Správa zásad uchovávání protokolů auditování
Zásady uchovávání protokolů auditu můžete vytvářet a spravovat v Portál dodržování předpisů Microsoft Purview. Zásady uchovávání protokolů auditu jsou součástí nových funkcí Microsoft Purview Audit (Premium). Zásady uchovávání protokolů auditu umožňují určit, jak dlouho se mají protokoly auditu ve vaší organizaci uchovávat. Protokoly auditu můžete uchovávat až 10 let. Zásady můžete vytvořit na základě následujících kritérií:
- Všechny aktivity v jedné nebo více službách Microsoftu 365
- Konkrétní aktivity (ve službě Microsoft 365) prováděné všemi uživateli nebo konkrétními uživateli
- Úroveň priority, která určuje, které zásady mají přednost ve vaší organizaci, máte více zásad ve vaší organizaci.
Tip
Pokud nejste zákazníkem E5, využijte 90denní zkušební verzi řešení Microsoft Purview a zjistěte, jak můžou další funkce purview pomoci vaší organizaci spravovat požadavky na zabezpečení dat a dodržování předpisů. Začněte hned v centru zkušebních verzí Portál dodržování předpisů Microsoft Purview. Přečtěte si podrobnosti o podmínkách registrace a zkušebních verzích.
Výchozí zásady uchovávání protokolů auditu
Audit (Premium) v Microsoftu 365 poskytuje výchozí zásady uchovávání protokolů auditu pro všechny organizace. Tato zásada uchovává všechny záznamy auditu Exchange Online, SharePointu Online, OneDrive pro firmy a Azure Active Directory po dobu jednoho roku. Tato výchozí zásada uchovává záznamy auditu, které obsahují hodnotu AzureActiveDirectory, Exchange, OneDrive a SharePoint pro vlastnost Workload (což je služba, ve které k aktivitě došlo). Výchozí zásadu nelze změnit. Seznam typů záznamů pro každou úlohu, které jsou součástí výchozích zásad, najdete v části Další informace v tomto článku.
Poznámka
Výchozí zásady uchovávání protokolů auditu se vztahují jenom na záznamy auditu pro aktivity prováděné uživateli, kteří mají přiřazenou licenci Office 365 nebo Microsoft 365 E5 nebo mají licenci doplňku Microsoft 365 E5 Compliance nebo E5 eDiscovery a Audit. Pokud ve vaší organizaci máte jiné uživatele než E5 nebo uživatele typu host, jejich odpovídající záznamy auditu se uchovávají po dobu 90 dnů.
Před vytvořením zásad uchovávání protokolů auditu
Pokud chcete vytvořit nebo upravit zásady uchovávání informací auditu, musíte mít na portálu pro dodržování předpisů přiřazenou roli Konfigurace organizace.
Ve vaší organizaci můžete mít maximálně 50 zásad uchovávání protokolů auditu.
Pokud chcete uchovávat protokol auditu po dobu delší než 90 dnů (a až 1 rok), musí být uživateli, který protokol auditování generuje (provedením auditované aktivity), přiřazena Office 365 E5 nebo Microsoft 365 E5 licence nebo mít Microsoft 365 E5 Compliance nebo licenci doplňku E5 eDiscovery a Audit. Pokud chcete uchovávat protokoly auditu po dobu 10 let, musí být uživateli, který generuje protokol auditu, přiřazena kromě licence E5 také 10letá doplňková licence pro uchovávání protokolu auditu.
Poznámka
Pokud uživatel, který generuje protokol auditu, nesplňuje tyto licenční požadavky, data se uchovávají podle zásad uchovávání informací s nejvyšší prioritou. Může to být buď výchozí zásada uchovávání informací pro licenci uživatele, nebo zásada s nejvyšší prioritou, která odpovídá uživateli a jeho typu záznamu.
Všechny vlastní zásady uchovávání protokolů auditu (vytvořené vaší organizací) mají přednost před výchozími zásadami uchovávání informací. Pokud například vytvoříte zásadu uchovávání protokolu auditu pro aktivitu poštovní schránky Exchange, která má dobu uchovávání kratší než jeden rok, záznamy auditu pro aktivity poštovní schránky Exchange se uchovávají po kratší dobu určenou vlastními zásadami.
Vytvoření zásady uchovávání protokolů auditu
Přejděte na https://compliance.microsoft.com a přihlaste se pomocí uživatelského účtu, který má přiřazenou roli Konfigurace organizace na stránce Oprávnění na portálu pro dodržování předpisů.
V levém podokně portálu pro dodržování předpisů vyberte Auditovat.
