Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez créer et gérer des stratégies de rétention des journaux d’audit dans le portail Microsoft Purview. Les stratégies de rétention du journal d’audit font partie des nouvelles fonctionnalités d’Audit (Premium) de Microsoft Purview. Une stratégie de rétention de journal d’audit vous permet de spécifier la durée de conservation des journaux d’audit dans votre organisation. Vous pouvez conserver des journaux d’audit pendant 10 ans. Vous pouvez créer des stratégies en fonction des critères suivants :
- Toutes les activités dans un ou plusieurs services Microsoft
- Activités spécifiques dans un service Microsoft effectuées par tous les utilisateurs ou par des utilisateurs spécifiques
- Niveau de priorité qui spécifie la stratégie prioritaire si vous avez plusieurs stratégies dans votre organization
Stratégie de rétention du journal d’audit par défaut dans Audit (Premium)
Audit (Premium) dans Microsoft Purview fournit une stratégie de rétention des journaux d’audit par défaut pour toutes les organisations. Vous ne pouvez pas modifier cette stratégie. Il conserve tous les enregistrements d’audit Exchange Online, SharePoint, OneDrive et Microsoft Entra pendant un an. Cette stratégie par défaut conserve les enregistrements d’audit qui contiennent la valeur d’AzureActiveDirectory, Exchange, OneDrive et SharePoint pour la propriété Workload (qui est le service dans lequel l’activité s’est produite). Les enregistrements d’audit de toutes les autres activités sont conservés pendant 180 jours par défaut ou vous pouvez modifier la durée de rétention à l’aide d’une stratégie de rétention personnalisée.
Remarque
La stratégie de rétention des journaux d’audit par défaut s’applique uniquement aux enregistrements d’audit pour les activités effectuées par les utilisateurs auxquels une licence Office 365 ou Microsoft 365 E5 ou qui ont une Suite Microsoft Purview (anciennement appelée Microsoft 365 E5 Conformité) ou E5 eDiscovery et Licence de module complémentaire d’audit. Si vous avez des utilisateurs non-E5 ou des utilisateurs invités dans votre organization, leurs enregistrements d’audit correspondants sont conservés pendant 180 jours.
Importante
La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.
Avant de créer une stratégie de rétention de journal d’audit
Vous avez besoin du rôle Configuration de l’organisation dans le portail Microsoft Purview pour créer ou modifier une stratégie de rétention d’audit.
Votre organization peut avoir jusqu’à 50 stratégies de rétention des journaux d’audit.
Pour conserver un journal d’audit pendant plus de 180 jours (et jusqu’à 1 an), l’utilisateur qui génère le journal d’audit (en effectuant une activité auditée) doit disposer d’une licence Office 365 E5 ou Microsoft 365 E5 ou d’une Suite Microsoft Purview (anciennement appelée Microsoft 365 E5 Conformité) ou E5 eDiscovery et Licence de module complémentaire d’audit. Pour conserver les journaux d’audit pendant 10 ans, l’utilisateur qui génère le journal d’audit doit également disposer d’une licence complémentaire de rétention du journal d’audit de 10 ans en plus d’une licence E5.
Remarque
Si l’utilisateur qui génère le journal d’audit ne répond pas à ces exigences de licence, les données sont conservées conformément à la stratégie de rétention de priorité la plus élevée. Cette rétention peut être la stratégie de rétention par défaut pour la licence de l’utilisateur ou la stratégie de priorité la plus élevée qui correspond à l’utilisateur et à son type d’enregistrement.
Toutes les stratégies de rétention de journal d’audit personnalisées (créées par votre organisation) sont prioritaires sur la stratégie de rétention par défaut. Par exemple, si vous créez une stratégie de rétention du journal d’audit pour l’activité de boîte aux lettres Exchange dont la période de rétention est inférieure à un an, les enregistrements d’audit pour les activités de boîte aux lettres Exchange sont conservés pendant la durée plus courte spécifiée par la stratégie personnalisée.
