管理审核日志保留策略

可以在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建和管理审核日志保留策略。 审核日志保留策略是新的 Microsoft Purview Audit（高级版）功能的一部分。 通过审核日志保留策略，可指定组织中审核日志的保留时间。 可将审核日志保留长达 10 年时间。 可以根据以下标准创建策略：

• 一个或多个 Microsoft 365 服务中的所有活动
• 所有用户或特定用户执行的特定活动（在 Microsoft 365 服务中）
• 优先级，用于指定当组织中有多个策略时优先使用哪个策略

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

默认审核日志保留策略

Microsoft Purview 中的审核 (Premium) 为所有组织提供默认的审核日志保留策略。 无法修改此策略，并将所有Exchange Online、SharePoint Online、OneDrive for Business和Microsoft Entra审核记录保留一年。 此默认策略保留包含 Workload 属性的 AzureActiveDirectory、Exchange、OneDrive 和 SharePoint 值的审核记录 (这是) 发生活动的服务。 可以使用保留策略将特定工作负荷和记录类型更改为不同的持续时间。 有关 默认策略 中包含的每个工作负荷的记录类型列表，请参阅本文中的默认保留策略记录类型部分。

注意

默认审核日志保留策略仅适用于分配了 Office 365 或 Microsoft 365 E5 许可证或具有 Microsoft 365 E5 合规版或 E5 电子数据展示和审核加载项许可证的用户执行的活动审核记录。 如果组织中有非 E5 用户或来宾用户，其相应的审核记录将保留 180 天。

重要

Audit (Standard) 的默认保留期已从 90 天更改为 180 天。 审核 (2023 年 10 月 17 日之前生成的标准) 日志将保留 90 天。 审核 (2023 年 10 月 17 日或之后生成的标准) 日志遵循新的默认保留期 180 天。

在创建审核日志保留策略之前

• 必须在 Microsoft Purview 门户或合规性门户中分配 组织配置 角色才能创建或修改审核保留策略。

• 在组织中，你最多可以拥有 50 个审核日志保留策略。

• 若要将审核日志保留超过 180 天， (最多 1 年) ，必须为通过执行审核活动 () 生成审核日志的用户分配Office 365 E5或Microsoft 365 E5许可证，或者拥有Microsoft 365 E5 合规或 E5 电子数据展示和审核附加许可证。 若要将审核日志保留 10 年，除 E5 许可证外，还必须向生成审核日志的用户分配 10 年审核日志保留附加产品许可证以及 E5 许可证。

  注意

  如果生成审核日志的用户不符合这些许可要求，则会根据最高优先级保留策略保留数据。 这可以是用户许可证的默认保留策略，也可以是与用户及其记录类型匹配的最高优先级策略。

• 所有自定义审核日志保留策略（由组织创建）都优先于默认保留策略。 例如，如果为保留期短于一年的 Exchange 邮箱活动创建审核日志保留策略，则 Exchange 邮箱活动的审核记录将在自定义策略指定的较短期限内保留。

• 数据的审核项生存期是在将数据添加到审核管道时确定的，并且基于许可默认值或适用的保留策略。 对许可或适用保留策略的任何更改会更改更新后的审核数据的过期时间。 这些更改不会更新任何以前提交的项。

创建审核日志保留策略

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

完成以下步骤以创建审核保留策略：

1. 使用在合规性门户的“权限”页上分配有组织配置角色的用户帐户登录到 Microsoft Purview 门户。

2. 选择“审核解决方案”卡。 如果未显示“审核解决方案卡，请选择”查看所有解决方案“，然后从”核心“部分选择”审核”。

3. 选择“ 创建审核保留策略”，然后在浮出控件页上填写以下字段：

   

   1. 原则名称：审核日志保留策略的名称。 此名称在组织中必须是唯一的，并且无法在创建策略后进行更改。

   2. 说明：可选，但有助于提供有关策略的信息，例如记录类型或工作负载、策略中指定的用户以及期限。

   3. 用户：选择一个或多个要为其应用策略的用户。 如果将此框留空，则策略将应用于所有用户。 如果将“记录类型”留空，则必须选择用户。

   4. 记录类型：将为其应用策略的审核记录类型。 如果将此属性留空，则必须在“用户”框中选择用户。 可选择一种记录类型或多个记录类型：

      • 如果选择一条记录类型，将动态显示“活动”字段。 可使用下拉列表从所选记录类型中选择活动，以便对其应用策略。 如果不选择特定活动，该策略将应用于所选记录类型的所有活动。
      • 如果选择多个记录类型，则不能选择活动。 该策略适用于所选记录类型的所有活动。

