Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Aufbewahrungsrichtlinien für Überwachungsprotokolle im Microsoft Purview-Portal erstellen und verwalten. Aufbewahrungsrichtlinien für Überwachungsprotokolle sind Bestandteil den neuen Microsoft Purview Audit (Premium)-Funktionen. Mit einer Aufbewahrungsrichtlinie für Überwachungsprotokolle können Sie festlegen, wie lange Überwachungsprotokolle in Ihrer Organisation aufbewahrt werden sollen. Sie können Überwachungsprotokolle bis zu 10 Jahre lang aufbewahren. Sie können Richtlinien nach folgenden Kriterien erstellen:
- Alle Aktivitäten in einem oder mehreren Microsoft-Diensten
- Bestimmte Aktivitäten in einem Microsoft-Dienst, die von allen Benutzern oder bestimmten Benutzern ausgeführt werden
- Eine Prioritätsebene, die angibt, welche Richtlinie Vorrang hat, wenn Mehrere Richtlinien in Ihrem organization
Standardaufbewahrungsrichtlinie für Überwachungsprotokolle in Audit (Premium)
Audit (Premium) in Microsoft Purview bietet eine Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für alle Organisationen. Sie können diese Richtlinie nicht ändern. Alle Exchange Online-, SharePoint-, OneDrive- und Microsoft Entra Überwachungsdatensätze werden ein Jahr lang aufbewahrt. Diese Standardrichtlinie behält Überwachungsdatensätze bei, die den Wert AzureActiveDirectory, Exchange, OneDrive und SharePoint für die Workload-Eigenschaft enthalten (der Dienst, in dem die Aktivität aufgetreten ist). Überwachungsdatensätze für alle anderen Aktivitäten werden standardmäßig 180 Tage lang aufbewahrt, oder Sie können die Aufbewahrungsdauer mithilfe einer benutzerdefinierten Aufbewahrungsrichtlinie auf eine andere Dauer ändern.
Hinweis
Die Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle gilt nur für Überwachungsdatensätze für Aktivitäten, die von Benutzern ausgeführt werden, denen eine Office 365 oder Microsoft 365 E5 Lizenz zugewiesen ist oder über eine Microsoft Purview Suite (früher als Microsoft 365 E5 Compliance bezeichnet)) oder E5 eDiscovery- und Audit-Add-On-Lizenz. Wenn Sie Nicht-E5-Benutzer oder Gastbenutzer in Ihrem organization haben, werden die entsprechenden Überwachungsdatensätze 180 Tage lang aufbewahrt.
Wichtig
Der Standardaufbewahrungszeitraum für Die Überwachung (Standard) wurde von 90 Tagen auf 180 Tage geändert. Überwachungsprotokolle (Standard), die vor dem 17. Oktober 2023 generiert wurden, werden 90 Tage lang aufbewahrt. Überwachungsprotokolle (Standard), die am oder nach dem 17. Oktober 2023 generiert werden, folgen der neuen Standardaufbewahrung von 180 Tagen.
Vor dem Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle
Sie benötigen die Rolle Organisationskonfiguration im Microsoft Purview-Portal, um eine Überwachungsaufbewahrungsrichtlinie zu erstellen oder zu ändern.
Ihre organization kann über bis zu 50 Aufbewahrungsrichtlinien für Überwachungsprotokolle verfügen.
Um ein Überwachungsprotokoll länger als 180 Tage (und bis zu einem Jahr) aufzubewahren, muss der Benutzer, der das Überwachungsprotokoll generiert (durch Ausführen einer überwachten Aktivität), über eine Office 365 E5- oder Microsoft 365 E5-Lizenz oder eine Microsoft Purview Suite (früher als Microsoft 365 E5 Compliance) oder E5 eDiscovery- und Audit-Add-On-Lizenz. Um Überwachungsprotokolle 10 Jahre lang aufzubewahren, muss der Benutzer, der das Überwachungsprotokoll generiert, zusätzlich zu einer E5-Lizenz auch über eine Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen für 10 Jahre verfügen.