La durée de vie des éléments d’audit pour les données est déterminée lorsque vous les ajoutez au pipeline d’audit et est basée sur les paramètres de licence par défaut ou les stratégies de rétention applicables. Toute modification apportée aux licences ou aux stratégies de rétention applicables modifie le délai d’expiration des données d’audit après la mise à jour. Ces modifications ne mettent pas à jour les éléments précédemment validées.
Créer une stratégie de rétention de journal d’audit
Effectuez les étapes suivantes pour créer une stratégie de rétention d’audit :
Connectez-vous au portail Microsoft Purview avec un compte d’utilisateur affecté au rôle Configuration de l’organisation dans la page Rôles & étendues du portail Microsoft Purview.
Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.
Sélectionnez Créer une stratégie de rétention d’audit, puis renseignez les champs suivants sur la page de menu volant :
Nom de la stratégie : nom de la stratégie de rétention du journal d’audit. Ce nom doit être unique dans votre organization et vous ne pouvez pas le modifier après avoir créé la stratégie.
Description : Facultatif, mais utile pour fournir des informations sur la stratégie, telles que le type d’enregistrement ou la charge de travail, les utilisateurs spécifiés dans la stratégie et la durée.
Utilisateurs : sélectionnez un ou plusieurs utilisateurs auxquels la stratégie doit être appliquée. Si vous laissez cette zone vide, la stratégie s’applique à tous les utilisateurs.
Type d’enregistrement : type d’enregistrement d’audit auquel la stratégie s’applique. Si vous laissez cette propriété vide, la stratégie s’applique à tous les types d’enregistrements. Vous pouvez sélectionner un seul type d’enregistrement ou plusieurs types d’enregistrements :
Si vous sélectionnez un seul type d’enregistrement, le champ Activités s’affiche de façon dynamique. Utilisez la liste déroulante pour sélectionner des activités à partir du type d’enregistrement sélectionné auquel appliquer la stratégie. Si vous ne choisissez pas d’activités spécifiques, la stratégie s’applique à toutes les activités du type d’enregistrement sélectionné.
- Si vous sélectionnez plusieurs types d’enregistrements, vous n’avez pas la possibilité de sélectionner des activités. La stratégie s’applique à toutes les activités des types d’enregistrements sélectionnés.
- Durée : la durée de conservation des journaux d’audit qui correspondent aux critères de la stratégie. Les options disponibles sont 7 jours, 30 jours, 6 mois, 9 mois, 1 an, 3 ans, 5 ans et 7 ans. Les utilisateurs disposant de la licence du module complémentaire rétention du journal d’audit de 10 ans peuvent sélectionner une option 10 ans .
Importante
Pour conserver les journaux d’audit pour les options de durée de 7 et 30 jours, vous devez disposer d’un abonnement Microsoft 365 Entreprise E5. Pour conserver les journaux d’audit pour les options de durée de 3, 5 et 7 ans, vous devez être affecté à une licence complémentaire de rétention du journal d’audit de 10 ans en plus de votre abonnement Microsoft 365 Entreprise E5. Pour plus d’informations sur les abonnements d’audit et les modules complémentaires, consultez Audit des solutions dans Microsoft Purview
- Priorité : cette valeur détermine l’ordre dans lequel les stratégies de rétention du journal d’audit dans votre organization sont traitées. Une valeur faible implique une priorité élevée. Les priorités valides sont les valeurs numériques comprises entre 1 et 10 000. La valeur 1 est la priorité la plus élevée et la valeur 10 000 est la priorité la plus faible. Par exemple, une stratégie avec une valeur de 5 sera prioritaire sur une stratégie ayant une valeur de 10. Toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie par défaut pour votre organization.
Sélectionnez Enregistrer pour créer la stratégie de rétention du journal d’audit.
La nouvelle stratégie apparaît dans la liste de la page Stratégies .
Gérer les stratégies de rétention des journaux d’audit dans le portail Microsoft Purview
L’onglet Stratégies de rétention d’audit (également appelé tableau de bord) répertorie les stratégies de rétention du journal d’audit. Vous pouvez utiliser le tableau de bord pour afficher, modifier, et supprimer des stratégies de rétention d’audit.
