Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle

  • 9 Minuten

Organisationen können Aufbewahrungsrichtlinien für Überwachungsprotokolle im Microsoft Purview Complianceportal erstellen und verwalten. Aufbewahrungsrichtlinien für Überwachungsprotokolle sind Bestandteil der Microsoft Purview Audit (Premium)-Lösung. Mit einer Aufbewahrungsrichtlinie für Überwachungsprotokolle kann eine Organisation angeben, wie lange Überwachungsprotokolle aufbewahrt werden sollen. Überwachungsprotokolle können bis zu 10 Jahre lang aufbewahrt werden. Aufbewahrungsrichtlinien können basierend auf den folgenden Kriterien erstellt werden:

  • Alle Aktivitäten in einem oder mehreren Microsoft 365-Diensten.
  • Bestimmte Aktivitäten (in einem Microsoft 365-Dienst), die von allen Benutzern oder von bestimmten Benutzern ausgeführt werden.
  • Eine Prioritätsstufe, die angibt, welche Richtlinie Vorrang hat, wenn mehrere Richtlinien in einer Organisation vorhanden sind.

Standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle

Microsoft Purview Audit (Premium) bietet eine standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für alle Organisationen. Diese Richtlinie behält alle Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Entra Überwachungsdatensätze ein Jahr lang bei. Die Standardrichtlinie bewahrt Überwachungsdatensätze auf, die den Wert Exchange, SharePoint, OneDrive oder AzureActiveDirectory für die Eigenschaft Workload (der Dienst, in dem die Aktivität aufgetreten ist) enthalten.

Hinweis

Die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle kann nicht geändert werden.

Die Standardaufbewahrungsrichtlinie für Überwachungsprotokolle gilt nur für Überwachungsdatensätze für Aktivitäten, die von Benutzern ausgeführt werden, denen eine der folgenden Optionen zugewiesen ist:

  • eine Office 365- oder Microsoft 365 E5-Lizenz
  • eine Microsoft 365 E5 Compliance- oder E5 eDiscovery- und Audit-Add-On-Lizenz

Wenn eine Organisation Nicht-E5-Benutzer oder Gastbenutzer hat, werden die entsprechenden Überwachungsdatensätze 90 Tage lang aufbewahrt.

Vor dem Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle

Organisationen müssen die folgenden Anforderungen erfüllen, bevor sie eine Aufbewahrungsrichtlinie für Überwachungsprotokolle erstellen können:

  • Den Personen in einer Organisation, die für das Erstellen und Ändern von Aufbewahrungsrichtlinien für Überwachungsprotokolle verantwortlich sind, muss die Rolle Organisationskonfiguration im Microsoft Purview-Complianceportal zugewiesen werden.
  • In einer Organisation kann es maximal 50 Aufbewahrungsrichtlinien für Überwachungsprotokolle geben.
  • Um ein Überwachungsprotokoll länger als 90 Tage (und bis zu einem Jahr) aufzubewahren, muss dem Benutzer, der das Überwachungsprotokoll erstellt (durch Ausführen einer geprüften Aktivität), eine Office 365 E5- oder Microsoft 365 E5-Lizenz zugewiesen werden oder er muss über eine Microsoft 365 E5 Compliance- oder E5 eDiscovery und Audit-Add-On-Lizenz verfügen.
  • Um Überwachungsprotokolle 10 Jahre lang aufzubewahren, muss dem Benutzer, der das Überwachungsprotokoll erstellt, zusätzlich zu einer E5-Lizenz eine 10-Jahres-Zusatzlizenz zur Aufbewahrung von Überwachungsprotokollen zugewiesen werden.
  • Alle benutzerdefinierten, von einer Organisation erstellten Aufbewahrungsrichtlinien für Überwachungsprotokolle, haben Vorrang vor der Standardaufbewahrungsrichtlinie. Angenommen, Sie erstellen eine Aufbewahrungsrichtlinie für Überwachungsprotokolle für Exchange-Postfachaktivitäten mit einem Aufbewahrungszeitraum, der kürzer als ein Jahr ist. In diesem Szenario werden die Überwachungsdatensätze für Exchange-Postfachaktivitäten für die in der benutzerdefinierten Richtlinie angegebene kürzere Dauer beibehalten.

Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle

Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle zu erstellen:

  1. Melden Sie sich beim Microsoft Purview-Complianceportal mit einem Benutzerkonto an, dem die Rolle Organisationskonfiguration zugewiesen ist.

