管理稽核記錄保留原則
您可以在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站中建立和管理稽核記錄保留原則。 稽核記錄保留原則是新的 Microsoft Purview 稽核 (進階版) 功能的一部分。 稽核記錄保留原則可讓您指定要在組織中保留稽核記錄的時間長度。 您最多可以保留稽核記錄達 10 年的時間。 您可以根據下列準則來建立原則:
- 一或多個Microsoft服務中的所有活動
- Microsoft服務中由所有使用者或特定用戶執行的特定活動
- 優先順序層級,指定若您在組織中有多個原則,要優先處理的原則
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
預設稽核記錄保留原則
Microsoft Purview 中的稽核 (Premium) 會為所有組織提供預設的稽核記錄保留原則。 此原則無法修改並保留所有 Exchange Online、SharePoint、OneDrive 和 Microsoft Entra 稽核記錄一年。 此默認原則會保留稽核記錄,其中包含工作負載屬性的AzureActiveDirectory、Exchange、OneDrive 和 SharePoint 值 (這是活動發生) 的服務。 使用保留原則,可以將特定工作負載和記錄類型變更為不同的持續時間。 如需默認原則中所包含每個工作負載的記錄類型清單,請參閱本文中的默 認保留原則記錄類型 一節。
注意事項
預設的稽核記錄保留原則僅適用獲指派 Office 365 或 Microsoft 365 E5 授權或擁有 Microsoft 365 E5 合規性或 E5 電子文件探索和稽核附加元件授權的使用者所執行活動的稽核記錄。 如果您的組織中有非 E5 使用者或來賓使用者,則其對應的稽核記錄會保留 180 天。
重要事項
稽核 (標準) 的預設保留期限已從 90 天變更為 180 天。 稽核 (2023 年 10 月 17 日之前產生的標準) 記錄會保留 90 天。 稽核 (2023 年 10 月 17 日或之後產生的標準) 記錄會遵循 180 天的新預設保留期。
在建立稽核記錄保留原則之前
您必須在 Microsoft Purview 入口網站或合規性入口網站中獲派 組織 設定角色,才能建立或修改稽核保留原則。
您可以在組織中有最多 50 個稽核記錄保留原則。
若要將稽核記錄保留超過 180 天 (且最多 1 年) ,執行稽核活動) 產生稽核記錄 (的用戶必須獲指派 Office 365 E5 或 Microsoft 365 E5 授權,或具有Microsoft 365 E5 合規性或 E5 電子檔探索和稽核附加元件授權。 若要保留稽核記錄 10 年,除了 E5 授權之外,還必須指派 10 年的稽核記錄保留附加元件授權給產生稽核記錄的使用者。
注意事項
如果產生稽核記錄的使用者不符合這些授權需求,則會根據最高優先順序的保留原則來保留數據。 這可能是使用者授權的預設保留原則,或符合使用者及其記錄類型的最高優先順序原則。
所有自訂稽核記錄保留原則 (由您的組織建立) 會優先於預設保留原則。 例如,如果您為具有的保留期間少於一年的建Exchange 信箱活動立稽核記錄保留原則,則 Exchange 信箱活動的稽核記錄將會保留較自訂原則所指定更短的持續時間。
數據的稽核專案存留期會在數據新增至稽核管線時決定,並以授權預設值或適用的保留原則為基礎。 對授權或適用保留原則所做的任何變更,會在更新后變更稽核數據的到期時間。 這些變更不會更新任何先前認可的專案。
建立稽核記錄保留原則
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請 參閱 Microsoft Purview 合規性入口網站。
完成下列步驟以建立稽核保留原則:
使用在合規性入口網站的 [許可權] 頁面上指派組織設定角色的用戶帳戶,登入 Microsoft Purview 入口網站。
選取 [ 稽核 解決方案] 卡片。 如果未顯示稽核解決方案卡片,請選取 [檢視所有解決方案],然後從 [核心] 區段選取 [稽核]。
選 取 [建立稽核保留原則],然後在飛出視窗頁面上完成下列字段:
原則名稱:稽核記錄保留原則的名稱。 此名稱在您的組織中必須是唯一的,而且在建立原則之後就無法變更。
描述:選用,但對於提供原則相關資訊 (例如記錄類型或工作負載)、原則中指定的使用者和持續時間有幫助。
使用者:選取一或多個要套用原則的使用者。 如果您將此方塊保留空白,則原則會套用至所有使用者。 如果將 [記錄類型] 保留空白,則必須選取使用者。
記錄類型:原則適用的稽核記錄類型。 如果將此屬性保留空白,則必須在 [使用者] 方塊中選取使用者。 您可以選取單一記錄類型或多個記錄類型:
- 如果您選取單一記錄類型,則會動態顯示 [活動] 欄位。 您可以使用下拉式清單從選取的記錄類型中選取活動,以便套用原則。 如果您未選擇特定活動,此原則會套用至所選記錄類型的所有活動。
- 如果您選取多個記錄類型,就無法選取活動。 此原則適用於所選記錄類型的所有活動。
持續時間:保留符合原則準則之稽核記錄的時間量。 可用的選項為 7 天、 30 天、 6 個月、 9 個月、 1 年、 3 年 (預覽) 、 5 年 (預覽) ,以及 7 年 (預覽) 。 具有 10 年稽核記錄保留附加元件授權的使用者可以選取 [10 年] 選項。
重要事項
