Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Pode criar e gerir políticas de retenção de registos de auditoria no portal do Microsoft Purview. As políticas de retenção de log de auditoria fazem parte dos novos recursos de Auditoria do Microsoft Purview (Premium). Uma política de retenção de log de auditoria permite especificar por quanto tempo reter os logs de auditoria em sua organização. Você pode manter os logs de auditoria por até dez anos. Você pode criar políticas com base nos critérios a seguir:
- Todas as atividades num ou mais serviços Microsoft
- Atividades específicas num serviço Microsoft realizadas por todos os utilizadores ou por utilizadores específicos
- Um nível de prioridade que especifica que política tem precedência se tiver várias políticas na sua organização
Política de retenção de registo de auditoria predefinida em Auditoria (Premium)
A auditoria (Premium) no Microsoft Purview fornece uma política de retenção de registo de auditoria predefinida para todas as organizações. Não pode modificar esta política. Mantém todos os registos de auditoria Exchange Online, SharePoint, OneDrive e Microsoft Entra durante um ano. Esta política predefinida retém registos de auditoria que contêm o valor de AzureActiveDirectory, Exchange, OneDrive e SharePoint para a propriedade Carga de Trabalho (que é o serviço em que a atividade ocorreu). Por predefinição, os registos de auditoria de todas as outras atividades são retidos durante 180 dias ou pode alterar a retenção para uma duração diferente através de uma política de retenção personalizada.
Observação
A política de retenção de registos de auditoria predefinida aplica-se apenas aos registos de auditoria da atividade realizada pelos utilizadores a quem é atribuída uma licença de Office 365 ou Microsoft 365 E5 ou que têm uma Suíte do Microsoft Purview (anteriormente conhecida como Microsoft 365 E5 Compliance) ou E5 e Licença do suplemento Auditoria e Deteção de Dados Eletrónicos. Se tiver utilizadores não E5 ou utilizadores convidados na sua organização, os registos de auditoria correspondentes serão retidos durante 180 dias.
Importante
O período de retenção predefinido para Auditoria (Standard) foi alterado de 90 dias para 180 dias. Os registos de auditoria (Standard) gerados antes de 17 de outubro de 2023 são retidos durante 90 dias. Os registos de auditoria (Standard) gerados em ou depois de 17 de outubro de 2023 seguem a nova retenção predefinida de 180 dias.
Antes de você criar uma política de retenção de log de auditoria
Precisa da função Configuração da Organização no portal do Microsoft Purview para criar ou modificar uma política de retenção de auditoria.
A sua organização pode ter até 50 políticas de retenção de registos de auditoria.
Para manter um registo de auditoria durante mais de 180 dias (e até 1 ano), o utilizador que gera o registo de auditoria (ao realizar uma atividade auditada) tem de ter uma licença de Office 365 E5 ou Microsoft 365 E5 ou um Suíte do Microsoft Purview (anteriormente conhecido como Microsoft 365 E5 Compliance) ou Deteção de Dados Eletrónicos E5 e Licença de suplemento auditoria. Para manter os registos de auditoria durante 10 anos, o utilizador que gera o registo de auditoria também tem de ter uma licença de suplemento de retenção de registo de auditoria de 10 anos, além de uma licença E5.
Observação
Se o utilizador que está a gerar o registo de auditoria não cumprir estes requisitos de licenciamento, os dados são mantidos de acordo com a política de retenção de prioridade mais alta. Esta retenção pode ser a política de retenção predefinida para a licença do utilizador ou a política de prioridade mais alta que corresponde ao utilizador e ao respetivo tipo de registo.
Todas as políticas de retenção de log de auditoria personalizadas (criadas por sua organização) têm prioridade sobre a política de retenção padrão. Por exemplo, se criar uma política de retenção de registos de auditoria para a atividade da caixa de correio do Exchange que tenha um período de retenção inferior a um ano, os registos de auditoria das atividades da caixa de correio do Exchange serão mantidos durante a duração mais curta especificada pela política personalizada.
