Gerenciar políticas de retenção de log de auditoria

Você pode criar e gerenciar políticas de retenção de log de auditoria no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview. As políticas de retenção de log de auditoria fazem parte dos novos recursos de Auditoria do Microsoft Purview (Premium). Uma política de retenção de log de auditoria permite especificar por quanto tempo reter os logs de auditoria em sua organização. Você pode manter os logs de auditoria por até dez anos. Você pode criar políticas com base nos critérios a seguir:

• Todas as atividades em um ou mais serviços do Microsoft 365
• As atividades específicas (em um serviço do Microsoft 365) executadas por todos os usuários ou por usuários específicos
• Um nível de prioridade que especifica qual política tem precedência se você tiver várias políticas em sua organização

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Política de retenção de log de auditoria padrão

A auditoria (Premium) no Microsoft Purview fornece uma política de retenção de log de auditoria padrão para todas as organizações. Essa política não pode ser modificada e mantém todos os registros de auditoria Exchange Online, SharePoint, OneDrive e Microsoft Entra por um ano. Essa política padrão retém registros de auditoria que contêm o valor de AzureActiveDirectory, Exchange, OneDrive e SharePoint para a propriedade Workload (que é o serviço no qual a atividade ocorreu). Cargas de trabalho específicas e tipos de registro podem ser alterados para uma duração diferente usando uma política de retenção. Consulte a seção Tipos de registro de política de retenção padrão neste artigo para obter uma lista de tipos de registro para cada carga de trabalho incluída na política padrão.

Observação

A política de retenção do log de auditoria padrão aplica-se somente a registros de auditoria para atividades executadas por usuários que receberam uma licença do Office 365 ou Microsoft 365 E5 ou têm uma licença complementar do Microsoft 365 E5 Compliance ou E5 Descoberta Eletrônica e licença complementar de Auditoria. Se você tiver usuários não E5 ou usuários convidados em sua organização, os registros de auditoria correspondentes serão mantidos por 180 dias.

Importante

O período de retenção padrão para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os logs de auditoria (Standard) gerados antes de 17 de outubro de 2023 são mantidos por 90 dias. Os logs de auditoria (Standard) gerados em ou após 17 de outubro de 2023 seguem a nova retenção padrão de 180 dias.

Antes de você criar uma política de retenção de log de auditoria

• Você precisa receber a função Configuração da Organização no portal do Microsoft Purview ou no portal de conformidade para criar ou modificar uma política de retenção de auditoria.

• Você pode ter até 50 políticas de retenção de log de auditoria em sua organização.

• Para manter um log de auditoria por mais de 180 dias (e até 1 ano), o usuário que gera o log de auditoria (executando uma atividade auditada) deve receber uma licença de Office 365 E5 ou Microsoft 365 E5 ou ter uma licença de complemento de Microsoft 365 E5 Compliance ou E5 eDiscovery e Audit. Para reter logs de auditoria por 10 anos, o usuário que gera o log de auditoria também deve receber uma licença complementar de retenção de log de auditoria de 10 anos, além de uma licença E5.

  Observação

  Se o usuário que gera o log de auditoria não atender a esses requisitos de licenciamento, os dados serão mantidos de acordo com a política de retenção de maior prioridade. Essa pode ser a política de retenção padrão para a licença do usuário ou a política de maior prioridade que corresponde ao usuário e seu tipo de registro.

• Todas as políticas de retenção de log de auditoria personalizadas (criadas por sua organização) têm prioridade sobre a política de retenção padrão. Por exemplo, se você criar uma política de retenção de log de auditoria para a atividade de caixa de correio do Exchange que tenha um período de retenção menor que um ano, os registros de auditoria para as atividades de caixa de correio serão mantidos por um período menor especificado pela política personalizada.

• O tempo de vida do item de auditoria para dados é determinado quando ele é adicionado ao pipeline de auditoria e se baseia nos padrões de licenciamento ou nas políticas de retenção aplicáveis. Qualquer alteração nas políticas de licenciamento ou retenção aplicável altera o tempo de validade dos dados de auditoria após a atualização. Essas alterações não atualizam itens confirmados anteriormente.

Criar uma política de retenção de log de auditoria

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

Conclua as seguintes etapas para criar uma política de retenção de auditoria:

1. Entre no portal do Microsoft Purview com uma conta de usuário atribuída à função Configuração da Organização na página Permissões no portal de conformidade.

2. Selecione a solução de auditoria cartão. Se a solução auditar cartão não for exibida, selecione Exibir todas as soluções e selecione Auditoria na seção Core.

3. Selecione Create política de retenção de auditoria e conclua os seguintes campos na página de sobrevoo:

   

   • Nome da política: O nome da política de retenção do log de auditoria. Esse nome deve ser exclusivo em sua organização e não pode ser alterado após a criação da política.

   • Descrição: opcional, mas útil para fornecer informações sobre a política, como o tipo de registro ou a carga de trabalho, os usuários especificados na política e a duração.