若要保留 7 天和 30 天持續時間選項的稽核記錄,您必須擁有Microsoft 365 企業版 E5 訂用帳戶。 若要保留 3 個 (預覽) 、5 個 (預覽) 和 7 個 (預覽) 年持續時間選項的稽核記錄,您必須指派 10 年稽核記錄保留附加元件授權,以及Microsoft 365 企業版 E5 訂用帳戶。 如需稽核訂用帳戶和附加元件的詳細資訊,請參閱 Microsoft Purview 中的稽核解決方案
優先順序:此值會決定組織中稽核記錄保留原則的處理順序。 較低的值表示優先順序較高。 有效的優先順序是介於 1 到 10000 之間的數值。 值為 1 代表最高優先順序,而值為 10000 代表最低優先順序。 例如,值為 5 的原則優先於值為 10 的原則。 任何自定義稽核記錄保留原則優先於組織的默認原則。
按一下 [儲存] 以建立新的稽核記錄保留原則。
新的原則會顯示在 [原則 ] 頁面上的 清單中。
管理合規性入口網站中的稽核記錄保留原則
稽核記錄保留原則列在 [稽核保留原則] 索引標籤中 (又稱為 [儀表板]) 您可以使用儀表板來查看、編輯及刪除稽核保留原則。
在儀表板中查看原則
稽核記錄保留原則列在儀表板中。 在儀表板中檢視原則的優點之一,就是您可以選取 [優先順序] 欄位,以按照套用的優先順序列出原則。 如先前所述,較低的值表示優先順序較高。
![[稽核保留原則] 儀表板中的 [優先順序] 欄位。](media/auditlogretentiondashboardpriority.png)
您也可以選取要在彈出式頁面上顯示其設定的原則。
注意事項
儀表板中不會顯示貴組織的預設稽核記錄保留原則。
在儀表板中編輯原則
若要編輯原則,請選取該原則以顯示彈出式頁面。 您可以修改一個或多個設定,然後儲存變更。
重要事項
若使用 New UnifiedAuditLogRetentionPolicy Cmdlet,則可以為儀表版中的[建立稽核保留原則] 工具中不可用的記錄類型或活動建立稽核記錄保留原則。 在這種情況下,您將無法從儀表板中的 [稽核保留原則] 中編輯原則 (例如,變更保留期或新增和移除活動)。 您只能在 Microsoft Purview 合規性入口網站中檢視及刪除原則。 若要編輯原則,您必須在安全性 & 合規性 PowerShell 中使用 Set-UnifiedAuditLogRetentionPolicy Cmdlet。>
提示: 彈出式頁面頂端會顯示一則訊息,指出必須使用 PowerShell 編輯的原則。
在儀表板中刪除原則
若要刪除原則,請選取 [刪除 ] 圖示,然後確認您想要刪除原則。 該原則會從儀表板中移除,但您可能需要長達 30 分鐘的時間,該原則才會從貴組織中移除。
在 PowerShell 中建立並管理稽核記錄保留原則
您也可以使用安全性與合規性 PowerShell 來建立並管理稽核記錄保留原則。 使用 PowerShell 的一個原因是,您可以為無法在 UI 中使用的記錄類型或活動建立原則。
在 PowerShell 中建立稽核記錄保留原則
請依照以下步驟,在 PowerShell 中建立稽核記錄保留原則:
執行下列命令以建立稽核記錄保留原則:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100此範例會建立名為「Microsoft Teams 稽核原則」的稽核記錄保留原則,其中具有這些設定:
- 原則的描述。
- 保留所有 Microsoft Teams 活動 (如 RecordType 參數所定義)。
- 保留 Microsoft Teams 稽核記錄 10 年。
- 優先順序為 100。
以下是建立稽核記錄保留原則的另一個範例。 此原則會為使用者 admin@contoso.onmicrosoft.com保留「使用者登入」活動的稽核記錄六個月。
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
如需詳細資訊,請參閱 New-UnifiedAuditLogRetentionPolicy。
在 PowerShell 中查看原則
在安全性與合規性 PowerShell 中使用 Get-UnifiedAuditLogRetentionPolicy Cmdlet 來檢視稽核記錄保留原則。
以下的範例命令可用來顯示組織中所有的稽核記錄保留原則設定。 此命令會將原則的優先順序從最高到最低排序。
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
注意事項
Get-UnifiedAuditLogRetentionPolicy Cmdlet 不會傳回組織的預設稽核記錄保留原則。
在 PowerShell 中編輯原則
在安全性與合規性 PowerShell 中使用 Set-UnifiedAuditLogRetentionPolicy Cmdlet 來編輯現有的稽核記錄保留原則。
在 PowerShell 中刪除原則
在安全性與合規性 PowerShell 中使用 Remove-UnifiedAuditLogRetentionPolicy Cmdlet 來刪除稽核記錄保留原則。 從貴組織中移除原則可能需要多達 30 分鐘的時間。
默認保留原則記錄類型
根據預設,Microsoft Entra ID、Exchange Online、SharePoint 和 OneDrive 中的作業稽核記錄會保留一年。 這表示,除非自定義稽核記錄保留原則優先於特定記錄類型、作業或使用者,否則任何具有此工作負載之作業的稽核記錄都會保留一年。