Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede crear y administrar directivas de retención de registros de auditoría en el portal de Microsoft Purview. Las directivas de retención de registros de auditoría forman parte de las nuevas funcionalidades de Auditoría de Microsoft Purview (Premium). Una directiva de retención de registro de auditoría le permite especificar durante cuánto tiempo se conservan los registros de auditoría en su organización. Puede conservar los registros de auditoría hasta por 10 años. Puede crear directivas en función de los siguientes criterios:
- Todas las actividades de uno o varios servicios de Microsoft
- Actividades específicas en un servicio de Microsoft realizadas por todos los usuarios o por usuarios específicos
- Un nivel de prioridad que especifica qué directiva tiene prioridad si tiene varias directivas en su organización.
Directiva de retención de registros de auditoría predeterminada en Auditoría (Premium)
Auditoría (Premium) en Microsoft Purview proporciona una directiva de retención de registros de auditoría predeterminada para todas las organizaciones. No se puede modificar esta directiva. Conserva todos los registros de auditoría de Exchange Online, SharePoint, OneDrive y Microsoft Entra durante un año. Esta directiva predeterminada conserva los registros de auditoría que contienen el valor de AzureActiveDirectory, Exchange, OneDrive y SharePoint para la propiedad Workload (que es el servicio en el que se produjo la actividad). Los registros de auditoría de todas las demás actividades se conservan durante 180 días de forma predeterminada o puede cambiar la retención a una duración diferente mediante una directiva de retención personalizada.
Nota:
La directiva de retención de registros de auditoría predeterminada solo se aplica a los registros de auditoría de la actividad realizada por los usuarios a los que se les asigna una licencia de Office 365 o Microsoft 365 E5 o que tienen una Microsoft Purview Suite (anteriormente conocida como Cumplimiento de Microsoft 365 E5) o la licencia del complemento E5 eDiscovery y Audit. Si tiene usuarios no E5 o usuarios invitados en su organización, sus registros de auditoría correspondientes se conservan durante 180 días.
Importante
El período de retención predeterminado de Auditoría (Standard) ha cambiado de 90 días a 180 días. Los registros de auditoría (Standard) generados antes del 17 de octubre de 2023 se conservan durante 90 días. Los registros de auditoría (Standard) generados a partir del 17 de octubre de 2023 siguen la nueva retención predeterminada de 180 días.
Antes de crear una directiva de retención de registros de auditoría
Necesita el rol Configuración de la organización en el portal de Microsoft Purview para crear o modificar una directiva de retención de auditoría.
Su organización puede tener hasta 50 directivas de retención de registros de auditoría.
Para conservar un registro de auditoría durante más de 180 días (y hasta 1 año), el usuario que genera el registro de auditoría (realizando una actividad auditada) debe tener una licencia de Office 365 E5 o Microsoft 365 E5 o una Microsoft Purview Suite (anteriormente conocida como Cumplimiento de Microsoft 365 E5) o E5 eDiscovery y auditar la licencia del complemento. Para conservar los registros de auditoría durante 10 años, el usuario que genera el registro de auditoría también debe tener una licencia de complemento de retención de registros de auditoría de 10 años además de una licencia E5.
Nota:
Si el usuario que genera el registro de auditoría no cumple estos requisitos de licencia, los datos se conservan según la directiva de retención de prioridad más alta. Esta retención puede ser la directiva de retención predeterminada para la licencia del usuario o la directiva de prioridad más alta que coincida con el usuario y su tipo de registro.
Todas las directivas de retención de registros de auditoría personalizadas (creadas por la organización) tienen prioridad sobre la directiva de retención predeterminada. Por ejemplo, si crea una directiva de retención de registros de auditoría para la actividad de buzón de Exchange que tiene un período de retención inferior a un año, los registros de auditoría para las actividades de buzón de Exchange se conservan durante el menor tiempo especificado por la directiva personalizada.