   5. 期限：保留符合策略条件的审核日志的时间。 可用选项包括 7 天、 30 天、 6 个月、 9 个月、 1 年、 3 年 (预览) 、 5 年 (预览) 和 7 年 (预览) 。 具有 10 年审核日志保留附加许可证的用户可以选择 10 年 选项。

      重要

      若要将审核日志保留 7 天和 30 天持续时间选项，必须具有Microsoft 365 企业版 E5 订阅。 若要保留 3 个 (预览版) 、5 个 (预览版) 和 7 个 (预览版) 年期限选项的审核日志，除了Microsoft 365 企业版 E5 订阅外，还必须向你分配 10 年审核日志保留附加许可证。 有关审核订阅和加载项的详细信息，请参阅 Microsoft Purview 中的审核解决方案

   6. 优先级：此值确定处理组织中的审核日志保留策略的顺序。 该值越小，表示优先级越高。 有效优先级为 1 到 10000 之间的数值。 值 1 优先级最高，值为 10000 则优先级最低。 例如，如果策略的值为 5，则优先于值为 10 的策略。 任何自定义审核日志保留策略都优先于组织的默认策略。

4. 选择“保存”以创建新的审核日志保留策略。

新策略显示在“ 策略 ”页上的列表中。

合规性门户

完成以下步骤以创建审核保留策略：

1. 使用在合规性门户的“权限”页上分配有组织配置角色的用户帐户登录到 Microsoft Purview 合规门户。

2. 在合规性门户的左窗格中，选择“ 审核”。

3. 选择“ 审核保留策略 ”选项卡。

4. 选择“ 创建审核保留策略”，然后在浮出控件页上填写以下字段：

   

   1. 原则名称：审核日志保留策略的名称。 此名称在组织中必须是唯一的，并且无法在创建策略后进行更改。

   2. 说明：可选，但有助于提供有关策略的信息，例如记录类型或工作负载、策略中指定的用户以及期限。

   3. 用户：选择一个或多个要为其应用策略的用户。 如果将此框留空，则策略将应用于所有用户。 如果将“记录类型”留空，则必须选择用户。

   4. 记录类型：将为其应用策略的审核记录类型。 如果将此属性留空，则必须在“用户”框中选择用户。 可选择一种记录类型或多个记录类型：

      • 如果选择一条记录类型，将动态显示“活动”字段。 可使用下拉列表从所选记录类型中选择活动，以便对其应用策略。 如果不选择特定活动，该策略将应用于所选记录类型的所有活动。
      • 如果选择多个记录类型，则不能选择活动。 该策略适用于所选记录类型的所有活动。

   5. 期限：保留符合策略条件的审核日志的时间。 可用选项包括 7 天、 30 天、 6 个月、 9 个月、 1 年、 3 年 (预览) 、 5 年 (预览) 和 7 年 (预览) 。 具有 10 年审核日志保留附加许可证的用户可以选择 10 年 选项。

      重要

      若要将审核日志保留 7 天和 30 天持续时间选项，必须具有Microsoft 365 企业版 E5 订阅。 若要保留 3 个 (预览版) 、5 个 (预览版) 和 7 个 (预览版) 年期限选项的审核日志，除了Microsoft 365 企业版 E5 订阅外，还必须向你分配 10 年审核日志保留附加许可证。 有关审核订阅和加载项的详细信息，请参阅 Microsoft Purview 中的审核解决方案

   6. 优先级：此值确定处理组织中的审核日志保留策略的顺序。 该值越小，表示优先级越高。 有效优先级为 1 到 10000 之间的数值。 值 1 优先级最高，值为 10000 则优先级最低。 例如，如果策略的值为 5，则优先于值为 10 的策略。 任何自定义审核日志保留策略都优先于组织的默认策略。