A duração do item de auditoria dos dados é determinada ao adicioná-la ao pipeline de auditoria e baseia-se nas predefinições de licenciamento ou nas políticas de retenção aplicáveis. Quaisquer alterações às políticas de licenciamento ou retenção aplicáveis alteram o tempo de expiração dos dados de auditoria após a atualização. Estas alterações não atualizam itens consolidados anteriormente.
Criar uma política de retenção de log de auditoria
Conclua os seguintes passos para criar uma política de retenção de auditoria:
Inicie sessão no portal do Microsoft Purview com uma conta de utilizador atribuída à função Configuração da Organização na página Funções & âmbitos no portal do Microsoft Purview.
Selecione a solução auditoria card. Se a solução auditoria card não for apresentada, selecione Ver todas as soluções e, em seguida, selecione Auditoria na secção Núcleo.
Selecione Criar política de retenção de auditoria e, em seguida, preencha os seguintes campos na página de lista de opções:
Nome da política: o nome da política de retenção do registo de auditoria. Este nome tem de ser exclusivo na sua organização e não pode alterá-lo depois de criar a política.
Descrição: opcional, mas útil para fornecer informações sobre a política, como o tipo de registo ou carga de trabalho, os utilizadores especificados na política e a duração.
Usuários: selecione um ou mais usuários aos quais aplicar a política. Se deixar esta caixa em branco, a política aplica-se a todos os utilizadores.
Tipo de registo: o tipo de registo de auditoria a que a política se aplica. Se deixar esta propriedade em branco, a política aplica-se a todos os tipos de registo. Você pode selecionar um único tipo de registro ou vários tipos de registro:
Se você selecionar um único tipo de registro, o campo Atividades será exibido dinamicamente. Utilize a lista pendente para selecionar atividades do tipo de registo selecionado a que pretende aplicar a política. Se não escolher atividades específicas, a política aplica-se a todas as atividades do tipo de registo selecionado.
- Se você selecionar vários tipos de registro, não será possível selecionar atividades. A política aplica-se a todas as atividades dos tipos de registo selecionados.
- Duração: O tempo necessário para manter os logs de auditoria que atendam aos critérios da política. As opções disponíveis são 7 Dias, 30 Dias, 6 Meses, 9 Meses, 1 Ano, 3 Anos, 5 Anos e 7 Anos. Os utilizadores com a licença de suplemento Retenção do Registo de Auditoria de 10 anos podem selecionar uma opção de 10 Anos .
Importante
Para manter os registos de auditoria para as opções de duração de 7 e 30 dias, tem de ter uma subscrição do Microsoft 365 Enterprise E5. Para manter os registos de auditoria para as opções de duração de 3, 5 e 7 anos, tem de ser atribuído a uma licença de retenção de registo de auditoria de 10 anos, além da subscrição do Microsoft 365 Enterprise E5. Para obter mais informações sobre Subscrições de auditoria e suplementos, veja Soluções de auditoria no Microsoft Purview
- Prioridade: este valor determina a ordem pela qual as políticas de retenção de registos de auditoria na sua organização são processadas. Um valor mais baixo indica uma prioridade mais alta. As prioridades válidas são valores numéricos entre 1 e 10.000. Um valor de 1 é a prioridade mais alta e um valor de 10000 é a prioridade mais baixa. Por exemplo, uma política com valor 5 tem prioridade sobre uma política com valor 10. Qualquer política de retenção de registo de auditoria personalizada tem prioridade sobre a política predefinida para a sua organização.
Clique em Salvar para criar a nova política de retenção.
A nova política é apresentada na lista na página Políticas .
Gerir políticas de retenção de registos de auditoria no portal do Microsoft Purview
O separador Políticas de retenção de auditoria (também denominado dashboard) lista as políticas de retenção de registos de auditoria. Você pode usar o painel para exibir, editar e excluir políticas de retenção de auditoria.
