Gerir políticas de retenção do registo de auditoria

Nota

Microsoft 365 a conformidade é agora denominada conformidade Microsoft Purview as soluções dentro da área de conformidade foram reestabreadas. Para obter mais informações sobre Microsoft Purview, consulte o anúncio do blogue.

Pode criar e gerir políticas de retenção do registo de auditoria no portal de conformidade da Microsoft Purview. As políticas de retenção do registo de auditoria fazem parte das novas funcionalidades de Auditoria de Premium Microsoft. Uma política de retenção do registo de auditoria permite-lhe especificar quanto tempo demora a reter os registos de auditoria na sua organização. Pode reter registos de auditoria até 10 anos. Pode criar políticas com base nos seguintes critérios:

  • Todas as atividades num ou mais Microsoft 365 serviços
  • Atividades específicas (num serviço Microsoft 365) executadas por todos os utilizadores ou por utilizadores específicos
  • Um nível de prioridade que especifica qual a política que tem precedência na sua organização

Política de retenção predefinida do registo de auditoria

A auditoria (Premium) no Microsoft 365 fornece uma política de retenção do registo de auditoria predefinida para todas as organizações. Esta política mantém todos os registos de Exchange Online, SharePoint Online, OneDrive para Empresas e Azure Active Directory de auditoria durante um ano. Esta política predefinida retém os registos de auditoria que contêm o valor de Exchange, SharePoint, OneDrive, AzureActiveDirectory para a propriedade Workload (que é o serviço em que a atividade ocorreu). A política predefinida não pode ser modificada. Consulte a secção Mais informações neste artigo para obter uma lista dos tipos de registo de cada carga de trabalho incluída na política predefinida.

Nota

A política de retenção predefinida do registo de auditoria só se aplica a registos de auditoria de atividade efetuada por utilizadores a quem foi atribuída uma licença do Office 365 ou do Microsoft 365 E5 ou que tenham uma licença do Microsoft 365 E5 Conformidade ou de Deteção de Dados Online e auditoria. Se tiver utilizadores que não sejam utilizadores E5 ou convidados na sua organização, os respetivos registos de auditoria são mantidos durante 90 dias.

Antes de criar uma política de retenção do registo de auditoria

  • Tem de lhe ser atribuída a função Configuração da Organização no portal de conformidade para criar ou modificar uma política de retenção de auditoria.

  • Pode ter um máximo de 50 políticas de retenção do registo de auditoria na sua organização.

  • Para manter um registo de auditoria durante mais de 90 dias (e até 1 ano), o utilizador que gera o registo de auditoria (através da realização de uma atividade auditada) tem de ter uma licença do Office 365 E5 ou Microsoft 365 E5 ou ter uma licença do add-on Microsoft 365 E5 Conformidade ou E5 ou de Deteção de Dados Pessoais e de Auditoria. Para reter registos de auditoria durante 10 anos, também tem de ser atribuída ao utilizador que gera o registo de auditoria uma licença de retenção do registo de auditoria de 10 anos para além de uma licença E5.

  • Todas as políticas de retenção do registo de auditoria personalizadas (criadas pela sua organização) assumem prioridade sobre a política de retenção predefinida. Por exemplo, se criar uma política de retenção do registo de auditoria para uma atividade de caixa de correio que tenha um período de retenção inferior Exchange um ano, os registos de auditoria das atividades de caixas de correio de Exchange serão mantidos durante a duração mais curta especificada pela política personalizada.

Criar uma política de retenção do registo de auditoria

  1. Vá para https://compliance.microsoft.com e inscreva-se com uma conta de utilizador com a função Configuração da Organização na página Permissões no portal de conformidade.

  2. No painel esquerdo do portal de conformidade, clique em Auditoria.

  3. Clique no separador Audit retention policies (Auditar políticas de retenção ).

  4. Clique em Criar política de retenção de auditoria e, em seguida, preencha os seguintes campos na página de lista de listas:

    Nova página de panfleto da política de retenção de auditoria.

