管理稽核記錄保留原則

已完成

組織可以在 Microsoft Purview 合規性入口網站中建立及管理稽核記錄保留原則。 稽核記錄保留原則是 Microsoft Purview 稽核 (進階版) 解決方案的一部分。 稽核記錄保留原則可讓組織指定要保留稽核記錄的時間。 稽核記錄最多可保留 10 年。 可以根據下列準則來建立保留原則:

  • 在一或多個 Microsoft 365 服務中的所有活動。
  • 所有使用者或特定使用者執行的特定活動 (在 Microsoft 365 服務中)。
  • 優先順序等級指定當組織中有多個原則時,哪一個原則優先。

預設稽核記錄保留原則

Microsoft Purview 稽核 (進階版) 可為所有組織提供預設的稽核記錄保留原則。 此原則會將所有 Exchange Online、SharePoint Online、商務用 OneDrive 和 Microsoft Entra 稽核記錄保留一年。 此預設原則會保留包含工作負載屬性 (此即活動發生所在的服務) 的 Exchange、SharePoint、OneDrive、AzureActiveDirectory 值的稽核記錄。

注意事項

無法修改預設的稽核記錄保留原則。

預設的稽核記錄保留原則僅適用獲指派下列其中之一的使用者所執行活動的稽核記錄:

  • Office 365 或 Microsoft 365 E5 授權
  • Microsoft 365 E5 合規性或 E5 電子文件探索和稽核附加元件授權

如果組織中有非 E5 使用者或來賓使用者,其對應的稽核記錄會保留 90 天。

在建立稽核記錄保留原則之前

組織必須滿足下列需求,才能建立稽核記錄保留原則:

  • 組織中負責建立和修改稽核記錄保留原則的人員,必須獲指派Microsoft Purview 合規性入口網站中的組織設定角色。
  • 一個組織最多可以有 50 個稽核記錄保留原則。
  • 若要保留稽核記錄超過 90 天 (最多 1 年),產生稽核記錄 (透過執行稽核活動) 的使用者必須獲指派 Office 365 E5 或 Microsoft 365 E5 授權,或擁有 Microsoft 365 E5 合規性或 E5 電子文件探索與稽核附加元件授權。
  • 若要保留稽核記錄 10 年,除了 E5 授權之外,還必須指派 10 年的稽核記錄保留附加元件授權給產生稽核記錄的使用者。
  • 由組織建立的所有自訂稽核記錄保留原則會優先於預設保留原則。 例如,假設您為具有保留期間少於一年的 Exchange 信箱活動建立稽核記錄保留原則。 在此案例中,Exchange 信箱活動的稽核記錄將會保留自訂原則所指定的較短的持續時間。

建立稽核記錄保留原則

完成下列步驟以建立自訂稽核記錄保留原則:

  1. 使用已指派組織設定角色的使用者帳戶登入 Microsoft Purview 合規性入口網站。

  2. Microsoft Purview 合規性入口網站中,選取功能窗格上的 [稽核]

  3. [稽核] 頁面上,選取 [稽核保留原則] 索引標籤。

  4. [稽核保留原則] 索引標籤上,選取 [建立稽核保留原則],然後在出現的 [新增稽核保留原則] 視窗上完成下列欄位:

    顯示 [新增稽核保留原則] 視窗的螢幕擷取畫面,其中已醒目提示數個設定。

    1. 原則名稱。 稽核記錄保留原則的名稱。 此名稱在組織中必須是唯一的。 一旦建立原則後,就無法變更原則名稱。
    2. 描述。 原則的描述。 雖然此欄位是選擇性的,但提供原則的相關資訊會很有幫助。 例如: 記錄類型或工作負載、原則中指定的使用者、持續時間。
    3. 使用者。 選取將套用原則的一或多個使用者。 如果您將此欄位保留空白,原則會套用至所有使用者。 如果將 [記錄類型] 保留空白,則必須選取使用者。
    4. 記錄類型。 將套用原則的稽核記錄類型。 如果將此屬性保留空白,則必須在 [使用者] 欄位中選取使用者。 您可以選取單一記錄類型或多個記錄類型:
      • 單一記錄類型。 如果您選取單一記錄類型,則會動態顯示 [活動] 欄位。 您可以使用下拉式清單從選取的記錄類型中選取活動,以便套用原則。 如果您未選擇特定活動,則原則會套用至所選記錄類型的所有活動。
      • 多個記錄類型。 如果您選取多個記錄類型,就無法選取活動。 原則會套用至所選記錄類型的所有活動。
    5. [持續時間]。 要保留符合原則準則之稽核記錄的時間長度。
    6. 優先順序。 此值會決定組織中稽核記錄保留原則的處理順序。 較低的值表示優先順序較高。 有效的優先順序是介於 1 到 10,000 之間的數值。 值為 1 代表最高優先順序,而值為 10,000 代表最低優先順序。 例如,值為 5 的原則優先於值為 10 的原則。 如先前所述,任何自訂稽核記錄保留原則的優先順序都會高於組織的預設原則。
  5. 按一下 [儲存] 以建立新的稽核記錄保留原則。