Vyberte kartu Auditovat zásady uchovávání informací .
Vyberte Vytvořit zásadu uchovávání informací o auditu a pak na stránce informačního rámečku vyplňte následující pole:
Název zásady: Název zásady uchovávání protokolů auditu. Tento název musí být ve vaší organizaci jedinečný a po vytvoření zásady se nedá změnit.
Popis: Volitelné, ale užitečné k poskytování informací o zásadách, jako je typ záznamu nebo úloha, uživatelé zadaná v zásadách a doba trvání.
Uživatelé: Vyberte jednoho nebo více uživatelů, na které chcete zásadu použít. Pokud toto pole necháte prázdné, budou zásady platit pro všechny uživatele. Pokud necháte typ záznamu prázdný, musíte vybrat uživatele.
Typ záznamu: Typ záznamu auditu, na který se zásady vztahují. Pokud necháte tuto vlastnost prázdnou, musíte vybrat uživatele v poli Uživatelé . Můžete vybrat jeden typ záznamu nebo několik typů záznamů:
- Pokud vyberete jeden typ záznamu, dynamicky se zobrazí pole Aktivity . Pomocí rozevíracího seznamu můžete vybrat aktivity z vybraného typu záznamu, na které chcete zásadu použít. Pokud nevyberete konkrétní aktivity, budou se zásady vztahovat na všechny aktivity vybraného typu záznamu.
- Pokud vyberete více typů záznamů, nebudete moct vybrat aktivity. Zásady se budou vztahovat na všechny aktivity vybraných typů záznamů.
Doba trvání: Doba uchovávání protokolů auditu, které splňují kritéria zásad.
Prioritou: Tato hodnota určuje pořadí, ve kterém se ve vaší organizaci zpracovávají zásady uchovávání protokolů auditu. Nižší hodnota označuje vyšší prioritu. Platné priority jsou číselné hodnoty od 1 do 10000. Hodnota 1 je nejvyšší priorita a hodnota 10000 je nejnižší prioritou. Například zásada s hodnotou 5 má přednost před zásadou s hodnotou 10. Jak už bylo vysvětleno výše, všechny vlastní zásady uchovávání protokolů auditu mají pro vaši organizaci přednost před výchozími zásadami.
Vyberte Uložit a vytvořte nové zásady uchovávání protokolů auditování.
Nová zásada se zobrazí v seznamu na kartě Auditování zásad uchovávání informací .
Správa zásad uchovávání protokolů auditu na portálu pro dodržování předpisů
Zásady uchovávání protokolu auditu jsou uvedené na kartě Zásady uchovávání informací auditu (označované také jako řídicí panel). Pomocí řídicího panelu můžete zobrazit, upravit a odstranit zásady uchovávání informací o auditu.
Zobrazení zásad na řídicím panelu
Zásady uchovávání protokolů auditu jsou uvedené na řídicím panelu. Jednou z výhod zobrazení zásad na řídicím panelu je, že můžete vybrat sloupec Priorita a vypsat zásady s prioritou, ve které se použijí. Jak jsme si vysvětlili dříve, nižší hodnota označuje vyšší prioritu.
Můžete také vybrat zásadu a zobrazit její nastavení na stránce informačního rámečku.
Poznámka
Výchozí zásady uchovávání protokolů auditu pro vaši organizaci se na řídicím panelu nezobrazují.
Úprava zásad na řídicím panelu
Pokud chcete upravit zásadu, vyberte ji, aby se zobrazila stránka informačního rámečku. Můžete upravit jedno nebo více nastavení a pak provedené změny uložit.
Důležité
Pokud používáte rutinu New-UnifiedAuditLogRetentionPolicy , je možné vytvořit zásadu uchovávání protokolů auditu pro typy záznamů nebo aktivity, které nejsou dostupné v nástroji Vytvořit zásady uchovávání informací auditu na řídicím panelu. V takovém případě nebudete moct zásady upravovat (například změnit dobu uchovávání informací nebo přidat a odebrat aktivity) z řídicího panelu Auditovat zásady uchovávání informací . Zásady budete moct zobrazit a odstranit jenom v Portál dodržování předpisů Microsoft Purview. Pokud chcete zásadu upravit, budete muset použít rutinu Set-UnifiedAuditLogRetentionPolicy v PowerShellu pro dodržování předpisů zabezpečení & .>
Tip: V horní části stránky informačního rámečku se zobrazí zpráva o zásadách, které je potřeba upravit pomocí PowerShellu.