La duración del elemento de auditoría de los datos se determina cuando se agrega a la canalización de auditoría y se basa en los valores predeterminados de licencia o las directivas de retención aplicables. Los cambios en las licencias o las directivas de retención aplicables cambian la hora de expiración de los datos de auditoría después de la actualización. Estos cambios no actualizan los elementos confirmados anteriormente.
Crear una directiva de retención de registros de auditoría
Complete los pasos siguientes para crear una directiva de retención de auditoría:
Inicie sesión en el portal de Microsoft Purview con una cuenta de usuario asignada al rol Configuración de la organización en la página Roles & ámbitos del portal de Microsoft Purview.
Seleccione la tarjeta Auditar solución. Si no se muestra la tarjeta Auditar solución, seleccione Ver todas las soluciones y, a continuación, seleccione Auditar en la sección Núcleo .
Seleccione Crear directiva de retención de auditoría y, a continuación, complete los campos siguientes en la página de control flotante:
Nombre de directiva: nombre de la directiva de retención de registros de auditoría. Este nombre debe ser único en su organización y no puede cambiarlo después de crear la directiva.
Descripción: opcional, pero útil para proporcionar información sobre la directiva, como el tipo de registro o la carga de trabajo, los usuarios especificados en la directiva y la duración.
Usuarios: seleccione uno o más usuarios para aplicar la directiva. Si deja este cuadro en blanco, la directiva se aplica a todos los usuarios.
Tipo de registro: tipo de registro de auditoría al que se aplica la directiva. Si deja esta propiedad en blanco, la directiva se aplica a todos los tipos de registro. Puede seleccionar un único tipo de registro o varios tipos de registro:
Si selecciona un único tipo de registro, el campo Actividades se mostrará dinámicamente. Use la lista desplegable para seleccionar actividades del tipo de registro seleccionado al que aplicar la directiva. Si no elige actividades específicas, la directiva se aplica a todas las actividades del tipo de registro seleccionado.
- Si selecciona varios tipos de registro, no podrá seleccionar actividades. La directiva se aplica a todas las actividades de los tipos de registro seleccionados.
- Duración: es la cantidad de tiempo que se conservarán los registros de auditoría que cumplan los criterios de la directiva. Las opciones disponibles son 7 días, 30 días, 6 meses, 9 meses, 1 año, 3 años, 5 años y 7 años. Los usuarios con la licencia del complemento de retención de registros de auditoría de 10 años pueden seleccionar una opción de 10 años .
Importante
Para conservar los registros de auditoría para las opciones de duración de 7 y 30 días, debe tener una suscripción Microsoft 365 Enterprise E5. Para conservar los registros de auditoría para las opciones de duración de 3, 5 y 7 años, debe estar asignado a una licencia de complemento de retención de registros de auditoría de 10 años además de la suscripción de Microsoft 365 Enterprise E5. Para obtener más información sobre las suscripciones de auditoría y los complementos, consulte Soluciones de auditoría en Microsoft Purview.
- Prioridad: este valor determina el orden en que se procesan las directivas de retención de registros de auditoría de su organización. Un valor inferior indica mayor prioridad. Las prioridades válidas son valores numéricos entre 1 y 10 000. Un valor de 1 tiene la prioridad más alta y un valor de 10 000 tiene la prioridad más baja. Por ejemplo, una directiva con un valor de 5 tiene prioridad sobre una directiva con un valor de 10. Cualquier directiva de retención de registros de auditoría personalizada tiene prioridad sobre la directiva predeterminada para su organización.
Selecciona Guardar para crear la nueva directiva de retención de registros de auditoría.
La nueva directiva aparece en la lista de la página Directivas .
Administración de directivas de retención de registros de auditoría en el portal de Microsoft Purview
La pestaña Directivas de retención de auditoría (también denominada panel) muestra las directivas de retención de registros de auditoría. Puede usar el panel para ver, editar y eliminar directivas de retención de auditoría.