新原則會顯示在 [稽核保留原則] 索引標籤的清單中。

在合規性入口網站中管理稽核記錄保留原則

稽核記錄保留原則列在 [稽核保留原則] 索引標籤中 (又稱為 [儀表板]) 您可以使用儀表板來查看、編輯及刪除稽核保留原則。

在儀表板中查看原則

稽核記錄保留原則列在儀表板中。 在儀表板中檢視原則的優點之一,就是您可以選取 [優先順序] 欄位,以按照套用的優先順序列出原則。 如先前所述,較低的值表示優先順序較高。

顯示 [稽核] 頁面上 [稽核保留原則] 索引標籤的螢幕擷取畫面,其中已醒目提示每個原則的 [優先順序] 欄位。

您也可以選取原則,以在出現的原則詳細資料窗格上顯示其設定。

注意事項

儀表板中不會顯示貴組織的預設稽核記錄保留原則。

在儀表板中編輯原則

若要編輯原則,請選取它以顯示原則詳細資料窗格。 您可以修改一個或多個設定,然後儲存變更。

重要事項

使用 New UnifiedAuditLogRetentionPolicy Cmdlet,可以為 Microsoft Purview 合規性入口網站的 [建立稽核保留原則] 工具中不可用的記錄類型或活動建立稽核記錄保留原則。 在這種情況下,您將無法從儀表板中的 [稽核保留原則] 中編輯原則 (例如,變更保留期或新增和移除活動)。 您只能在 Microsoft Purview 合規性入口網站中檢視及刪除原則。 若要編輯原則,必須在安全性與合規性 PowerShell 模組中使用 Set-UnifiedAuditLogRetentionPolicy Cmdlet。

提示

原則詳細資料窗格頂端會顯示一則訊息,指出必須使用 PowerShell 編輯的原則。

在儀表板中刪除原則

若要刪除原則,請選取垃圾桶 (刪除) 圖示。 然後確認您要刪除該原則。 該原則會從儀表板中移除,但可能需要長達 30 分鐘的時間,原則才會從組織中移除。

在 PowerShell 中建立並管理稽核記錄保留原則

您也可以使用安全性與合規性 PowerShell 模組來建立並管理稽核記錄保留原則。 使用 PowerShell 的一個原因是,您可以為無法在 Microsoft Purview 合規性入口網站中使用的記錄類型或活動建立原則。

在 PowerShell 中建立稽核記錄保留原則

請依照以下步驟,在 PowerShell 中建立稽核記錄保留原則:

  1. Windows PowerShell 中,連線到安全性與合規性 PowerShell 模組。

  2. 執行下列命令以建立稽核記錄保留原則:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    此範例會建立名為「Microsoft Teams 稽核原則」的稽核記錄保留原則,其中具有這些設定:

    • 原則的描述。
    • 保留所有 Microsoft Teams 活動 (如 RecordType 參數所定義)。
    • 保留 Microsoft Teams 稽核記錄 10 年。
    • 將優先順序 100 指派給原則。

以下是建立稽核記錄保留原則的另一個範例。 此原則:

  • 會保留「使用者已登入」活動稽核記錄六個月。
  • 它會為使用者 admin@contoso.onmicrosoft.com 執行此動作。
  • 將優先順序 25 指派給原則。
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

在 PowerShell 中查看原則

在安全性與合規性 PowerShell 模組中使用 Get-UnifiedAuditLogRetentionPolicy Cmdlet 來檢視稽核記錄保留原則。

以下的範例命令可用來顯示組織中所有的稽核記錄保留原則設定。 此命令會將原則的優先順序從最高到最低排序。

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

注意事項

Get-UnifiedAuditLogRetentionPolicy Cmdlet 不會傳回組織的預設稽核記錄保留原則。

在 PowerShell 中編輯原則

在安全性與合規性 PowerShell 模組中使用 Set-UnifiedAuditLogRetentionPolicy Cmdlet 來編輯現有的稽核記錄保留原則。

在 PowerShell 中刪除原則

在安全性與合規性 PowerShell 模組中使用 Remove-UnifiedAuditLogRetentionPolicy Cmdlet 來刪除稽核記錄保留原則。 從組織中移除原則可能最多需要 30 分鐘的時間。

知識檢查

為以下每個問題選擇最佳的回應。

檢定您的知識

1.

Contoso 已實作 Microsoft Purview 稽核 (進階版)。 Contoso 的預設稽核記錄保留原則會保留 Exchange Online 稽核記錄多久?