   • Usuários: selecione um ou mais usuários aos quais aplicar a política. Se você deixar essa caixa em branco, a política se aplicará a todos os usuários. Se você deixar os Tipos de registro em branco, você deve selecionar um usuário.

   • Tipos de registro: O tipo de registro de auditoria ao qual a política se aplica. Além disso, se você deixar essa propriedade em branco, deve selecionar um usuário na caixa Usuários. Você pode selecionar um único tipo de registro ou vários tipos de registro:

     • Se você selecionar um único tipo de registro, o campo Atividades será exibido dinamicamente. Você pode usar a lista suspensa para selecionar atividades do tipo de registro selecionado para a qual aplicar a política. Se você não escolher atividades específicas, a política se aplica a todas as atividades do tipo de registro selecionado.
     • Se você selecionar vários tipos de registro, não será possível selecionar atividades. A política se aplica a todas as atividades dos tipos de registro selecionados.

   • Duração: O tempo necessário para manter os logs de auditoria que atendam aos critérios da política. As opções disponíveis são 7 Dias, 30 Dias, 6 Meses, 9 Meses, 1 Ano, 3 Anos (versão prévia), 5 Anos (versão prévia)e 7 Anos (versão prévia). Os usuários com a licença de complemento retenção de log de auditoria de 10 anos podem selecionar uma opção 10 Anos .

     Importante

     Para manter logs de auditoria para as opções de duração de 7 e 30 dias, você deve ter uma assinatura Microsoft 365 Enterprise E5. Para manter os logs de auditoria para as opções de duração de 3 (versão prévia), 5 (versão prévia) e 7 (versão prévia), você deve ser atribuído a uma licença de complemento de retenção de log de auditoria de 10 anos, além da assinatura Microsoft 365 Enterprise E5. Para obter mais informações sobre assinaturas de auditoria e complementos, confira Soluções de auditoria no Microsoft Purview

   • Prioridade: esse valor determinar a ordem na qual as políticas de retenção de log de auditoria são processadas na sua organização. Um valor mais baixo indica uma prioridade mais alta. As prioridades válidas são valores numéricos entre 1 e 10.000. Um valor de 1 é a prioridade mais alta e um valor de 10000 é a prioridade mais baixa. Por exemplo, uma política com valor 5 tem prioridade sobre uma política com valor 10. Qualquer política de retenção de log de auditoria personalizada tem prioridade sobre a política padrão para sua organização.

4. Clique em Salvar para criar a nova política de retenção.

A nova política é exibida na lista na página Políticas .

Portal de Conformidade

Conclua as seguintes etapas para criar uma política de retenção de auditoria:

1. Entre no portal de conformidade do Microsoft Purview com uma conta de usuário atribuída à função Configuração da Organização na página Permissões no portal de conformidade.

2. No painel esquerdo do portal de conformidade, selecione Auditoria.

3. Selecione a guia Políticas de retenção de auditoria.

4. Selecione Create política de retenção de auditoria e conclua os seguintes campos na página de sobrevoo:

   

   1. Nome da política: O nome da política de retenção do log de auditoria. Esse nome deve ser exclusivo em sua organização e não pode ser alterado após a criação da política.

   2. Descrição: opcional, mas útil para fornecer informações sobre a política, como o tipo de registro ou a carga de trabalho, os usuários especificados na política e a duração.

   3. Usuários: selecione um ou mais usuários aos quais aplicar a política. Se você deixar essa caixa em branco, a política se aplicará a todos os usuários. Se você deixar os Tipos de registro em branco, você deve selecionar um usuário.

   4. Tipos de registro: O tipo de registro de auditoria ao qual a política se aplica. Além disso, se você deixar essa propriedade em branco, deve selecionar um usuário na caixa Usuários. Você pode selecionar um único tipo de registro ou vários tipos de registro:

   • Se você selecionar um único tipo de registro, o campo Atividades será exibido dinamicamente. Você pode usar a lista suspensa para selecionar atividades do tipo de registro selecionado para a qual aplicar a política. Se você não escolher atividades específicas, a política se aplica a todas as atividades do tipo de registro selecionado.
   • Se você selecionar vários tipos de registro, não será possível selecionar atividades. A política se aplica a todas as atividades dos tipos de registro selecionados.
   5. Duração: O tempo necessário para manter os logs de auditoria que atendam aos critérios da política. As opções disponíveis são 7 Dias, 30 Dias, 6 Meses, 9 Meses, 1 Ano, 3 Anos (versão prévia), 5 Anos (versão prévia)e 7 Anos (versão prévia). Os usuários com a licença de complemento retenção de log de auditoria de 10 anos podem selecionar uma opção 10 Anos .