Hinweis
Wenn der Benutzer, der das Überwachungsprotokoll generiert, diese Lizenzierungsanforderungen nicht erfüllt, werden Die Daten gemäß der Aufbewahrungsrichtlinie mit der höchsten Priorität aufbewahrt. Diese Aufbewahrung kann entweder die Standardaufbewahrungsrichtlinie für die Lizenz des Benutzers oder die Richtlinie mit der höchsten Priorität sein, die dem Benutzer und seinem Datensatztyp entspricht.
Alle benutzerdefinierten (von Ihrer Organisation erstellten) Aufbewahrungsrichtlinien für Überwachungsprotokolle haben Vorrang vor der Standardaufbewahrungsrichtlinie. Wenn Sie beispielsweise eine Aufbewahrungsrichtlinie für Überwachungsprotokolle für Exchange-Postfachaktivitäten mit einer Aufbewahrungsdauer von weniger als einem Jahr erstellen, werden Überwachungsdatensätze für Exchange-Postfachaktivitäten für die von der benutzerdefinierten Richtlinie angegebene kürzere Dauer aufbewahrt.
Die Lebensdauer des Überwachungselements für Daten wird bestimmt, wenn Sie sie der Überwachungspipeline hinzufügen, und basiert auf den Lizenzierungsstandards oder anwendbaren Aufbewahrungsrichtlinien. Änderungen an der Lizenzierung oder anwendbaren Aufbewahrungsrichtlinien ändern die Ablaufzeit der Überwachungsdaten nach der Aktualisierung. Diese Änderungen aktualisieren keine zuvor committeten Elemente.
Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle
Führen Sie die folgenden Schritte aus, um eine Überwachungsaufbewahrungsrichtlinie zu erstellen:
Melden Sie sich beim Microsoft Purview-Portal mit einem Benutzerkonto an, dem die Rolle Organisationskonfiguration auf der Seite Rollen & Bereiche im Microsoft Purview-Portal zugewiesen ist.
Wählen Sie die Karte Lösung überwachen aus. Wenn die Karte Überwachungslösung nicht angezeigt wird, wählen Sie Alle Lösungen anzeigen und dann im Abschnitt Kern die Option Überwachung aus.
Wählen Sie Überwachungsaufbewahrungsrichtlinie erstellen aus, und füllen Sie dann die folgenden Felder auf der Flyoutseite aus:
Richtlinienname: Der Name der Aufbewahrungsrichtlinie für Überwachungsprotokolle. Dieser Name muss in Ihrem organization eindeutig sein, und Sie können ihn nach dem Erstellen der Richtlinie nicht mehr ändern.
Beschreibung: Optional, aber hilfreich, um Informationen zur Richtlinie bereitzustellen, z. B. den Datensatztyp oder die Workload, die in der Richtlinie angegebenen Benutzer und die Dauer.
Benutzer: Wählen Sie einen oder mehrere Benutzer aus, auf die die Richtlinie angewendet werden soll. Wenn Sie dieses Feld leer lassen, gilt die Richtlinie für alle Benutzer.
Datensatztyp: Der Überwachungsdatensatztyp, auf den die Richtlinie angewendet wird. Wenn Sie diese Eigenschaft leer lassen, gilt die Richtlinie für alle Datensatztypen. Sie können einen einzelnen oder mehrere Datensatztypen auswählen:
Wenn Sie einen einzelnen Datensatztyp auswählen, wird das Feld Aktivitäten dynamisch angezeigt. Verwenden Sie die Dropdownliste, um Aktivitäten aus dem ausgewählten Datensatztyp auszuwählen, auf die die Richtlinie angewendet werden soll. Wenn Sie keine bestimmten Aktivitäten auswählen, gilt die Richtlinie für alle Aktivitäten des ausgewählten Datensatztyps.
