管理稽核記錄保留原則

  • 發行項

您可以在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立和管理稽核記錄保留原則。 稽核記錄保留原則是新的 Microsoft Purview 稽核 (進階版) 功能的一部分。 稽核記錄保留原則可讓您指定要在組織中保留稽核記錄的時間長度。 您最多可以保留稽核記錄達 10 年的時間。 您可以根據下列準則來建立原則:

  • 一或多個 Microsoft 365 服務中的所有活動
  • 所有使用者或特定使用者執行的特定活動 (Microsoft 365 服務中)
  • 優先順序層級,指定若您在組織中有多個原則,要優先處理的原則

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

預設稽核記錄保留原則

Microsoft Purview 中的稽核 (進階) 會為所有組織提供預設的稽核記錄保留原則。 此原則無法修改並保留所有 Exchange Online、SharePoint、OneDrive 和 Microsoft Entra 稽核記錄一年。 此默認原則會保留稽核記錄,其中包含工作負載屬性的AzureActiveDirectoryExchangeOneDriveSharePoint 值 (這是活動發生) 的服務。 使用保留原則,可以將特定工作負載和記錄類型變更為不同的持續時間。 如需默認原則中所包含每個工作負載的記錄類型清單,請參閱本文中的默 認保留原則記錄類型 一節。

注意事項

預設的稽核記錄保留原則僅適用獲指派 Office 365 或 Microsoft 365 E5 授權或擁有 Microsoft 365 E5 合規性或 E5 電子文件探索和稽核附加元件授權的使用者所執行活動的稽核記錄。 如果您的組織中有非 E5 使用者或來賓使用者,則其對應的稽核記錄會保留 180 天。

重要事項

稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。

在建立稽核記錄保留原則之前

  • 您必須在 Microsoft Purview 入口網站或合規性入口網站中獲指派 組織 設定角色,才能建立或修改稽核保留原則。

  • 您可以在組織中有最多 50 個稽核記錄保留原則。

  • 若要在 (和最多 1 年) 保留稽核記錄超過 180 天,執行稽核活動) 產生稽核記錄 (的用戶必須獲指派 Office 365 E5 或 Microsoft 365 E5 授權,或具有 Microsoft 365 E5 合規性 或 E5 電子檔探索和稽核附加元件授權。 若要保留稽核記錄 10 年,除了 E5 授權之外,還必須指派 10 年的稽核記錄保留附加元件授權給產生稽核記錄的使用者。

    注意事項

    如果產生稽核記錄的使用者不符合這些授權需求,則會根據最高優先順序的保留原則來保留數據。 這可能是使用者授權的預設保留原則,或符合使用者及其記錄類型的最高優先順序原則。

  • 所有自訂稽核記錄保留原則 (由您的組織建立) 會優先於預設保留原則。 例如,如果您為具有的保留期間少於一年的建Exchange 信箱活動立稽核記錄保留原則,則 Exchange 信箱活動的稽核記錄將會保留較自訂原則所指定更短的持續時間。

  • 數據的稽核專案存留期會在數據新增至稽核管線時決定,並以授權預設值或適用的保留原則為基礎。 對授權或適用保留原則所做的任何變更,會在更新后變更稽核數據的到期時間。 這些變更不會更新任何先前認可的專案。

建立稽核記錄保留原則

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。

完成下列步驟以建立稽核保留原則:

  1. 在合規性入口網站的 [許可權] 頁面上,使用已指派組織設定角色的用戶帳戶登入 Microsoft Purview 入口網站。

  2. 選取 [ 稽核 解決方案] 卡片。 如果未顯示核解決方案卡片,請選取 [檢視所有解決方案],然後從 [核心] 區段選取 [核]。

  3. Create 稽核保留原則,然後在飛出視窗頁面上完成下列字段:

    新的稽核保留原則飛出視窗頁面。

    • 原則名稱:稽核記錄保留原則的名稱。 此名稱在您的組織中必須是唯一的,而且在建立原則之後就無法變更。

    • 描述:選用,但對於提供原則相關資訊 (例如記錄類型或工作負載)、原則中指定的使用者和持續時間有幫助。

    • 使用者:選取一或多個要套用原則的使用者。 如果您將此方塊保留空白,則原則會套用至所有使用者。 如果將 [記錄類型] 保留空白,則必須選取使用者。

    • 記錄類型:原則適用的稽核記錄類型。 如果將此屬性保留空白,則必須在 [使用者] 方塊中選取使用者。 您可以選取單一記錄類型或多個記錄類型:

      • 如果您選取單一記錄類型,則會動態顯示 [活動] 欄位。 您可以使用下拉式清單從選取的記錄類型中選取活動,以便套用原則。 如果您未選擇特定活動,此原則會套用至所選記錄類型的所有活動。
      • 如果您選取多個記錄類型,就無法選取活動。 此原則適用於所選記錄類型的所有活動。

    • 持續時間:保留符合原則準則之稽核記錄的時間量。 可用的選項為 7 天30 天6 個月9 個月1 年3 年 (預覽) 5 年 (預覽) ,以及 7 年 (預覽) 。 具有 10 年稽核記錄保留附加元件授權的使用者可以選取 [10 年] 選項。