   Importante

   Para manter logs de auditoria para as opções de duração de 7 e 30 dias, você deve ter uma assinatura Microsoft 365 Enterprise E5. Para manter os logs de auditoria para as opções de duração de 3 (versão prévia), 5 (versão prévia) e 7 (versão prévia), você deve ser atribuído a uma licença de complemento de retenção de log de auditoria de 10 anos, além da assinatura Microsoft 365 Enterprise E5. Para obter mais informações sobre assinaturas de auditoria e complementos, confira Soluções de auditoria no Microsoft Purview

   6. Prioridade: esse valor determinar a ordem na qual as políticas de retenção de log de auditoria são processadas na sua organização. Um valor mais baixo indica uma prioridade mais alta. As prioridades válidas são valores numéricos entre 1 e 10.000. Um valor de 1 é a prioridade mais alta e um valor de 10000 é a prioridade mais baixa. Por exemplo, uma política com valor 5 tem prioridade sobre uma política com valor 10. Qualquer política de retenção de log de auditoria personalizada tem prioridade sobre a política padrão para sua organização.

5. Clique em Salvar para criar a nova política de retenção.

A nova política é exibida na lista da guia Políticas de retenção de Auditoria.

Gerenciar políticas de retenção de log de auditoria no portal de conformidade

As políticas de retenção de log de auditoria estão listadas na guia Políticas de retenção de Auditoria (também chamado de painel). Você pode usar o painel para exibir, editar e excluir políticas de retenção de auditoria.

Exibir políticas no painel

As políticas de retenção de log de Auditoria são listadas no painel. Uma vantagem de visualizar as políticas no painel é que você pode clicar na coluna Prioridade para listar as políticas na prioridade em que são aplicadas. Conforme explicado anteriormente, um valor mais baixo indica uma prioridade mais alta.

Você também pode selecionar uma política para exibir suas configurações na página de submenu.

Observação

A política de retenção de log de auditoria padrão para sua organização não é exibida no painel.

Editar políticas no painel

Para editar uma política, selecione-a para exibir a página de submenu. Você pode modificar uma ou mais configurações e salvar suas alterações.

Importante

Se você usar o cmdlet New-UnifiedAuditLogRetentionPolicy, é possível criar uma política de retenção de log de auditoria para tipos de registro ou atividades que não estão disponíveis na ferramenta Criar política de retenção de auditoria no painel. Nesse caso, você não poderá editar a política (por exemplo, alterar a duração da retenção ou adicionar e remover atividades) no painel Políticas de retenção de Auditoria. Você só poderá exibir e excluir a política no portal de conformidade do Microsoft Purview. Para editar a política, você terá que usar o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell de Conformidade & segurança.>

Dica: Uma mensagem é exibida na parte superior da página de submenu para políticas que devem ser editadas usando o Windows PowerShell.

Excluir políticas no painel

Para excluir uma política, selecione o ícone Excluir e confirme se deseja excluir a política. A política é removida do painel, mas pode demorar até 30 minutos para que a política seja removida de sua organização.

Criar e gerenciar políticas de retenção de log de auditoria no Windows PowerShell

Você também pode usar o PowerShell de Segurança e Conformidade para criar e gerenciar políticas de retenção de log de auditoria. Um motivo para usar o Windows PowerShell é criar uma política para um tipo de registro ou atividade que não está disponível na interface do usuário.

Criar uma política de retenção de log de auditoria no Windows PowerShell

Siga estas etapas para criar uma política de retenção de log de auditoria no Windows PowerShell:

1. Conectar-se a Segurança e Conformidade do PowerShell.

2. Execute o seguinte comando para criar uma política de retenção de log de auditoria:

   New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
   

   Este exemplo cria uma política de retenção de log de auditoria chamada “Política de Auditoria do Microsoft Teams” com as seguintes configurações:

   • Uma descrição da política.
   • Retém todas as atividades do Microsoft Teams (conforme definido pelo parâmetro RecordType).
   • Retém os logs de auditoria do Microsoft Teams por dez anos.
   • Prioridade de 100.

Veja outro exemplo de como criar uma política de retenção de log de auditoria. Essa política retém logs de auditoria para a atividade "Usuário conectado" por seis meses para o usuário admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Para saber mais, confira New-UnifiedAuditLogRetentionPolicy.

Exibir políticas no Windows PowerShell

Use o cmdlet Get-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell para exibir as políticas de retenção de log de auditoria.

Este é um exemplo de comando para exibir as configurações de todas as políticas de retenção de log de auditoria em sua organização. Este comando classifica as políticas da prioridade mais alta para a mais baixa.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Observação

O cmdlet Get-UnifiedAuditLogRetentionPolicy não retorna a política de retenção de log de auditoria padrão para sua organização.

Editar políticas no Windows PowerShell

Use o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell de Segurança e Conformidade para editar uma política de retenção de log de auditoria existente.

Excluir políticas no Windows PowerShell

Use o cmdlet Remove-UnifiedAuditLogRetentionPolicy no PowerShell de Segurança e Conformidade para excluir uma política de retenção de log de auditoria. Pode levar até 30 minutos para que a política seja removida de sua organização.

Tipos de registro de política de retenção padrão

Os registros de auditoria para operações em Microsoft Entra ID, Exchange Online, SharePoint e OneDrive são mantidos por um anopor padrão. Isso significa que os logs de auditoria de qualquer operação com essa carga de trabalho são mantidos por um ano, a menos que uma política de retenção de log de auditoria personalizada tenha precedência para um tipo de registro específico, operação ou usuário.