Ver directivas en el panel
En el panel se enumeran las directivas de retención de registros de auditoría. Una ventaja de ver las directivas en el panel es que puede seleccionar la columna Prioridad para enumerar las directivas en el orden de prioridad en el que se aplican. Como se explicó previamente, un valor más alto indica una prioridad mayor.
También puede seleccionar una directiva para mostrar su configuración en la página flotante.
Nota:
El panel no muestra la directiva de retención de registros de auditoría predeterminada para su organización.
Editar directivas en el panel
Para editar una directiva, selecciónela para mostrar la página de control flotante. Puede modificar una o varias configuraciones y, a continuación, guardar los cambios.
Importante
Si usa el cmdlet New-UnifiedAuditLogRetentionPolicy , puede crear una directiva de retención de registros de auditoría para tipos de registros o actividades que no están disponibles en la herramienta Crear directiva de retención de auditoría en el panel. En este caso, no puede editar la directiva (por ejemplo, cambiar la duración de la retención o agregar y quitar actividades) desde el panel Auditar directivas de retención . Solo puede ver y eliminar la directiva en el portal de Microsoft Purview. Para editar la directiva, debe usar el cmdlet Set-UnifiedAuditLogRetentionPolicy en PowerShell de seguridad & cumplimiento.
Sugerencia
Se muestra un mensaje en la parte superior de la página de control flotante para las directivas que necesita editar mediante PowerShell.
Eliminar directivas en el panel
Para eliminar una directiva, seleccione el icono Eliminar y, a continuación, confirme que desea eliminar la directiva. La directiva se quita del panel, pero puede tardar hasta 30 minutos en quitarse la directiva de la organización.
Crear y administrar directivas de retención de registros de auditoría en PowerShell
También puede usar eguridad y cumplimiento de PowerShell para crear y administrar directivas de retención de registros de auditoría. Uno de los motivos para usar PowerShell es crear una directiva para un tipo de registro o actividad que no esté disponible en la interfaz de usuario.
Crear una directiva de retención de registros de auditoría en PowerShell
Siga estos pasos para crear una directiva de retención de registros de auditoría en PowerShell:
Ejecute el siguiente comando para crear una directiva de retención de registros de auditoría:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100En este ejemplo se crea una directiva de retención de registros de auditoría denominada "Directiva de auditoría de Microsoft Teams" con esta configuración:
- Una descripción de la directiva.
- Conserva todas las actividades de Microsoft Teams (definidas en el parámetro RecordType).
- Conserva los registros de auditoría de Microsoft Teams por 10 años.
- Una prioridad de 100.
Este es otro ejemplo para la creación de una directiva de retención de registros de auditoría. Esta directiva conserva los registros de auditoría de la actividad "Usuario que ha iniciado sesión" durante seis meses para el usuario admin@contoso.onmicrosoft.com.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Para obtener más información, consulte New-UnifiedAuditLogRetentionPolicy.
Ver directivas en PowerShell
Use el cmdlet Get-UnifiedAuditLogRetentionPolicy en Seguridad y cumplimiento de PowerShell para ver directivas de retención de registros de auditoría.
El siguiente comando muestra la configuración de todas las directivas de retención de registros de auditoría de la organización. Este comando ordena las directivas de mayor a menor prioridad.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Nota:
El cmdlet Get-UnifiedAuditLogRetentionPolicy no devuelve la directiva de retención de registros de auditoría predeterminada para su organización.
Editar directivas en PowerShell
Use el cmdlet Set-UnifiedAuditLogRetentionPolicy en Seguridad y cumplimiento de PowerShell para editar una directiva de retención de registros de auditoría existente.
Eliminar directivas en PowerShell
Use el cmdlet Remove-UnifiedAuditLogRetentionPolicy en Seguridad y cumplimiento de PowerShell para eliminar una directiva de retención de registros de auditoría. La directiva puede tardar hasta 30 minutos para eliminarse por completo de su organización.