5. 选择“保存”以创建新的审核日志保留策略。

新策略将显示在“审核保留策略”选项卡上的列表中。

在合规性门户中管理审核日志保留策略

审核日志保留策略列在“审核保留策略”选项卡（也称为仪表板）上。 可使用仪表板查看、编辑和删除审核保留策略。

在仪表板中查看策略

审核日志保留策略列在仪表板中。 在仪表板中查看策略的一个优点是，可以选择“优先级”列以按它们应用的优先级列出策略。 如前所述，值越小表示优先级越高。

也可以选择一个策略以在浮出页面上显示其设置。

注意

仪表板中不显示你的组织的默认审核日志保留策略。

在仪表板中编辑策略

要编辑策略，请选择它以显示浮出页面。 可以修改一个或多个设置，然后保存更改。

重要

如果使用 New UnifiedAuditLogRetentionPolicy cmdlet，则可以为仪表板中“创建审核保留策略”工具中不可用的记录类型或活动创建审核日志保留策略。 在这种情况下，你将无法从“审核保留策略”仪表板编辑策略（例如，更改保留期或添加和删除活动）。 只能在 Microsoft Purview 合规门户中查看和删除策略。 若要编辑策略，必须使用 Security & Compliance PowerShell 中的 Set-UnifiedAuditLogRetentionPolicy cmdlet。>

提示：对于必须使用 PowerShell 编辑的策略，浮出页面顶部会显示一条消息。

在仪表板中删除策略

若要删除策略，请选择“ 删除 ”图标，然后确认要删除该策略。 已从仪表板中删除策略，但从组织中删除策略最长可能需要 30 分钟。

在 PowerShell 中创建和管理审核日志保留策略

还可以使用安全与合规 PowerShell 来创建和管理审核日志保留策略。 使用 PowerShell 的一个原因是为 UI 中不可用的记录类型或活动创建策略。

在 PowerShell 中创建审核日志保留策略

请按照以下步骤在 PowerShell 中创建审核日志保留策略：

1. 连接到安全与合规 PowerShell。

2. 运行以下命令以创建审核日志保留策略：

   New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
   

   本示例使用以下设置创建名为“Microsoft Teams 审核策略”的审核日志保留策略：

   • 策略说明。
   • 保留所有 Microsoft Teams 活动（由 RecordType 参数定义）。
   • 将 Microsoft Teams 审核日志保留 10 年。
   • 优先级为 100。

下面是创建审核日志保留策略的另一个示例。 此策略将“用户已登录”活动的审核日志保留 6 个月。admin@contoso.onmicrosoft.com

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

有关详细信息，请参阅 New-UnifiedAuditLogRetentionPolicy。

在 PowerShell 中查看策略

使用安全与合规 PowerShell 中的 Get-UnifiedAuditLogRetentionPolicy cmdlet 查看审核日志保留策略。

下面是用于显示组织中所有审核日志保留策略的设置的示例命令。 此命令从最高优先级到最低优先级对策略进行排序。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注意

Get-UnifiedAuditLogRetentionPolicy cmdlet 不会返回组织的默认审核日志保留策略。

在 PowerShell 中编辑策略

使用安全与合规 PowerShell 中的 Set-UnifiedAuditLogRetentionPolicy cmdlet 编辑现有审核日志保留策略。

在 PowerShell 中删除策略

使用安全与合规 PowerShell 中的 Remove-UnifiedAuditLogRetentionPolicy cmdlet 删除审核日志保留策略。 从组织中删除策略最长可能需要 30 分钟。

默认保留策略记录类型

默认情况下，Microsoft Entra ID、Exchange Online、SharePoint Online 和 OneDrive for Business 中操作的审核记录保留一年。 下表列出了默认审核日志保留策略中包括的所有记录类型（针对每个服务）。 这意味着具有此记录类型的任何操作的审核日志都将保留一年，除非自定义审核日志保留策略对特定的记录类型、操作或用户具有优先权。 括号中显示了每种记录类型的枚举值（在审核记录中显示为 RecordType 属性值）。

这意味着具有此记录类型的任何操作的审核日志都将保留一年，除非自定义审核日志保留策略对特定的记录类型、操作或用户具有优先权。 enum 值 (，它显示为审核记录中 RecordType 属性的值，) 对于每种记录类型都显示在括号中。

AzureActiveDirectory	Exchange	SharePoint 或 OneDrive
AzureActiveDirectory (8)	ExchangeAdmin (1)	ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9)	ExchangeItem (2)	ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15)	Campaign (62)	Project (35)
	ComplianceDLPExchange (13)	SharePoint (4)
	ComplianceSupervisionExchange (68)	SharePointCommentOperation (37)
	CustomerKeyServiceEncryption (69)	SharePointContentTypeOperation (55)
	ExchangeAggregatedOperation (19)	SharePointFieldOperation (56)
	ExchangeItemAggregated (50)	SharePointFileOperation (6)
	ExchangeItemGroup (3)	SharePointListOperation (36)
	InformationBarrierPolicyApplication (53)	SharePointSharingOperation (14)