Hantera kvarhållningsprinciper för granskningsloggar

Du kan skapa och hantera kvarhållningsprinciper för granskningsloggar i Microsoft Purview-efterlevnadsportalen. Kvarhållningsprinciper för granskningsloggar är en del av de nya Microsoft Purview-funktionerna för Granskning (Premium). Med en kvarhållningsprincip för granskningsloggar kan du ange hur lång tid granskningsloggar ska behållas i organisationen. Du kan behålla granskningsloggar i upp till 10 år. Du kan skapa principer baserat på följande villkor:

  • Alla aktiviteter i en eller flera Microsoft 365-tjänster
  • Specifika aktiviteter (i en Microsoft 365-tjänst) som utförs av alla användare eller av specifika användare
  • En prioritetsnivå som anger vilken princip som har företräde om det finns flera principer i organisationen

Tips

Om du inte är en E5-kund kan du prova alla premiumfunktioner i Microsoft Purview kostnadsfritt. Använd den 90 dagar långa utvärderingsversionen av Purview-lösningar för att utforska hur robusta Purview-funktioner kan hjälpa din organisation att hantera datasäkerhets- och efterlevnadsbehov. Börja nu på efterlevnadsportal i Microsoft Purview utvärderingshubben. Läs mer om registrering och utvärderingsvillkor.

Standardkvarhållningsprincip för granskningsloggar

Granska (Premium) i Microsoft 365 tillhandahåller en standardkvarhållningsprincip för granskningsloggar för alla organisationer. Den här principen behåller alla granskningsposter för Exchange Online, SharePoint Online, OneDrive för företag och Azure Active Directory i ett år. Den här standardprincipen behåller granskningsposter som innehåller värdet för egenskapen AzureActiveDirectory, Exchange, OneDrive och SharePoint för egenskapen Workload (som är den tjänst där aktiviteten inträffade). Standardprincipen kan inte ändras. I avsnittet Mer information i den här artikeln finns en lista över posttyper för varje arbetsbelastning som ingår i standardprincipen.

Obs!

Standardkvarhållningsprincipen för granskningsloggar gäller endast granskningsposter för aktiviteter som utförs av användare som har tilldelats en Office 365- eller Microsoft 365 E5-licens eller har en tilläggslicens för Microsoft 365 E5 Compliance eller E5 eDiscovery och granskning. Om det finns användare som inte använder E5 eller gästanvändare i organisationen behålls deras motsvarande granskningsposter i 90 dagar.

Innan du skapar en kvarhållningsprincip för granskningsloggar

  • Du måste ha tilldelats rollen Organisationskonfiguration i efterlevnadsportalen för att kunna skapa eller ändra en kvarhållningsprincip för granskning.

  • Du kan ha högst 50 kvarhållningsprinciper för granskningsloggar i organisationen.

  • För att behålla en granskningslogg mer än 90 dagar (och upp till 1 år) måste användaren som skapar granskningsloggen (genom att utföra en granskad aktivitet) ha tilldelats en Office 365 E5- eller Microsoft 365 E5-licens eller ha en tilläggslicens för Microsoft 365 E5 Compliance eller E5 eDiscovery och granskning. För att behålla granskningsloggar i 10 år måste användaren som skapar granskningsloggen också ha tilldelats en 10-årig tilläggslicens för kvarhållning av granskningsloggar utöver en E5-licens.

    Obs!

    Om användaren som genererar granskningsloggen inte uppfyller dessa licensieringskrav behålls data enligt kvarhållningsprincipen med högst prioritet. Detta kan vara antingen standardkvarhållningsprincipen för användarens licens eller den princip med högst prioritet som matchar användaren och dess posttyp.

  • Alla anpassade kvarhållningsprinciper för granskningsloggar (som skapats av organisationen) har företräde framför standardkvarhållningsprincipen. Om du till exempel skapar en kvarhållningsprincip för granskningsloggar för Exchange-postlådeaktivitet som har en kvarhållningsperiod som är kortare än ett år behålls granskningsposter för Exchange-postlådeaktiviteter under den kortare varaktighet som anges av den anpassade principen.