  2. Wählen Sie im Microsoft Purview-Complianceportal im Navigationsbereich die Option Überwachung aus.

  3. Wählen Sie auf der Seite Überwachung die Registerkarte Aufbewahrungsrichtlinien für die Überwachung aus.

  4. Wählen Sie auf der Registerkarte Aufbewahrungsrichtlinien für die Überwachung die Option Aufbewahrungsrichtlinie für die Überwachung erstellen aus, und füllen Sie dann die folgenden Felder im angezeigten Fenster Neue Aufbewahrungsrichtlinie für die Überwachung aus:

    Screenshot des Fensters

    1. Name der Richtlinie. Der Name der Aufbewahrungsrichtlinie für Überwachungsprotokolle. Dieser Name muss in der Organisation eindeutig sein. Er lässt sich nach dem Erstellen der Richtlinie nicht mehr ändern.
    2. Beschreibung. Die Beschreibung der Richtlinie. Obwohl dieses Feld optional ist, ist es hilfreich, Informationen zur Richtlinie bereitzustellen. Zum Beispiel den Datensatztyp oder den Workload, die in der Richtlinie angegebenen Benutzer und die Dauer.
    3. Benutzer. Wählen Sie mindestens einen Benutzer aus, auf den die Richtlinie angewendet wird. Die Richtlinie gilt für alle Benutzer, wenn Sie dieses Feld leer lassen. Wenn Sie die Datensatzart leer lassen, müssen Sie einen Benutzer auswählen.
    4. Datensatztyp. Der Überwachungsdatensatztyp, auf den die Richtlinie angewendet wird. Wenn Sie diese Eigenschaft leer lassen, müssen Sie im Feld Benutzer einen Benutzer auswählen. Sie können einen einzelnen oder mehrere Datensatztypen auswählen:
      • Einzelner Datensatztyp. Wenn Sie einen einzelnen Datensatztyp auswählen, wird das Feld Aktivitäten dynamisch angezeigt. Mithilfe der Drop-down-Liste können Sie Aktivitäten des ausgewählten Datensatztyps auswählen, auf die die Richtlinie angewendet werden soll. Wenn Sie keine bestimmten Aktivitäten auswählen, gilt die Richtlinie für alle Aktivitäten des ausgewählten Datensatztyps.
      • Mehrere Datensatztypen. Wenn Sie mehrere Datensatztypen auswählen, können Sie keine Aktivitäten auswählen. Die Richtlinie wird auf alle Aktivitäten des ausgewählten Datensatztyps angewendet.
    5. Dauer. Die Zeitdauer, wie lange die Überwachungsprotokolle aufbewahrt werden, die den Kriterien der Richtlinie entsprechen.
    6. Priorität. Dieser Wert bestimmt die Reihenfolge, in der Aufbewahrungsrichtlinien für Überwachungsprotokolle in der Organisation angewandt werden. Ein niedrigerer Wert gibt eine höhere Priorität an. Gültige Prioritäten sind numerische Werte zwischen 1 und 10,000. Ein Wert von 1 ist die höchste Priorität, und der Wert 10,000 ist die niedrigste Priorität. Beispielsweise hat eine Richtlinie mit dem Wert 5 Vorrang vor einer Richtlinie mit dem Wert 10. Wie zuvor erläutert, hat jede benutzerdefinierte Aufbewahrungsrichtlinie für Überwachungsprotokolle Vorrang vor der Standardrichtlinie Ihrer Organisation.

  5. Wählen Sie Speichern aus, um die neue Aufbewahrungsrichtlinie für Überwachungsprotokolle zu erstellen.

Die neue Richtlinie wird in der Liste auf der Registerkarte Aufbewahrungsrichtlinien für die Überwachung angezeigt.

Verwalten Sie Aufbewahrungsrichtlinien für Überwachungsprotokolle im Microsoft Purview Complianceportal.

Aufbewahrungsrichtlinien für Überwachungsprotokolle werden auf der Registerkarte Aufbewahrungsrichtlinien für die Überwachung (auch als Dashboard bezeichnet) angezeigt. Über das Dashboard können Sie Aufbewahrungsrichtlinien anzeigen, bearbeiten und löschen.

Anzeigen von Richtlinien im Dashboard

Aufbewahrungsrichtlinien für Überwachungsprotokolle werden im Dashboard aufgelistet. Ein Vorteil des Anzeigens von Richtlinien im Dashboard besteht darin, dass Sie die Spalte Priorität auswählen können, damit die Richtlinien nach der Priorität aufgelistet werden, mit der sie angewendet werden. Wie zuvor erläutert, steht ein tieferer Wert für eine höhere Priorität.

Screenshot der Registerkarte

Sie können auch eine Richtlinie auswählen, um deren Einstellungen im angezeigten Richtliniendetailbereich anzuzeigen.

Hinweis

Die standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für Ihre Organisation wird nicht im Dashboard angezeigt.

Bearbeiten von Richtlinien im Dashboard

Um eine Richtlinie zu bearbeiten, wählen Sie sie aus, um den Bereich mit den Richtliniendetails anzuzeigen. Sie können eine oder mehrere Einstellungen ändern und die Änderungen dann speichern.

