Gestire i criteri di conservazione dei log di controlloManage audit log retention policies

È possibile creare e gestire i criteri di conservazione dei log di controllo nel Centro sicurezza e conformità.You can create and manage audit log retention policies in the Security & Compliance Center. I criteri di conservazione dei log di controllo fanno parte delle nuove funzionalità di Audit avanzato di Microsoft 365.Audit log retention policies are part of the new Advanced Audit capabilities in Microsoft 365. Un criterio di conservazione dei log di controllo consente di specificare quanto a lungo conservare i log di controllo nell'organizzazione.An audit log retention policy lets you specify how long to retain audit logs in your organization. È possibile conservare i log di controllo per un massimo di un anno.You can retain audit logs for up to one year. È possibile creare criteri in base ai criteri seguenti:You can create policies based on the following criteria:

  • Tutte le attività in uno o più servizi di Microsoft 365All activities in one or more Microsoft 365 services

  • Attività specifiche (in un servizio specifico) eseguite da tutti gli utenti o da utenti specificiSpecific activities (in a specific service) performed by all users or by specific users

  • Un livello di priorità che specifica quale criterio ha la precedenza se sono presenti più criteri nell'organizzazioneA priority level that specifies which policy takes precedence in you have multiple policies in your organization

Criterio di conservazione dei log di controllo predefinitoDefault audit log retention policy

Audit avanzato in Microsoft 365 include un criterio di conservazione dei log di controllo predefinito per tutte le organizzazioni.Advanced Audit in Microsoft 365 provides a default audit log retention policy for all organizations. Questo criterio conserva tutti i record di controllo di Exchange, SharePoint e Azure Active Directory per un anno.This policy retains all Exchange, SharePoint, and Azure Active Directory audit records for one year. Questo criterio predefinito conserva i record di controllo che contengono il valore AzureActiveDirectory, Exchange o SharePoint per la proprietà Workload, ossia il servizio in cui si è verificata l'attività.This default policy retains audit records that contain the value of AzureActiveDirectory, Exchange, or SharePoint for the Workload property (which is the service in which the activity occurred). Il criterio predefinito non può essere modificato.The default policy can't be modified. Per un elenco dei tipi di record per ogni carico di lavoro inclusi nel criterio predefinito, vedere la sezione Altre informazioni in questo articolo.See the More information section in this article for a list of record types for each workload that are included in the default policy.

Nota

Il criterio di conservazione dei log di controllo predefinito si applica solo ai record di controllo per le attività eseguite dagli utenti a cui è assegnata una licenza di Office 365 o Microsoft 365 E5 o che hanno una licenza per il componente aggiuntivo Microsoft 365 E5 Compliance.The default audit log retention policy only applies to audit records for activity performed by users who are assigned an Office 365 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance add-on license. Se nell'organizzazione sono presenti utenti non di E5, i record di controllo corrispondenti vengono conservati per 90 giorni.If you have non-E5 users in your organization, their corresponding audit records are retained for 90 days.

Prima di creare un criterio di conservazione dei log di controlloBefore you create an audit log retention policy

  • Per creare o modificare i criteri di conservazione dei log di controllo, è necessario avere il ruolo Configurazione organizzazione nel Centro sicurezza e conformità.You have to be assigned the Organization Configuration role in the Security & Compliance Center to create or modify an audit retention policy.

  • Un'organizzazione può avere un massimo di 50 criteri di conservazione dei log di controllo.You can have a maximum of 50 audit log retention policies in your organization.

  • Per conservare un log di controllo di per più di 90 giorni, l'utente che ha generato il log di controllo deve avere una licenza di Office 365 E5 o Microsoft 365 E5 o una licenza per il componente aggiuntivo Audit Microsoft 365 E5 Compliance o E5 eDiscovery.To retain an audit log for longer than 90 days, the user who generated the audit log must be assigned an Office 365 E5 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license.

  • Tutti i criteri di conservazione dei log di controllo personalizzati (creati dall'organizzazione) hanno priorità rispetto al criterio di conservazione predefinito.All custom audit log retention policies (created by your organization) take priority over the default retention policy. Se ad esempio si crea un criterio di conservazione dei log di controllo per l'attività delle cassette postali di Exchange con un periodo di conservazione più breve di un anno, i record di controllo delle attività delle cassette postali di Exchange verranno conservati per la durata più breve specificata dal criterio personalizzato.For example, if you create an audit log retention policy for Exchange mailbox activity that has a retention period that's shorter than one year, audit records for Exchange mailbox activities will be retained for the shorter duration specified by the custom policy.

Creare un criterio di conservazione dei log di controllo nel centro conformitàCreate an audit log retention policy in the compliance center

  1. Passare a https://protection.office.com e accedere con un account utente a cui è stato assegnato il ruolo Configurazione organizzazione nel Centro sicurezza e conformità.Go to https://protection.office.com and sign in with user account that's assigned the Organization Configuration role in the Security & Compliance Center.

  2. Nel riquadro sinistro del Centro sicurezza e conformità fare clic su Cerca > Ricerca log di controllo.In the left pane of the Security & Compliance Center, click Search > Audit log search.