    1. Nome da política: O nome da política de retenção do registo de auditoria. Este nome tem de ser exclusivo na sua organização e não pode ser alterado após a criação da política.

    2. Descrição: Opcional, mas útil para fornecer informações sobre a política, como o tipo de registo ou a carga de trabalho, os utilizadores especificados na política e a duração.

    3. Utilizadores: Selecione um ou mais utilizadores aos qual aplicar a política. Se deixar esta caixa em branco, a política será aplicada a todos os utilizadores. Se deixar o Tipo de registo em branco, tem de selecionar um utilizador.

    4. Tipo de registo: O tipo de registo de auditoria a que a política se aplica. Se deixar esta propriedade em branco, tem de selecionar um utilizador na caixa Utilizadores. Pode selecionar um único tipo de registo ou vários tipos de registo:

      • Se selecionar um único tipo de registo, o campo Atividades é apresentado de forma dinâmica. Pode utilizar a lista de listas de listas para selecionar atividades a partir do tipo de registo selecionado para aplicar a política. Se não escolher atividades específicas, a política será aplicada a todas as atividades do tipo de registo selecionado.
      • Se selecionar vários tipos de registo, não tem a capacidade de selecionar atividades. A política será aplicada a todas as atividades dos tipos de registo selecionados.
    5. Duração: O tempo de reter os registos de auditoria que cumprem os critérios da política.

    6. Prioridade: Este valor determina a ordem pela qual as políticas de retenção do registo de auditoria na sua organização são processadas. Um valor mais baixo indica uma prioridade mais elevada. As prioridades válidas são valores numéricos entre 1 e 10000. Um valor de 1 é a prioridade mais elevada e um valor de 10000 é a prioridade mais baixa. Por exemplo, uma política com um valor de 5 assume prioridade numa política com um valor de 10. Conforme explicado anteriormente, qualquer política de retenção do registo de auditoria personalizada tem prioridade sobre a política predefinida para a sua organização.

  5. Clique em Guardar para criar a nova política de retenção do registo de auditoria.

A nova política é apresentada na lista no separador Políticas de retenção de auditoria.

Gerir políticas de retenção do registo de auditoria no portal de conformidade

As políticas de retenção do registo de auditoria são listadas no separador Políticas de retenção de auditoria (também denominadas dashboards). Pode utilizar o dashboard para ver, editar e eliminar políticas de retenção de auditoria.

Ver políticas no dashboard

As políticas de retenção do registo de auditoria são listadas no dashboard. Uma vantagem de ver políticas no dashboard é que pode clicar na coluna Prioridade para listar as políticas na prioridade em que são aplicadas. Tal como explicado anteriormente, um valor mais baixo indica uma prioridade mais elevada.

Coluna Prioridade no dashboard Políticas de retenção de auditoria.

Também pode selecionar uma política para apresentar as definições na página de panfleto.

Nota

A política de retenção do registo de auditoria predefinida para a sua organização não é apresentada no dashboard.

Editar políticas no dashboard

Para editar uma política, selecione-a para apresentar a página de panfleto. Pode modificar uma ou mais definições e, em seguida, guardar as alterações.

Importante

Se utilizar o cmdlet New-UnifiedAuditLogRetentionPolicy , é possível criar uma política de retenção do registo de auditoria para tipos de registo ou atividades que não estão disponíveis na ferramenta Criar política de retenção de auditoria no dashboard. Neste caso, não poderá editar a política (por exemplo, alterar a duração de retenção ou adicionar e remover atividades) a partir do dashboard Políticas de retenção de auditoria. Só poderá ver e eliminar a política no centro de conformidade. Para editar a política, terá de utilizar o cmdlet Set-UnifiedAuditLogRetentionPolicy em Security & Compliance Center PowerShell.>

Sugestão: É apresentada uma mensagem na parte superior da página de lista de listas para políticas que têm de ser editadas com o PowerShell.

Eliminar políticas no dashboard

Para eliminar uma política, clique no ícone Eliminar Eliminar. e, em seguida, confirme que pretende eliminar a política. A política é removida do dashboard, mas poderá demorar até 30 minutos para a política ser removida da sua organização.