Odstranění zásad na řídicím panelu
Pokud chcete odstranit zásadu, vyberte 
a potvrďte, že chcete zásadu odstranit. Zásada se odebere z řídicího panelu, ale odebrání zásady z vaší organizace může trvat až 30 minut.
Vytváření a správa zásad uchovávání protokolů auditu v PowerShellu
K vytváření a správě zásad uchovávání protokolů auditu můžete také použít PowerShell pro dodržování předpisů zabezpečení & . Jedním z důvodů, proč používat PowerShell, je vytvořit zásadu pro typ záznamu nebo aktivitu, která není dostupná v uživatelském rozhraní.
Vytvoření zásady uchovávání protokolů auditu v PowerShellu
Postupujte podle těchto kroků a vytvořte zásady uchovávání protokolů auditu v PowerShellu:
Připojení k zabezpečení & PowerShell pro dodržování předpisů.
Spuštěním následujícího příkazu vytvořte zásady uchovávání protokolů auditu:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100Tento příklad vytvoří zásadu uchovávání protokolu auditu s názvem Zásady auditu Microsoft Teams s těmito nastaveními:
- Popis zásad.
- Zachovává všechny aktivity Microsoft Teams (definované parametrem RecordType ).
- Uchovává protokoly auditu Microsoft Teams po dobu 10 let.
- Priorita 100.
Tady je další příklad vytvoření zásad uchovávání protokolu auditu. Tato zásada uchovává protokoly auditu pro aktivitu Přihlášený uživatel po dobu šesti měsíců pro uživatele admin@contoso.onmicrosoft.com.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Další informace najdete v tématu New-UnifiedAuditLogRetentionPolicy.
Zobrazení zásad v PowerShellu
Pomocí rutiny Get-UnifiedAuditLogRetentionPolicy v PowerShellu dodržování předpisů zabezpečení & zobrazte zásady uchovávání protokolů auditu.
Tady je ukázkový příkaz, který zobrazí nastavení pro všechny zásady uchovávání protokolů auditu ve vaší organizaci. Tento příkaz seřadí zásady od nejvyšší po nejnižší prioritu.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Poznámka
Rutina Get-UnifiedAuditLogRetentionPolicy nevrací výchozí zásady uchovávání protokolů auditu pro vaši organizaci.
Úprava zásad v PowerShellu
Pomocí rutiny Set-UnifiedAuditLogRetentionPolicy v PowerShellu dodržování předpisů zabezpečení & upravte existující zásady uchovávání protokolů auditu.
Odstranění zásad v PowerShellu
Pomocí rutiny Remove-UnifiedAuditLogRetentionPolicy v PowerShellu dodržování předpisů zabezpečení & odstraňte zásady uchovávání protokolů auditu. Odebrání zásady z vaší organizace může trvat až 30 minut.
Další informace
Jak už jsme uvedli, záznamy auditu pro operace v Azure Active Directory, Exchange Online, SharePointu Online a OneDrive pro firmy se ve výchozím nastavení uchovávají po dobu jednoho roku. Následující tabulka uvádí všechny typy záznamů (pro každou z těchto služeb), které jsou součástí výchozích zásad uchovávání protokolů auditu. To znamená, že protokoly auditu pro všechny operace s tímto typem záznamu se uchovávají po dobu jednoho roku, pokud vlastní zásady uchovávání protokolů auditu nemají přednost pro konkrétní typ záznamu, operaci nebo uživatele. Hodnota Výčtu (která se zobrazí jako hodnota vlastnosti RecordType v záznamu auditu) pro každý typ záznamu se zobrazuje v závorkách.
| AzureActiveDirectory | Exchange | SharePoint nebo OneDrive |
|---|---|---|
| AzureActiveDirectory (8) | ExchangeAdmin (1) | ComplianceDLPSharePoint (11) |
| AzureActiveDirectoryAccountLogon (9) | ExchangeItem (2) | ComplianceDLPSharePointClassification (33) |
| AzureActiveDirectoryStsLogon (15) | Kampaň (62) | Projekt (35) |
| ComplianceDLPExchange (13) | SharePoint (4) | |
| ComplianceSupervisionExchange (68) | SharePointCommentOperation (37) | |
| CustomerKeyServiceEncryption (69) | SharePointContentTypeOperation (55) | |
| ExchangeAggregatedOperation (19) | SharePointFieldOperation (56) | |
| ExchangeItemAggregated (50) | SharePointFileOperation (6) | |
| ExchangeItemGroup (3) | SharePointListOperation (36) | |
| InformationBarrierPolicyApplication (53) | SharePointSharingOperation (14) | |