    Viene visualizzata la pagina Ricerca log di controllo.The Audit log search page is displayed.

    Pagina Ricerca log di controllo

  3. Fare clic su Nuovo criterio di conservazione dei log di controllo e poi completare i campi seguenti nel riquadro a comparsa:Click New audit retention policy, and then complete the following fields on the flyout page:

    Riquadro a comparsa del criterio di conservazione dei log di controllo

    a.a. Nome: il nome del criterio di conservazione dei log di controllo.Name: The name of the audit log retention policy. Il nome deve essere univoco nell'organizzazione.This name must be unique in your organization.

    b.b. Descrizione: facoltativo, ma è utile per fornire informazioni sul criterio, ad esempio il tipo di record o carico di lavoro, gli utenti specificati nel criterio e la durata.Description: Optional, but helpful to provide information about the policy, such as the record type or workload, users specified in the policy, and the duration.

    c.c. Tipi di record: il tipo di record di controllo a cui si applica il criterio.Record types: The audit record type the policy applies to. Se si selezionano più tipi di record non è possibile selezionare le attività, perché il criterio verrà applicato a tutte le attività per i tipi di record selezionati.If you select more than one record type, you can't select activities because the policy will apply to all activities for the selected record types. Inoltre, se si lascia vuota questa proprietà, è necessario selezionare un utente nella casella Utenti.Also, if you leave this property blank, you must select a user in the Users box.

    d.d. Attività: usare questa casella per scegliere le attività dal tipo di record selezionato.Activities: Use this box to choose activities from the record type that you selected. È possibile scegliere attività specifiche a cui applicare il criterio.You can choose specific activities to apply the policy to. Se non si scelgono attività specifiche, il criterio verrà applicato a tutte le attività del tipo di record selezionato.If you don't choose specific activities, then the policy will apply to all activities of the selected record type.

    e.e. Utenti: selezionare uno o più utenti ai quali applicare il criterio.Users: Select one or more users to apply the policy to. Se si lascia la casella vuota, il criterio verrà applicato a tutti gli utenti.If you leave this box blank, then the policy will apply to all users. Se si lascia vuoto il campo Tipi di record, è necessario selezionare un utente.If you leave the Record types blank, then you must select a user.

    f.f. Durata: la quantità di tempo per cui conservare i log di controllo che soddisfano i criteri del criterio.Duration: The amount of time to retain the audit logs that meet the criteria of the policy.

    g.g. Priorità: questo valore determina l'ordine con cui vengono elaborati i criteri di conservazione dei log di controllo nell'organizzazione.Priority: This value determines the order in which audit log retention policies in your organization are processed. Un valore più alto indica una priorità più elevata.A higher value indicates a higher priority. Ad esempio, un criterio con un valore di priorità 5 avrà la priorità su un criterio con un valore di priorità 0.For example, a policy with a priority value of 5 would take priority over a policy with a priority value of 0. Come descritto in precedenza, i criteri di conservazione dei log di controllo personalizzati hanno la precedenza sul criterio predefinito per l'organizzazione.As previously explained, any custom audit log retention policy takes priority over the default policy for your organization.

  4. Fare clic su Salva per creare il nuovo criterio di conservazione dei log di controllo.Click Save to create the new audit log retention policy.

Al momento non esiste alcuna indicazione che il criterio di conservazione sia stato creato correttamente.At this time, there's no indication that the retention policy was successfully created. Vedere la sezione successiva sulla visualizzazione delle proprietà dei criteri di conservazione dei log di controllo.See the next section on viewing the properties of the audit log retention policies.

Creare un criterio di conservazione dei log di controllo in PowerShellCreate an audit log retention policy in PowerShell

Per creare criteri di conservazione dei log di controllo si può anche usare PowerShell per Centro sicurezza e conformità.You can also use Security & Compliance Center PowerShell to create audit log retention policies.

  1. Connettersi a PowerShell in Centro sicurezza e conformità.Connect to Security & Compliance Center PowerShell.

  2. Eseguire il comando seguente per creare un criterio di conservazione dei log di controllo.Run the following command to create an audit log retention policy.

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TwelveMonths -Priority 100
    

    In questo esempio viene creato un criterio di conservazione dei log di controllo denominato "Microsoft Teams Audit Policy" con queste impostazioni:This example creates an audit log retention policy named "Microsoft Teams Audit Policy" with these settings:

    • Una descrizione del criterio.A description of the policy.

    • Conserva tutte le attività di Microsoft Teams (come definito dal parametro RecordType).Retains all Microsoft Teams activities (as defined by the RecordType parameter).

    • Conserva i log di controllo di Microsoft Teams per un anno.Retains Microsoft Teams audit logs for one year.

    • Una priorità di 100.A priority of 100.

Ecco un altro esempio relativo alla creazione di un criterio di conservazione dei log di controllo.Here's another example of creating an audit log retention policy. Questo criterio conserva i log di controllo per l'attività "L'utente ha effettuato l'accesso" per sei mesi per l'utente admin@contoso.onmicrosoft.com.This policy retains audit logs for the "User logged in" activity for six months for the user admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Per altre informazioni, vedere New-UnifiedAuditLogRetentionPolicy.For more information, see New-UnifiedAuditLogRetentionPolicy.