- Wenn Sie mehrere Datensatztypen auswählen, können Sie keine Aktivitäten auswählen. Die Richtlinie gilt für alle Aktivitäten der ausgewählten Datensatztypen.
- Dauer: die Zeitdauer, wie lange die Überwachungsprotokolle aufbewahrt werden, die den Kriterien der Richtlinie entsprechen Die verfügbaren Optionen sind 7 Tage, 30 Tage, 6 Monate, 9 Monate, 1 Jahr, 3 Jahre, 5 Jahre und 7 Jahre. Benutzer mit der Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen für 10 Jahre können eine Option für 10 Jahre auswählen.
Wichtig
Um Überwachungsprotokolle für die Dauer von 7 und 30 Tagen aufzubewahren, benötigen Sie ein Microsoft 365 Enterprise E5-Abonnement. Um Überwachungsprotokolle für die Dauer von 3, 5 und 7 Jahren aufzubewahren, müssen Sie zusätzlich zu Ihrem Microsoft 365 Enterprise E5-Abonnement einer Add-On-Lizenz für die Aufbewahrung von Überwachungsprotokollen für 10 Jahre zugewiesen sein. Weitere Informationen zu Überwachungsabonnements und Add-Ons finden Sie unter Überwachungslösungen in Microsoft Purview.
- Priorität: Dieser Wert bestimmt die Reihenfolge, in der Überwachungsprotokollaufbewahrungsrichtlinien in Ihrem organization verarbeitet werden. Ein niedrigerer Wert gibt eine höhere Priorität an. Gültige Prioritäten sind numerische Werte zwischen 1 und 10000. Ein Wert von 1 ist die höchste Priorität, und der Wert 10000 ist die niedrigste Priorität. Beispielsweise hat eine Richtlinie mit dem Wert 5 Vorrang vor einer Richtlinie mit dem Wert 10. Jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle hat Vorrang vor der Standardrichtlinie für Ihre organization.
Wählen Sie Speichern aus, um die neue Aufbewahrungsrichtlinie für Überwachungsprotokolle zu erstellen.
Die neue Richtlinie wird in der Liste auf der Seite Richtlinien angezeigt.
Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle im Microsoft Purview-Portal
Auf der Registerkarte Überwachungsaufbewahrungsrichtlinien (auch als Dashboard bezeichnet) werden Aufbewahrungsrichtlinien für Überwachungsprotokolle aufgelistet. Über das Dashboard können Sie Aufbewahrungsrichtlinien anzeigen, bearbeiten und löschen.
Anzeigen von Richtlinien im Dashboard
Die Dashboard listet Aufbewahrungsrichtlinien für Überwachungsprotokolle auf. Ein Vorteil der Anzeige von Richtlinien im Dashboard besteht darin, dass Sie die Spalte Priorität auswählen können, um die Richtlinien in der Prioritätsreihenfolge aufzulisten, in der sie angewendet werden. Wie zuvor erläutert, steht ein tieferer Wert für eine höhere Priorität.
Sie können außerdem eine Richtlinie auswählen, damit deren Einstellungen auf der Flyoutseite angezeigt werden.
Hinweis
Die Dashboard zeigt nicht die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle für Ihre organization an.
Bearbeiten von Richtlinien im Dashboard
Wenn Sie eine Richtlinie bearbeiten möchten, klicken Sie darauf, um die Flyoutseite anzuzeigen. Sie können eine oder mehrere Einstellungen ändern und dann Ihre Änderungen speichern.