Skapa en kvarhållningsprincip för granskningsloggar

  1. Gå till https://compliance.microsoft.com och logga in med ett användarkonto som har tilldelats rollen Organisationskonfiguration på sidan Behörigheter i efterlevnadsportalen.

  2. I den vänstra rutan i efterlevnadsportalen väljer du Granska.

  3. Välj fliken Kvarhållningsprinciper för granskning .

  4. Välj Skapa kvarhållningsprincip för granskning och slutför sedan följande fält på den utfällbara sidan:

    Den utfällbara sidan Ny kvarhållningsprincip för granskning.

    1. Principnamn: Namnet på kvarhållningsprincipen för granskningsloggar. Det här namnet måste vara unikt i din organisation och kan inte ändras när principen har skapats.

    2. Beskrivning: Valfritt, men användbart för att ge information om principen, till exempel posttyp eller arbetsbelastning, användare som har angetts i principen och varaktighet.

    3. Användare: Välj en eller flera användare som principen ska gälla för. Om du lämnar rutan tom gäller principen för alla användare. Om du lämnar Posttyp tom måste du välja en användare.

    4. Posttyp: Den granskningsposttyp som principen gäller för. Om du lämnar egenskapen tom måste du välja en användare i rutan Användare. Du kan välja en enskild posttyp eller flera posttyper:

      • Om du väljer en enskild posttyp visas fältet Aktiviteter dynamiskt. Du kan använda listrutan för att välja aktiviteter från den valda posttypen som principen ska gälla för. Om du inte väljer specifika aktiviteter gäller principen för alla aktiviteter för den valda posttypen.
      • Om du väljer flera posttyper kan du inte välja aktiviteter. Principen gäller för alla aktiviteter för de valda posttyperna.
    5. Varaktighet: Hur lång tid granskningsloggar som uppfyller principens villkor ska behållas.

    6. Prioritet: Det här värdet bestämmer i vilken ordning kvarhållningsprinciper för granskningsloggar i organisationen bearbetas. Ett lägre värde anger en högre prioritet. Giltiga prioriteter är numeriska värden mellan 1 och 10000. Värdet 1 har högsta prioritet, och det lägsta värdet 1 0000 har den lägsta prioriteten. En princip som har ett värde på 5 har företräde framför en princip med värdet 10. Som tidigare beskrivits har alla anpassade kvarhållningsprinciper för granskningsloggar företräde framför organisationens standardprincip.

  5. Välj Spara för att skapa den nya kvarhållningsprincipen för granskningsloggar.

Den nya principen visas i listan på fliken Kvarhållningsprinciper för granskning.

Hantera kvarhållningsprinciper i efterlevnadsportalen

Kvarhållningsprinciper för granskningsloggar visas på fliken Kvarhållningsprinciper för granskning (kallas även instrumentpanelen). Du kan använda instrumentpanelen för att visa, redigera och ta bort kvarhållningsprinciper för granskning.

Visa principer på instrumentpanelen

Kvarhållningsprinciper för granskningsloggar visas på instrumentpanelen. En fördel med att visa principer på instrumentpanelen är att du kan välja kolumnen Prioritet för att lista principerna i prioriteten där de tillämpas. Som beskrivits tidigare anger ett lägre värde en högre prioritet.

Kolumnen Prioritet på instrumentpanelen Kvarhållningsprinciper för granskning.

Du kan också välja en princip för att visa dess inställningar på den utfällbara sidan.

Obs!

Organisationens standardkvarhållningsprincip för granskningsloggar visas inte på instrumentpanelen.

Redigera principer på instrumentpanelen

Om du vill redigera en princip markerar du den för att visa den utfällbara sidan. Du kan ändra en eller flera inställningar och sedan spara ändringarna.

