stratégie de rétention d’audit dans le tableau de bord. Dans ce cas, vous ne pouvez pas modifier la stratégie (par exemple, modifier la durée de rétention ou ajouter et supprimer des activités) du tableau de bord Stratégies de rétention d’audit. Seul le portail de conformité Microsoft Purview vous permet d’afficher et de supprimer la stratégie. Pour modifier la stratégie, vous devez utiliser l’applet de commande Set-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell.>

Conseil : Un message affiche en haut de la page de menu volant les stratégies qui doivent être modifiées à l’aide de PowerShell.

Supprimer des stratégies dans le tableau de bord

Pour supprimer une stratégie, sélectionnez l’icône Supprimer , puis confirmez que vous souhaitez supprimer la stratégie. La stratégie est supprimée du tableau de bord, mais pourrait prendre au maximum 30 minutes pour être supprimée de votre organisation.

Créer et gérer des stratégies de rétention d’un journal d’audit dans PowerShell

Vous pouvez également utiliser Security & Compliance PowerShell pour créer et gérer des stratégies de rétention du journal d’audit. L’une des raisons de l’utilisation de PowerShell est la création d’une stratégie pour un type ou une activité d’enregistrement qui n’est pas disponible dans l’interface utilisateur.

Créer une stratégie de rétention de journal d’audit dans PowerShell

Pour créer une stratégie de rétention de journal d’audit dans PowerShell, suivez ces étapes :

  1. Se connecter à Security & Compliance PowerShell.

  2. Exécutez la commande suivante pour créer une stratégie de conservation des journaux d'audit :

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    Cet exemple crée une stratégie de rétention de journal d’audit nommée « Stratégie d’audit Microsoft Teams » ayant les paramètres suivants :

    • Une description de la stratégie.
    • Conserve toutes les activités Microsoft Teams (telles que définies par le paramètre RecordType).
    • Conserve les journaux d'audit Microsoft Teams pendant 10 ans.
    • Une priorité de 100.

Voici un autre exemple de création d’une stratégie de rétention de journal d’audit. Cette stratégie conserve les journaux d’audit de l’activité « Utilisateur connecté » pendant six mois pour l’utilisateur admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Pour plus d’informations, voir New-UnifiedAuditLogRetentionPolicy.

Afficher des stratégies dans PowerShell

Pour afficher les stratégies de rétention du journal d’audit, utilisez l’applet de commande Get-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell.

Voici un exemple de commande pour l’affichage des paramètres de stratégies de rétention de journal d’audit au sein de votre organisation. Cette commande trie les stratégies de la priorité la plus élevée à la plus faible.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Remarque

La cmdlet Get-UnifiedAuditLogRetentionPolicy ne renvoie pas la stratégie de rétention de journal d’audit par défaut de votre organisation.

Modifier des stratégies dans PowerShell

Pour modifier une stratégie de rétention du journal d’audit existante, utilisez l’applet de commande Set-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell.

Supprimer des stratégies dans PowerShell

Pour supprimer une stratégie de rétention du journal d’audit, utilisez l’applet de commande Remove-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell. La suppression de la stratégie de votre organisation peut prendre jusqu’à 30 minutes.

Types d’enregistrements de stratégie de rétention par défaut

Les enregistrements d’audit des opérations dans Microsoft Entra ID, Exchange Online, SharePoint Online et OneDrive Entreprise sont conservés par défaut pendant un an. Le tableau suivant répertorie tous les types d’enregistrements (pour chaque service) inclus dans la stratégie de rétention par défaut du journal d’audit. Cela signifie que les journaux d’audit pour toute opération ayant ce type d’enregistrement sont conservés pendant un an, sauf si une stratégie de rétention de journal d’audit personnalisée est prioritaire pour un type d’enregistrement, une opération ou un utilisateur spécifique. La valeur Enum (affichée comme valeur de la propriété RecordType dans un enregistrement d’audit) pour chaque type d’enregistrement est affichée entre parenthèses.

Cela signifie que les journaux d’audit pour toute opération ayant ce type d’enregistrement sont conservés pendant un an, sauf si une stratégie de rétention de journal d’audit personnalisée est prioritaire pour un type d’enregistrement, une opération ou un utilisateur spécifique. La valeur Enum (qui est affichée comme valeur de la propriété RecordType dans un enregistrement d’audit) pour chaque type d’enregistrement est affichée entre parenthèses.

AzureActiveDirectory Exchange SharePoint ou OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Campaign (62) Project (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)