New-UnifiedAuditLogRetentionPolicy

參考

模組:: ExchangePowerShell

適用於:: Security & Compliance

此 Cmdlet 僅適用于安全 & 性合規性 PowerShell。如需詳細資訊，請參閱安全 & 性合規性 PowerShell。

使用 New-UnifiedAuditLogRetentionPolicy Cmdlet 在 Microsoft 365 Defender 入口網站或Microsoft Purview 合規性入口網站中建立稽核記錄保留原則。

如需下方＜語法＞一節中參數集的詳細資訊，請參閱 Exchange Cmdlet 語法。

Syntax

New-UnifiedAuditLogRetentionPolicy
   [-Name] <String>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

稽核記錄保留原則可用來為系統管理員和使用者活動所產生的稽核記錄指定保留期間。稽核記錄保留原則可以根據稽核的活動類型、活動執行的Microsoft 365 服務，或執行活動的使用者來指定保留期間。如需詳細資訊，請參閱管理稽核記錄保留原則。

若要在安全 & 性合規性 PowerShell 中使用此 Cmdlet，您必須獲指派許可權。如需詳細資訊，請參閱Microsoft 365 Defender入口網站中的許可權或Microsoft Purview 合規性入口網站中的許可權。

範例

範例 1

New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100

此範例會建立稽核記錄保留原則，將與Microsoft Teams 事件相關的所有稽核記錄保留一年。

範例 2

New-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Description "90 day retention policy for noisy SharePoint events" -RecordTypes SharePoint -Operations SearchQueryPerformed -UserIds "app@sharepoint" -RetentionDuration ThreeMonths -Priority 10000

此範例會建立稽核記錄保留原則，將 app@sharepoint 服務帳戶執行之 SearchQueryPerformed 活動的所有稽核記錄保留 90 天。

參數

-Confirm

Confirm 參數會指定要顯示或隱藏確認提示。這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。

例如，具破壞性的 Cmdlet (例如 Remove-* Cmdlet) 內建暫停，可強制您在繼續之前確認命令。對於這些 Cmdlet，您可以使用以下確切語法來略過確認提示：-Confirm:$false。
其他大部分的 Cmdlet (例如，New-* 和 Set-* Cmdlet) 沒有內建暫停。在使用這些 Cmdlet 時，指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Description

Description 參數會指定稽核記錄保留原則的描述。最大長度為 256 個字元。如果值包含空格，請使用引號 (") 括住值。

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Name

Name 參數會指定稽核記錄保留原則的唯一名稱。最大長度為 64 個字元。如果值包含空格，請使用引號 (") 括住值。

Type:	String
Position:	0
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Operations

Operations 參數會指定原則所保留的稽核記錄作業。如需此參數可用值的清單，請參閱稽核的活動。

您可以輸入多個以逗號分隔的值。如果值包含空格或需要引號，請使用下列語法： "Value1","Value2",..."ValueN" 。

如果您使用此參數，也必須使用 RecordTypes 參數來指定記錄類型。如果您已為 RecordTypes 參數指定多個值，則無法使用此參數。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Priority

Priority 參數會為決定原則處理順序的原則指定優先順序值。較高的整數值表示優先順序較低。值 1 是最高優先順序，而值 10000 是最低優先順序。沒有兩個原則可以有相同的優先順序值。

當您建立稽核記錄保留原則，而且您必須使用唯一的優先順序值時，需要此參數。

您建立的任何自訂稽核記錄保留原則都會優先于預設的稽核記錄保留原則。如需詳細資訊，請參閱管理稽核記錄保留原則。

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RecordTypes

RecordTypes 參數會指定原則所保留之特定記錄類型的稽核記錄。如需可用值的詳細資訊，請參閱 AuditLogRecordType。

您可以指定多個以逗號分隔的值。如果您指定多個值，就無法使用 Operations 參數。

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RetentionDuration

RetentionDuration 參數會指定保留稽核記錄檔記錄的時間長度。有效值為：

ThreeMonths
SixMonths
NineMonths
TwelveMonths
TenYears

Type:	UnifiedAuditLogRetentionDuration
Accepted values:	ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-UserIds

UserIds 參數會根據執行動作之使用者的識別碼，指定原則所保留的稽核記錄。