Set-UnifiedAuditLogRetentionPolicy

Module:

ExchangePowerShell

S’applique à:

Security & Compliance

Cette applet de commande est disponible uniquement dans & Security Compliance PowerShell. Pour plus d’informations, consultez Conformité de la sécurité & PowerShell.

Utilisez l’applet de commande Set-UnifiedAuditLogRetentionPolicy pour modifier les stratégies de rétention des journaux d’audit dans le portail Microsoft 365 Defender ou le portail de conformité Microsoft Purview.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

Set-UnifiedAuditLogRetentionPolicy
   [-Identity] <PolicyIdParameter>
   -Priority <Int32>
   -RetentionDuration <UnifiedAuditLogRetentionDuration>
   [-Confirm]
   [-Description <String>]
   [-Operations <MultiValuedProperty>]
   [-RecordTypes <MultiValuedProperty>]
   [-UserIds <MultiValuedProperty>]
   [-WhatIf]
   [<CommonParameters>]

Description

Les stratégies de rétention des journaux d’audit sont utilisées pour spécifier une durée de rétention pour les journaux d’audit générés par l’activité de l’administrateur et de l’utilisateur. Une stratégie de rétention du journal d’audit peut spécifier la durée de rétention en fonction du type d’activités auditées, du service Microsoft 365 dans lequel les activités sont effectuées ou des utilisateurs qui ont effectué les activités. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Pour utiliser cette applet de commande dans PowerShell de conformité de la sécurité & , des autorisations doivent vous être attribuées. Pour plus d’informations, consultez Autorisations dans le portail Microsoft 365 Defender ou Autorisations dans le portail de conformité Microsoft Purview.

Exemples

Exemple 1

Set-UnifiedAuditLogRetentionPolicy -Identity "eDiscovery audit retention" -RecordTypes Discovery,AeD -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 100

Cet exemple ajoute le type d’enregistrement AeD (pour les événements eDiscovery Premium) à la stratégie. Il configure également que la stratégie est appliquée uniquement aux journaux d’audit pour les activités effectuées uniquement par l’utilisateur admin@contoso.onmicrosoft.com.

Exemple 2

Set-UnifiedAuditLogRetentionPolicy -Name "SearchQueryPerformed by app@sharepoint" -Operations SearchQueryPerformed,FileAccessed -UserIds $null -RetentionDuration SixMonths -Priority 10000

Cet exemple modifie une stratégie de rétention du journal d’audit et la durée de rétention à six mois, ajoute une activité supplémentaire au paramètre Operations et supprime toutes les valeurs de la propriété UserId afin que la stratégie s’applique à tous les utilisateurs.

Paramètres

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

• Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
• La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.

Type:	SwitchParameter
Aliases:	cf
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Description

Le paramètre Description spécifie une description de la stratégie de rétention du journal d’audit. La longueur maximale est de 256 caractères. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Identity

Le paramètre Identity spécifie la stratégie de rétention du journal d’audit unifiée que vous souhaitez modifier. Vous pouvez utiliser n’importe quelle valeur qui identifie de manière unique la stratégie. Par exemple :

• Nom
• Nom distingished (DN)
• GUID

Type:	PolicyIdParameter
Position:	0
Default value:	None
Required:	True
Accept pipeline input:	True
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Operations

Le paramètre Operations spécifie les opérations de journal d’audit qui sont conservées par la stratégie. Les valeurs que vous spécifiez remplacent les entrées existantes. Pour obtenir la liste des valeurs disponibles pour ce paramètre, consultez Activités auditées.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-Priority

Le paramètre Priority spécifie une valeur de priorité pour la stratégie qui détermine l’ordre de traitement de la stratégie. Une valeur entière plus élevée indique une priorité inférieure. La valeur 1 est la priorité la plus élevée, et la valeur 10000 est la priorité la plus basse. Deux stratégies ne peuvent pas avoir la même valeur de priorité.

Ce paramètre est requis lorsque vous modifiez une stratégie de rétention de journal d’audit et que vous devez utiliser une valeur de priorité unique.

Type:	Int32
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RecordTypes

Le paramètre RecordTypes spécifie les journaux d’audit d’un type d’enregistrement spécifique qui sont conservés par la stratégie. Pour plus d’informations sur les valeurs disponibles, consultez AuditLogRecordType.

Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Les valeurs que vous spécifiez remplacent les entrées existantes.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-RetentionDuration

Le paramètre RetentionDuration spécifie la durée de conservation des enregistrements du journal d’audit. Les valeurs valides sont les suivantes :

• Trois mois
• SixMois
• NineMonths
• Douze mois
• TenYears

Ce paramètre est requis lors de la modification d’une stratégie de rétention du journal d’audit.

Type:	UnifiedAuditLogRetentionDuration
Accepted values:	ThreeMonths, SixMonths, NineMonths, TwelveMonths, TenYears
Position:	Named
Default value:	None
Required:	True
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-UserIds

Le paramètre UserIds spécifie les journaux d’audit conservés par la stratégie en fonction de l’ID de l’utilisateur qui a effectué l’action. Les valeurs que vous spécifiez remplacent les entrées existantes.

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance

-WhatIf

Le commutateur WhatIf ne fonctionne pas dans PowerShell conformité de la sécurité & .

Type:	SwitchParameter
Aliases:	wi
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Security & Compliance