Afficher des stratégies dans le tableau de bord
Le tableau de bord répertorie les stratégies de rétention des journaux d’audit. L’un des avantages de l’affichage des stratégies dans le tableau de bord est que vous pouvez sélectionner la colonne Priorité pour répertorier les stratégies dans l’ordre de priorité dans lequel elles sont appliquées. Comme indiqué précédemment, une valeur plus basse indique une priorité plus élevée.
Vous pouvez également sélectionner une stratégie pour afficher ses paramètres sur la page de menu volant.
Remarque
Le tableau de bord n’affiche pas la stratégie de rétention du journal d’audit par défaut pour votre organization.
Modifier des stratégies dans le tableau de bord
Pour modifier une stratégie, sélectionnez-la pour afficher la page de menu volant. Vous pouvez modifier un ou plusieurs paramètres, puis enregistrer vos modifications.
Importante
Si vous utilisez l’applet de commande New-UnifiedAuditLogRetentionPolicy , vous pouvez créer une stratégie de rétention du journal d’audit pour les types d’enregistrements ou les activités qui ne sont pas disponibles dans l’outil Créer une stratégie de rétention d’audit dans le tableau de bord. Dans ce cas, vous ne pouvez pas modifier la stratégie (par exemple, modifier la durée de rétention ou ajouter et supprimer des activités) à partir du tableau de bord Stratégies de rétention d’audit . Vous pouvez uniquement afficher et supprimer la stratégie dans le portail Microsoft Purview. Pour modifier la stratégie, vous devez utiliser l’applet de commande Set-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell.
Conseil
Un message s’affiche en haut de la page de menu volant pour les stratégies que vous devez modifier à l’aide de PowerShell.
Supprimer des stratégies dans le tableau de bord
Pour supprimer une stratégie, sélectionnez l’icône Supprimer , puis confirmez que vous souhaitez supprimer la stratégie. La stratégie est supprimée du tableau de bord, mais pourrait prendre au maximum 30 minutes pour être supprimée de votre organisation.
Créer et gérer des stratégies de rétention d’un journal d’audit dans PowerShell
Vous pouvez également utiliser Security & Compliance PowerShell pour créer et gérer des stratégies de rétention du journal d’audit. L’une des raisons de l’utilisation de PowerShell est la création d’une stratégie pour un type ou une activité d’enregistrement qui n’est pas disponible dans l’interface utilisateur.
Créer une stratégie de rétention de journal d’audit dans PowerShell
Pour créer une stratégie de rétention de journal d’audit dans PowerShell, suivez ces étapes :
Exécutez la commande suivante pour créer une stratégie de conservation des journaux d'audit :
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100Cet exemple crée une stratégie de rétention de journal d’audit nommée « Stratégie d’audit Microsoft Teams » ayant les paramètres suivants :
- Une description de la stratégie.
- Conserve toutes les activités Microsoft Teams (telles que définies par le paramètre RecordType).
- Conserve les journaux d'audit Microsoft Teams pendant 10 ans.
- Une priorité de 100.
Voici un autre exemple de création d’une stratégie de rétention de journal d’audit. Cette stratégie conserve les journaux d’audit de l’activité « Utilisateur connecté » pendant six mois pour l’utilisateur admin@contoso.onmicrosoft.com.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Pour plus d’informations, voir New-UnifiedAuditLogRetentionPolicy.
Afficher des stratégies dans PowerShell
Pour afficher les stratégies de rétention du journal d’audit, utilisez l’applet de commande Get-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell.
La commande suivante affiche les paramètres de toutes les stratégies de rétention du journal d’audit dans votre organization. Cette commande trie les stratégies de la priorité la plus élevée à la plus faible.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Remarque
La cmdlet Get-UnifiedAuditLogRetentionPolicy ne renvoie pas la stratégie de rétention de journal d’audit par défaut de votre organisation.
Modifier des stratégies dans PowerShell
Pour modifier une stratégie de rétention du journal d’audit existante, utilisez l’applet de commande Set-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell.
Supprimer des stratégies dans PowerShell
Pour supprimer une stratégie de rétention du journal d’audit, utilisez l’applet de commande Remove-UnifiedAuditLogRetentionPolicy dans Security & Compliance PowerShell. La suppression de la stratégie de votre organisation peut prendre jusqu’à 30 minutes.