      重要事項

      若要保留 7 天和 30 天持續時間選項的稽核記錄,您必須擁有 Microsoft 365 企業版 E5 訂用帳戶。 若要保留 3 個 (預覽) 、5 個 (預覽) 和 7 個 (預覽) 年持續時間選項的稽核記錄,除了您的 Microsoft 365 企業版 E5 訂用帳戶之外,還必須將 10 年稽核記錄保留附加元件授權指派給您。 如需稽核訂閱和附加元件的詳細資訊,請參閱 Microsoft Purview 中的稽核解決方案

    • 優先順序:此值會決定組織中稽核記錄保留原則的處理順序。 較低的值表示優先順序較高。 有效的優先順序是介於 110000 之間的數值。 值為 1 代表最高優先順序,而值為 10000 代表最低優先順序。 例如,值為 5 的原則優先於值為 10 的原則。 任何自定義稽核記錄保留原則優先於組織的默認原則。

  4. 按一下 [儲存] 以建立新的稽核記錄保留原則。

新的原則會顯示在 [原則 ] 頁面上的 清單中。

管理合規性入口網站中的稽核記錄保留原則

稽核記錄保留原則列在 [稽核保留原則] 索引標籤中 (又稱為 [儀表板]) 您可以使用儀表板來查看、編輯及刪除稽核保留原則。

在儀表板中查看原則

稽核記錄保留原則列在儀表板中。 在儀表板中檢視原則的優點之一,就是您可以選取 [優先順序] 欄位,以按照套用的優先順序列出原則。 如先前所述,較低的值表示優先順序較高。

[稽核保留原則] 儀表板中的 [優先順序] 欄位。

您也可以選取要在彈出式頁面上顯示其設定的原則。

注意事項

儀表板中不會顯示貴組織的預設稽核記錄保留原則。

在儀表板中編輯原則

若要編輯原則,請選取該原則以顯示彈出式頁面。 您可以修改一個或多個設定,然後儲存變更。

重要事項

若使用 New UnifiedAuditLogRetentionPolicy Cmdlet,則可以為儀表版中的[建立稽核保留原則] 工具中不可用的記錄類型或活動建立稽核記錄保留原則。 在這種情況下,您將無法從儀表板中的 [稽核保留原則] 中編輯原則 (例如,變更保留期或新增和移除活動)。 您只能在 Microsoft Purview 合規性入口網站中檢視及刪除原則。 若要編輯原則,您必須在安全性 & 合規性 PowerShell 中使用 Set-UnifiedAuditLogRetentionPolicy Cmdlet。>

提示: 彈出式頁面頂端會顯示一則訊息,指出必須使用 PowerShell 編輯的原則。

在儀表板中刪除原則

若要刪除原則,請選取 [刪除 ] 圖示,然後確認您想要刪除原則。 該原則會從儀表板中移除,但您可能需要長達 30 分鐘的時間,該原則才會從貴組織中移除。

在 PowerShell 中建立並管理稽核記錄保留原則

您也可以使用安全性與合規性 PowerShell 來建立並管理稽核記錄保留原則。 使用 PowerShell 的一個原因是,您可以為無法在 UI 中使用的記錄類型或活動建立原則。

在 PowerShell 中建立稽核記錄保留原則

請依照以下步驟,在 PowerShell 中建立稽核記錄保留原則:

  1. 連線至安全性與合規性 PowerShell

  2. 執行下列命令以建立稽核記錄保留原則:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    此範例會建立名為「Microsoft Teams 稽核原則」的稽核記錄保留原則,其中具有這些設定:

    • 原則的描述。
    • 保留所有 Microsoft Teams 活動 (如 RecordType 參數所定義)。
    • 保留 Microsoft Teams 稽核記錄 10 年。
    • 優先順序為 100。

以下是建立稽核記錄保留原則的另一個範例。 此原則會為使用者 admin@contoso.onmicrosoft.com保留「使用者登入」活動的稽核記錄六個月。

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

如需詳細資訊,請參閱 New-UnifiedAuditLogRetentionPolicy

在 PowerShell 中查看原則

在安全性與合規性 PowerShell 中使用 Get-UnifiedAuditLogRetentionPolicy Cmdlet 來檢視稽核記錄保留原則。

以下的範例命令可用來顯示組織中所有的稽核記錄保留原則設定。 此命令會將原則的優先順序從最高到最低排序。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注意事項

Get-UnifiedAuditLogRetentionPolicy Cmdlet 不會傳回組織的預設稽核記錄保留原則。

在 PowerShell 中編輯原則

在安全性與合規性 PowerShell 中使用 Set-UnifiedAuditLogRetentionPolicy Cmdlet 來編輯現有的稽核記錄保留原則。

在 PowerShell 中刪除原則

在安全性與合規性 PowerShell 中使用 Remove-UnifiedAuditLogRetentionPolicy Cmdlet 來刪除稽核記錄保留原則。 從貴組織中移除原則可能需要多達 30 分鐘的時間。

默認保留原則記錄類型

Microsoft Entra ID、Exchange Online、SharePoint 和 OneDrive 中的作業稽核記錄預設會保留一年。 這表示,除非自定義稽核記錄保留原則優先於特定記錄類型、作業或使用者,否則任何具有此工作負載之作業的稽核記錄都會保留一年。