管理审核日志保留策略

可以在 Microsoft Purview 门户中创建和管理审核日志保留策略。 审核日志保留策略是新的 Microsoft Purview Audit（高级版）功能的一部分。 通过审核日志保留策略，可指定组织中审核日志的保留时间。 可将审核日志保留长达 10 年时间。 可以根据以下标准创建策略：

• 一个或多个Microsoft服务中的所有活动
• 所有用户或特定用户执行的Microsoft服务中的特定活动
• 一个优先级，指定在组织中有多个策略时，哪个策略优先

审核 (Premium) 中的默认审核日志保留策略

Microsoft Purview 中的审核 (Premium) 为所有组织提供默认的审核日志保留策略。 无法修改此策略。 它将所有Exchange Online、SharePoint、OneDrive 和Microsoft Entra审核记录保留一年。 此默认策略保留包含 Workload 属性的 AzureActiveDirectory、Exchange、OneDrive 和 SharePoint 值的审核记录 (这是) 发生活动的服务。 默认情况下，所有其他活动的审核记录将保留 180 天，或者可以使用自定义保留策略将保留期更改为其他持续时间。

在创建审核日志保留策略之前

• 需要 Microsoft Purview 门户中的 “组织配置” 角色才能创建或修改审核保留策略。

• 你的组织最多可以有 50 个审核日志保留策略。

• 若要将审核日志保留超过 180 天， (最多 1 年) ，通过执行审核活动 (生成审核日志的用户) 必须具有Office 365 E5或Microsoft 365 E5许可证或以前称为Microsoft Purview 套件 (Microsoft 365 E5 合规) 或 E5 电子数据展示和审核附加许可证。 若要将审核日志保留 10 年，除了 E5 许可证外，生成审核日志的用户还必须具有 10 年的审核日志保留附加许可证。

  注意

  如果生成审核日志的用户不符合这些许可要求，则会根据最高优先级保留策略保留数据。 此保留可能是用户许可证的默认保留策略，也可以是与用户及其记录类型匹配的最高优先级策略。

• 所有自定义审核日志保留策略（由组织创建）都优先于默认保留策略。 例如，如果为保留期短于一年的 Exchange 邮箱活动创建审核日志保留策略，则 Exchange 邮箱活动的审核记录将保留自定义策略指定的较短持续时间。

• 数据的审核项生存期是在将数据添加到审核管道时确定的，并且基于许可默认值或适用的保留策略。 对许可或适用保留策略的任何更改会更改更新后的审核数据的过期时间。 这些更改不会更新任何以前提交的项。

创建审核日志保留策略

完成以下步骤以创建审核保留策略：

1. 在 Microsoft Purview 门户的“角色 & 范围”页上，使用分配有组织配置角色的用户帐户登录到 Microsoft Purview 门户。

2. 选择“审核解决方案”卡。 如果未显示“审核解决方案卡，请选择”查看所有解决方案“，然后从”核心“部分选择”审核”。

3. 选择“ 创建审核保留策略”，然后在浮出控件页上填写以下字段：

   

   • 策略名称：审核日志保留策略的名称。 此名称在组织中必须是唯一的，并且创建策略后无法更改它。

   • 说明：可选，但有助于提供有关策略的信息，例如记录类型或工作负荷、策略中指定的用户以及持续时间。

   • 用户：选择一个或多个要为其应用策略的用户。 如果将此框留空，则策略将应用于所有用户。

   • 记录类型：策略应用于的审核记录类型。 如果将此属性留空，则策略将应用于所有记录类型。 可选择一种记录类型或多个记录类型：

   • 如果选择一条记录类型，将动态显示“活动”字段。 使用下拉列表从所选记录类型选择要应用策略的活动。 如果不选择特定活动，该策略将应用于所选记录类型的所有活动。

     • 如果选择多个记录类型，则不能选择活动。 该策略适用于所选记录类型的所有活动。
     • 期限：保留符合策略条件的审核日志的时间。 可用选项包括 7 天、 30 天、 6 个月、 9 个月、 1 年、 3 年、 5 年和 7 年。 具有 10 年审核日志保留附加许可证的用户可以选择 10 年 选项。

   重要

   若要将审核日志保留 7 天和 30 天持续时间选项，必须具有Microsoft 365 企业版 E5 订阅。 若要保留 3 年、5 年和 7 年持续时间选项的审核日志，除了Microsoft 365 企业版 E5 订阅外，还必须向你分配 10 年审核日志保留附加许可证。 有关审核订阅和加载项的详细信息，请参阅 Microsoft Purview 中的审核解决方案

   • 优先级：此值确定组织中审核日志保留策略的处理顺序。 该值越小，表示优先级越高。 有效优先级为 1 到 10000 之间的数值。 值 1 优先级最高，值为 10000 则优先级最低。 例如，如果策略的值为 5，则优先于值为 10 的策略。 任何自定义审核日志保留策略都优先于组织的默认策略。

4. 选择“保存”以创建新的审核日志保留策略。

新策略将显示在“ 策略 ”页上的列表中。

在 Microsoft Purview 门户中管理审核日志保留策略

“审核保留策略”选项卡 (也称为“仪表板) 列出了审核日志保留策略。 可使用仪表板查看、编辑和删除审核保留策略。

在仪表板中查看策略

仪表板列出了审核日志保留策略。 在仪表板中查看策略的一个优点是，可以选择“优先级”列，以按应用策略的优先级顺序列出策略。 如前所述，值越小表示优先级越高。

也可以选择一个策略以在浮出页面上显示其设置。

在仪表板中编辑策略

要编辑策略，请选择它以显示浮出页面。 可以修改一个或多个设置，然后保存更改。

在仪表板中删除策略

若要删除策略，请选择“ 删除 ”图标，然后确认要删除该策略。 已从仪表板中删除策略，但从组织中删除策略最长可能需要 30 分钟。

在 PowerShell 中创建和管理审核日志保留策略

还可以使用安全与合规 PowerShell 来创建和管理审核日志保留策略。 使用 PowerShell 的一个原因是为 UI 中不可用的记录类型或活动创建策略。

在 PowerShell 中创建审核日志保留策略

请按照以下步骤在 PowerShell 中创建审核日志保留策略：

1. 连接到安全与合规 PowerShell。

2. 运行以下命令以创建审核日志保留策略：

   New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
   

   本示例使用以下设置创建名为“Microsoft Teams 审核策略”的审核日志保留策略：

   • 策略说明。
   • 保留所有 Microsoft Teams 活动（由 RecordType 参数定义）。
   • 将 Microsoft Teams 审核日志保留 10 年。
   • 优先级为 100。

下面是创建审核日志保留策略的另一个示例。 此策略将“用户已登录”活动的审核日志保留 6 个月。admin@contoso.onmicrosoft.com

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

有关详细信息，请参阅 New-UnifiedAuditLogRetentionPolicy。

在 PowerShell 中查看策略

使用安全与合规 PowerShell 中的 Get-UnifiedAuditLogRetentionPolicy cmdlet 查看审核日志保留策略。

以下命令显示组织中所有审核日志保留策略的设置。 此命令从最高优先级到最低优先级对策略进行排序。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

在 PowerShell 中编辑策略

使用安全与合规 PowerShell 中的 Set-UnifiedAuditLogRetentionPolicy cmdlet 编辑现有审核日志保留策略。

在 PowerShell 中删除策略

使用安全与合规 PowerShell 中的 Remove-UnifiedAuditLogRetentionPolicy cmdlet 删除审核日志保留策略。 从组织中删除策略最长可能需要 30 分钟。