使用保留锁定来限制对保留策略和保留标签策略的更改

Microsoft 365 安全性与合规性许可指南

重要

目前,辅助策略作用域不支持保留锁定。

保存锁可锁定保留策略或保留标签策略,因此任何人 - 包括全局管理员 - 都无法关闭该策略、删除该策略或降低其限制性。 这种配置可能是监管要求所需要的,并且有助于防范恶意管理员。

锁定某个保留策略后:

  • 任何人都不能禁用或删除该策略
  • 可以添加位置,但不能删除位置
  • 可以延长保留期,但不能缩短保留期

锁定某个保留标签策略后:

  • 任何人都不能禁用或删除该策略
  • 可以添加位置,但不能删除位置
  • 可以添加标签,但不能删除标签

总之,锁定的策略可以增加或延长,但不能减少或关闭。

重要

在锁定保留策略或保留标签策略之前,请了解其影响并确认其是否是你的组织所需要的。 例如,可能需要满足监管要求。 当应用了保留锁后,管理员将无法禁用或删除这些策略。

在你创建保留策略或保留标签策略(由你发布且仅包含将项目标记为监管记录)后配置保留锁定。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

如何锁定保留策略或保留标签策略

如果需要使用保存锁,则必须使用 PowerShell。 由于管理员在应用此锁后,无法禁用或删除保留策略,因此在 UI 中无法启用此功能,以防止意外配置。

具有任何配置的所有保留策略均支持“保留锁定”。 若要对保留标签策略应用保留锁定,它必须仅包含将项目标记为监管记录的标签。

  1. 连接到安全与合规 PowerShell

  2. 通过运行 Get-RetentionCompliancePolicy,找到所需锁定的策略名称。 例如:

    PowerShell 中的保留策略列表。

  3. 若要在策略上放置保存锁,请运行 Set-RetentionCompliancePolicy cmdlet,并将策略的名称和 RestrictiveRetention 参数设置为 true:

    Set-RetentionCompliancePolicy -Identity "<Name of Policy>" -RestrictiveRetention $true
    

    例如:

    PowerShell 中的 RestrictiveRetention 参数。

    出现提示时,请阅读并通过输入Y确认这个配置随附的限制:

    用于确认你要在 PowerShell 中锁定保留策略的提示。

现在策略上已经有了保留锁定。 若要确认,请再次运行 Get-RetentionCompliancePolicy,但需指定保留策略名称并显示策略参数:

Get-RetentionCompliancePolicy -Identity "<Name of Policy>" |Fl

应看到 RestrictiveRetention 设置为 True。 例如:

已在 PowerShell 中显示所有参数的锁定策略。

另请参阅

用于帮助满足数据生命周期管理和记录管理的法规要求的资源