Exibir políticas no painel
O dashboard lista as políticas de retenção de registos de auditoria. Uma vantagem de ver políticas no dashboard é que pode selecionar a coluna Prioridade para listar as políticas pela ordem de prioridade na qual são aplicadas. Conforme explicado anteriormente, um valor mais baixo indica uma prioridade mais alta.
Você também pode selecionar uma política para exibir suas configurações na página de submenu.
Observação
O dashboard não apresenta a política de retenção de registos de auditoria predefinida para a sua organização.
Editar políticas no painel
Para editar uma política, selecione-a para exibir a página de submenu. Pode modificar uma ou mais definições e, em seguida, guardar as alterações.
Importante
Se utilizar o cmdlet New-UnifiedAuditLogRetentionPolicy, poderá criar uma política de retenção de registo de auditoria para tipos de registos ou atividades que não estão disponíveis na ferramenta Criar política de retenção de auditoria no dashboard. Neste caso, não pode editar a política (por exemplo, alterar a duração da retenção ou adicionar e remover atividades) das políticas de retenção de Auditoria dashboard. Só pode ver e eliminar a política no portal do Microsoft Purview. Para editar a política, tem de utilizar o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell de Conformidade do & de Segurança.
Dica
É apresentada uma mensagem na parte superior da página de lista de opções para as políticas que precisa de editar com o PowerShell.
Excluir políticas no painel
Para eliminar uma política, selecione o ícone Eliminar e, em seguida, confirme que pretende eliminar a política. A política é removida do painel, mas pode demorar até 30 minutos para que a política seja removida de sua organização.
Criar e gerenciar políticas de retenção de log de auditoria no Windows PowerShell
Você também pode usar o PowerShell de Segurança e Conformidade para criar e gerenciar políticas de retenção de log de auditoria. Um motivo para usar o Windows PowerShell é criar uma política para um tipo de registro ou atividade que não está disponível na interface do usuário.
Criar uma política de retenção de log de auditoria no Windows PowerShell
Siga estas etapas para criar uma política de retenção de log de auditoria no Windows PowerShell:
Execute o seguinte comando para criar uma política de retenção de log de auditoria:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100Este exemplo cria uma política de retenção de log de auditoria chamada “Política de Auditoria do Microsoft Teams” com as seguintes configurações:
- Uma descrição da política.
- Retém todas as atividades do Microsoft Teams (conforme definido pelo parâmetro RecordType).
- Retém os logs de auditoria do Microsoft Teams por dez anos.
- Prioridade de 100.
Veja outro exemplo de como criar uma política de retenção de log de auditoria. Esta política retém os registos de auditoria da atividade "Utilizador com sessão iniciada" durante seis meses para o utilizador admin@contoso.onmicrosoft.com.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Para saber mais, confira New-UnifiedAuditLogRetentionPolicy.
Exibir políticas no Windows PowerShell
Use o cmdlet Get-UnifiedAuditLogRetentionPolicy no Centro de Conformidade e Segurança do Windows PowerShell para exibir as políticas de retenção de log de auditoria.
O comando seguinte apresenta as definições de todas as políticas de retenção de registos de auditoria na sua organização. Este comando classifica as políticas da prioridade mais alta para a mais baixa.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Observação
O cmdlet Get-UnifiedAuditLogRetentionPolicy não retorna a política de retenção de log de auditoria padrão para sua organização.
Editar políticas no Windows PowerShell
Use o cmdlet Set-UnifiedAuditLogRetentionPolicy no PowerShell de Segurança e Conformidade para editar uma política de retenção de log de auditoria existente.
Excluir políticas no Windows PowerShell
Use o cmdlet Remove-UnifiedAuditLogRetentionPolicy no PowerShell de Segurança e Conformidade para excluir uma política de retenção de log de auditoria. Pode levar até 30 minutos para que a política seja removida de sua organização.