Wichtig
Wenn Sie das Cmdlet New-UnifiedAuditLogRetentionPolicy verwenden, können Sie eine Aufbewahrungsrichtlinie für Überwachungsprotokolle für Datensatztypen oder Aktivitäten erstellen, die im Tool Zum Erstellen einer Überwachungsaufbewahrungsrichtlinie im Dashboard nicht verfügbar sind. In diesem Fall können Sie die Richtlinie im Dashboard Aufbewahrungsrichtlinien überwachen nicht bearbeiten (z. B. die Aufbewahrungsdauer ändern oder Aktivitäten hinzufügen und entfernen). Sie können die Richtlinie nur im Microsoft Purview-Portal anzeigen und löschen. Zum Bearbeiten der Richtlinie müssen Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy in Security & Compliance PowerShell verwenden.
Tipp
Oben auf der Flyoutseite wird eine Meldung für Richtlinien angezeigt, die Sie mithilfe von PowerShell bearbeiten müssen.
Löschen von Richtlinien im Dashboard
Um eine Richtlinie zu löschen, wählen Sie das Symbol Löschen aus, und bestätigen Sie dann, dass Sie die Richtlinie löschen möchten. Die Richtlinie wird aus dem Dashboard entfernt, es kann jedoch bis zu 30 Minuten dauern, bis die Richtlinie aus Ihrer Organisation entfernt wurde.
Erstellen und Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle in PowerShell
Aufbewahrungsrichtlinien für Überwachungsprotokolle können auch mithilfe von Security & Compliance Center-PowerShell erstellt und verwaltet werden. Ein Grund für die Verwendung von PowerShell ist das Erstellen einer Richtlinie für einen Datensatztyp oder eine Aktivität, der bzw. die auf der Benutzeroberfläche nicht verfügbar ist.
Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle in PowerShell
Gehen Sie folgendermaßen vor, um eine Aufbewahrungsrichtlinie für Überwachungsprotokolle in PowerShell zu erstellen:
Herstellen einer Verbindung zur Security & Compliance Center-PowerShell.
Führen Sie zum Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle den folgenden Befehl aus:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100In diesem Beispiel wird eine Aufbewahrungsrichtlinie für Überwachungsprotokolle namens "Microsoft Teams Audit Policy" mit diesen Einstellungen erstellt:
- Eine Beschreibung der Richtlinie.
- Bewahrt alle Microsoft Teams-Aktivitäten auf (gemäß der Definition durch den RecordType-Parameter).
- Bewahrt Microsoft Teams-Überwachungsprotokolle 10 Jahre lang auf.
- Eine Priorität von 100.
Hier ist ein weiteres Beispiel für das Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle. Diese Richtlinie speichert Überwachungsprotokolle für die Aktivität "Benutzer angemeldet" für den Benutzer admin@contoso.onmicrosoft.comsechs Monate lang.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Weitere Informationen finden Sie unter New-UnifiedAuditLogRetentionPolicy-.
Anzeigen von Richtlinien in PowerShell
Verwenden Sie das Cmdlet Get-UnifiedAuditLogRetentionPolicy in Security & Compliance Center-PowerShell, um Aufbewahrungsrichtlinien für Überwachungsprotokolle anzuzeigen.
Der folgende Befehl zeigt die Einstellungen für alle Aufbewahrungsrichtlinien für Überwachungsprotokolle in Ihrem organization an. Mit diesem Befehl werden die Richtlinien von der höchsten bis zur niedrigsten Priorität sortiert.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Hinweis
Das Cmdlet Get-UnifiedAuditLogRetentionPolicy gibt nicht die standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für Ihre Organisation zurück.
Bearbeiten von Richtlinien in PowerShell
Verwenden Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy in Security & Compliance Center-PowerShell, um eine bestehende Aufbewahrungsrichtlinie für Überwachungsprotokolle zu bearbeiten.
Löschen von Richtlinien in PowerShell
Verwenden Sie das Cmdlet Remove-UnifiedAuditLogRetentionPolicy in Security & Compliance Center-PowerShell, um eine Aufbewahrungsrichtlinie für Überwachungsprotokolle zu löschen. Es kann bis zu 30 Minuten dauern, bis die Richtlinie aus Ihrer Organisation entfernt wurde.