Viktigt

Om du använder cmdleten New-UnifiedAuditLogRetentionPolicy kan du skapa en kvarhållningsprincip för granskningsloggar för posttyper eller aktiviteter som inte är tillgängliga i verktyget Skapa kvarhållningsprincip för granskning på instrumentpanelen. I det här fallet kan du inte redigera principen (till exempel ändra kvarhållningens varaktighet eller lägga till och ta bort aktiviteter) på instrumentpanelen Kvarhållningsprinciper för granskning. Du kan bara visa och ta bort principen i efterlevnadsportal i Microsoft Purview. Om du vill redigera principen måste du använda cmdleten Set-UnifiedAuditLogRetentionPolicy i Security & Compliance PowerShell.>

Tips: Ett meddelande visas längst upp på den utfällbara sidan för principer som måste redigeras med PowerShell.

Ta bort principer på instrumentpanelen

Om du vill ta bort en princip väljer du ikonen Ta bort borttagning. Bekräfta sedan att du vill ta bort principen. Principen tas bort från instrumentpanelen men det kan ta upp till 30 minuter innan principen tas bort från organisationen.

Skapa och hantera kvarhållningsprinciper för granskningsloggar i PowerShell

Du kan också använda PowerShell för säkerhetsefterlevnad & för att skapa och hantera kvarhållningsprinciper för granskningsloggar. En anledning att använda PowerShell är att skapa en princip för en posttyp eller aktivitet som inte är tillgänglig i användargränssnittet.

Skapa en kvarhållningsprincip för granskningsloggar i PowerShell

Följ de här anvisningarna för att skapa en kvarhållningsprincip för granskningsloggar i PowerShell:

  1. Ansluta till säkerhet & PowerShell för efterlevnad.

  2. Kör följande kommando för att skapa en kvarhållningsprincip för granskningsloggar:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    I det här exemplet skapas en kvarhållningsprincip för granskningsloggar med namnet "Microsoft Teams Audit Policy" med dessa inställningar:

    • En beskrivning av principen.
    • Behåller alla Microsoft Teams-aktiviteter (så som definieras av parametern RecordType).
    • Behåller Microsoft Teams-granskningsloggar i 10 år.
    • Prioriteten 100.

Här är ett annat exempel på hur du skapar en kvarhållningsprincip för granskningsloggar. Den här principen behåller granskningsloggar för aktiviteten "Användare inloggad" i sex månader för användaren admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Mer information finns i New-UnifiedAuditLogRetentionPolicy.

Visa principer i PowerShell

Använd cmdleten Get-UnifiedAuditLogRetentionPolicy i Security & Compliance PowerShell för att visa kvarhållningsprinciper för granskningsloggar.

Här är ett exempelkommando som visar inställningarna för alla kvarhållningsprinciper för granskningsloggar i organisationen. Det här kommandot sorterar principerna från högsta till lägsta prioritet.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Obs!

Cmdleten Get-UnifiedAuditLogRetentionPolicy returnerar inte standardkvarhållningsprincipen för granskningsloggar för organisationen.

Redigera principer i PowerShell

Använd cmdleten Set-UnifiedAuditLogRetentionPolicy i Security & Compliance PowerShell för att redigera en befintlig kvarhållningsprincip för granskningsloggar.

Ta bort principer i PowerShell

Använd cmdleten Remove-UnifiedAuditLogRetentionPolicy i Security & Compliance PowerShell för att ta bort en kvarhållningsprincip för granskningsloggar. Det kan ta upp till 30 minuter innan principen tas bort från organisationen.

Mer information

Som tidigare beskrivits behålls granskningsposter för åtgärder i Azure Active Directory, Exchange Online, SharePoint Online och OneDrive för företag i ett år som standard. I följande tabell visas alla posttyper (för var och en av de här tjänsterna) som ingår i standardkvarhållningsprincipen för granskningsloggar. Det innebär att granskningsloggar för en åtgärd med den här posttypen behålls i ett år såvida inte en anpassad kvarhållningsprincip för granskningsloggar har företräde för en viss posttyp, åtgärd eller användare. Uppräkningsvärdet (som visas som värdet för egenskapen RecordType i en granskningspost) för varje posttyp visas inom parentes.



AzureActiveDirectory Exchange SharePoint eller OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Kampanj (62) Projekt (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)