Visualizzare i criteri di conservazione dei log di controlloView audit log retention policies

Al momento, l'unico modo per visualizzare i criteri di conservazione dei log di controllo personalizzati consiste nell'usare il cmdlet Get-UnifiedAuditRetentionPolicy in PowerShell per Centro sicurezza e conformità.At this time, the only way to view custom audit log retention policies is to use the Get-UnifiedAuditRetentionPolicy cmdlet in Security & Compliance Center PowerShell. Ecco un comando di esempio che consente di visualizzare le impostazioni (configurate nel passaggio precedente) per i criteri di conservazione dei log di controllo nell'organizzazione.Here's a sample command to display the settings (that you configured in the previous step) for the audit log retention policies in your organization. Questo comando ordina i criteri dalla priorità più alta a quella più bassa.This command sorts the policies from the highest to lowest priority.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Nota

Al momento, il cmdlet Get-UnifiedAuditLogRetentionPolicy non restituisce il criterio dei log di controllo predefinito per l'organizzazione.At this time, the Get-UnifiedAuditLogRetentionPolicy cmdlet doesn't return the default audit log policy for your organization.

Per altre informazioni, vedere Get-UnifiedAuditLogRetentionPolicy.For more information, see Get-UnifiedAuditLogRetentionPolicy.

Altre informazioniMore information

  • Usare il cmdlet set-UnifiedAuditLogRetentionPolicy in PowerShell per Centro sicurezza e conformità per modificare un criterio di conservazione dei log di controllo esistente.Use the Set-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to modify an existing audit log retention policy. Per altre informazioni, vedere Set-UnifiedAuditLogRetentionPolicy.For more information, see Set-UnifiedAuditLogRetentionPolicy.

  • Usare il cmdlet Remove-UnifiedAuditLogRetentionPolicy in PowerShell per Centro sicurezza e conformità per eliminare un criterio di conservazione dei log di controllo.Use the Remove-UnifiedAuditLogRetentionPolicy cmdlet in Security & Compliance Center PowerShell to delete an audit log retention policy. La rimozione di un criterio può richiedere fino a 30 minuti.It might take up to 30 minutes for the policy to be removed. Per altre informazioni, vedere Remove-UnifiedAuditLogRetentionPolicy.For more information, see Remove-UnifiedAuditLogRetentionPolicy.

  • Come illustrato in precedenza, i record di controllo per le operazioni in Azure Active Directory, Exchange e SharePoint vengono conservati per un anno.As previously stated, audit records for operations in Azure Active Directory, Exchange, and SharePoint are retained for one year. Nella tabelle seguenti sono elencati tutti i tipi di record, per ognuno di questi servizi, inclusi nel criterio di conservazione dei log di controllo predefinito.The following table lists all the record types (for each of these services) included in the default audit log retention policy. Ciò significa che i log di controllo per qualsiasi operazione con questo tipo di record vengono conservati per un anno, a meno che non abbia la precedenza un criterio di conservazione dei log di controllo personalizzato per un tipo di record, un'operazione o un utente specifico.This means that audit logs for any operation with this record type are retained for one year unless a custom audit log retention policy takes precedence for a specific record type, operation, or user. Il valore Enum per ogni tipo di record, che viene visualizzato come valore per la proprietà RecordType in un record di controllo, compare tra parentesi.The Enum value (which is displayed as the value for the RecordType property in an audit record) for each record type is shown in parentheses.

    AzureActiveDirectoryAzureActiveDirectory ExchangeExchange SharePointSharePoint
    AzureActiveDirectory (8)AzureActiveDirectory (8) ExchangeAdmin (1)ExchangeAdmin (1) ComplianceDLPSharePoint (11)ComplianceDLPSharePoint (11)
    AzureActiveDirectoryAccountLogon (9)AzureActiveDirectoryAccountLogon (9) ExchangeItem (2)ExchangeItem (2) ComplianceDLPSharePointClassification (33)ComplianceDLPSharePointClassification (33)
    AzureActiveDirectoryStsLogon (15)AzureActiveDirectoryStsLogon (15) Campaign (62)Campaign (62) Project (35)Project (35)
    ComplianceDLPExchange (13)ComplianceDLPExchange (13) SharePoint (4)SharePoint (4)
    ComplianceSupervisionExchange (68)ComplianceSupervisionExchange (68) SharePointCommentOperation (37)SharePointCommentOperation (37)
    CustomerKeyServiceEncryption (69)CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)SharePointContentTypeOperation (55)
    ExchangeAggregatedOperation (19)ExchangeAggregatedOperation (19) SharePointFieldOperation (56)SharePointFieldOperation (56)
    ExchangeItemAggregated (50)ExchangeItemAggregated (50) SharePointFileOperation (6)SharePointFileOperation (6)
    ExchangeItemGroup (3)ExchangeItemGroup (3) SharePointListOperation (36)SharePointListOperation (36)
    InformationBarrierPolicyApplication (53)InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)SharePointSharingOperation (14)