Criar e gerir políticas de retenção de registos de auditoria no PowerShell

Também pode utilizar o PowerShell do & de Conformidade de Segurança para criar e gerir políticas de retenção do registo de auditoria. Uma razão para utilizar o PowerShell é criar uma política para um tipo de registo ou atividade que não está disponível na IU.

Criar uma política de retenção do registo de auditoria no PowerShell

Siga estes passos para criar uma política de retenção do registo de auditoria no PowerShell:

  1. Ligação ao PowerShell & Centro de Conformidade e Segurança.

  2. Execute o seguinte comando para criar uma política de retenção do registo de auditoria:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100
    

    Este exemplo cria uma política de retenção de registo de auditoria denominada "Política Microsoft Teams auditoria" com estas definições:

    • Uma descrição da política.
    • Retém todas Microsoft Teams atividades (conforme definido pelo parâmetro RecordType).
    • Mantém os Microsoft Teams de auditoria por 10 anos.
    • Uma prioridade de 100.

Eis outro exemplo da criação de uma política de retenção do registo de auditoria. Esta política retém os registos de auditoria da atividade "Utilizador com sessão sessão" de seis meses para o utilizador admin@contoso.onmicrosoft.com.

New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Para obter mais informações, consulte New-UnifiedAuditLogRetentionPolicy.

Ver políticas no PowerShell

Utilize o cmdlet Get-UnifiedAuditLogRetentionPolicy no PowerShell do Centro de Conformidade & segurança para ver as políticas de retenção do registo de auditoria.

Eis um comando de exemplo para apresentar as definições de todas as políticas de retenção do registo de auditoria na sua organização. Este comando ordena as políticas da prioridade mais elevada para a mais baixa.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Nota

O cmdlet Get-UnifiedAuditLogRetentionPolicy não devolve a política de retenção predefinida do registo de auditoria para a sua organização.

Editar políticas no PowerShell

Utilize o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell do Centro de Conformidade & segurança para editar uma política de retenção de registo de auditoria existente.

Eliminar políticas no PowerShell

Utilize o cmdlet Remove-UnifiedAuditLogRetentionPolicy no PowerShell do Centro de Conformidade & segurança para eliminar uma política de retenção do registo de auditoria. Poderá demorar até 30 minutos para que a política seja removida da sua organização.

Mais informações

Conforme descrito anteriormente, os registos de auditoria para operações no Azure Active Directory, Exchange Online, SharePoint Online e OneDrive para Empresas, são mantidos durante um ano por predefinição. A seguinte tabela lista todos os tipos de registo (para cada um destes serviços) incluídos na política de retenção predefinida do registo de auditoria. Isto significa que os registos de auditoria para qualquer operação com este tipo de registo são mantidos durante um ano, a menos que uma política de retenção do registo de auditoria personalizada tenha precedência para um tipo, operação ou utilizador de registo específico. O valor Enum (que é apresentado como o valor da propriedade RecordType num registo de auditoria) para cada tipo de registo é apresentado entre parênteses.



AzureActiveDirectory Exchange SharePoint ou OneDrive
AzureActiveDirectory (8) ExchangeAdmin (1) ComplianceDLPSharePoint (11)
AzureActiveDirectoryAccountLogon (9) ExchangeItem (2) ComplianceDLPSharePointClassification (33)
AzureActiveDirectoryStsLogon (15) Campanha (62) Project (35)
ComplianceDLPExchange (13) SharePoint (4)
ComplianceSupervisionExchange (68) SharePointCommentOperation (37)
CustomerKeyServiceEncryption (69) SharePointContentTypeOperation (55)
ExchangeAggregatedOperation (19) SharePointFieldOperation (56)
ExchangeItemAggregated (50) SharePointFileOperation (6)
ExchangeItemGroup (3) SharePointListOperation (36)
InformationBarrierPolicyApplication (53) SharePointSharingOperation (14)