Wichtig

Wenn Sie das Cmdlet New-UnifiedAuditLogRetentionPolicy zum Erstellen einer Richtlinie verwenden, können Sie eine Aufbewahrungsrichtlinie für Überwachungsprotokolle für Datensatztypen oder Aktivitäten erstellen, die im Tool Erstellen von Aufbewahrungsrichtlinien für die Überwachung im Microsoft Purview-Complianceportal nicht verfügbar sind. In diesem Fall werden Sie nicht in der Lage sein, die Richtlinie über das Dashboard für Aufbewahrungsrichtlinien für die Überwachung zu bearbeiten (beispielsweise die Aufbewahrungsdauer ändern oder Aktivitäten hinzufügen oder entfernen). Sie können die Richtlinie im Microsoft Purview-Complianceportal nur anzeigen oder löschen. Um die Richtlinie zu ändern, müssen Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy im PowerShell-Modul "Sicherheit und Compliance" verwenden.

Tipp

Oben auf dem Richtliniendetailbereich wird eine Nachricht zu Richtlinien angezeigt, die mittels PowerShell bearbeitet werden müssen.

Löschen von Richtlinien im Dashboard

Um eine Richtlinie zu löschen, wählen Sie das Papierkorbsymbol (Löschen) aus. Bestätigen Sie dann, dass Sie die Richtlinie tatsächlich löschen möchten. Während die Richtlinie aus dem Dashboard entfernt wird, kann es bis zu 30 Minuten dauern, bis eine gelöschte Richtlinie aus einer Organisation entfernt wird.

Erstellen und Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle in PowerShell

Organisationen können auch das PowerShell-Modul "Sicherheit und Compliance" verwenden, um Aufbewahrungsrichtlinien für Überwachungsprotokolle zu erstellen und zu verwalten. Ein Grund für die Verwendung von PowerShell ist das Erstellen einer Richtlinie für einen Datensatztyp oder eine Aktivität, die nicht im Microsoft Purview-Complianceportal verfügbar ist.

Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle in PowerShell

Gehen Sie folgendermaßen vor, um eine Aufbewahrungsrichtlinie für Überwachungsprotokolle in PowerShell zu erstellen:

  1. Stellen Sie in Windows PowerShell eine Verbindung mit dem PowerShell-Modul "Sicherheit und Compliance" her.

  2. Führen Sie zum Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle den folgenden Befehl aus:

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    In diesem Beispiel wird eine Aufbewahrungsrichtlinie für Überwachungsprotokolle namens "Microsoft Teams Audit Policy" mit diesen Einstellungen erstellt:

    • Eine Beschreibung der Richtlinie.
    • Bewahrt alle Microsoft Teams-Aktivitäten auf (gemäß der Definition durch den RecordType-Parameter).
    • Bewahrt Microsoft Teams-Überwachungsprotokolle 10 Jahre lang auf.
    • Weist der Richtlinie eine Priorität von 100 zu.

Hier ist ein weiteres Beispiel für das Erstellen einer Aufbewahrungsrichtlinie für Überwachungsprotokolle. Diese Richtlinie:

  • Bewahrt Überwachungsprotokolle für die Aktivität "Benutzer angemeldet" für sechs Monate auf.
  • Dies geschieht für den Benutzer admin@contoso.onmicrosoft.com.
  • Weist der Richtlinie eine Priorität von 25 zu.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Anzeigen von Richtlinien in PowerShell

Verwenden Sie das Cmdlet Get-UnifiedAuditLogRetentionPolicy im PowerShell-Modul "Sicherheit und Compliance", um Aufbewahrungsrichtlinien für Überwachungsprotokolle anzuzeigen.

Hier ist ein Beispielbefehl zum Anzeigen der Einstellungen für alle Aufbewahrungsrichtlinien für Überwachungsprotokolle in einer Organisation. Mit diesem Befehl werden die Richtlinien von der höchsten bis zur niedrigsten Priorität sortiert.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Hinweis

Das Cmdlet Get-UnifiedAuditLogRetentionPolicy gibt nicht die standardmäßige Aufbewahrungsrichtlinie für Überwachungsprotokolle für eine Organisation zurück.

Bearbeiten von Richtlinien in PowerShell

Verwenden Sie das Cmdlet Set-UnifiedAuditLogRetentionPolicy im PowerShell-Modul "Sicherheit und Compliance", um eine bestehende Aufbewahrungsrichtlinie für Überwachungsprotokolle zu bearbeiten.

Löschen von Richtlinien in PowerShell

Verwenden Sie das Cmdlet Remove-UnifiedAuditLogRetentionPolicy im PowerShell-Modul "Sicherheit und Compliance", um eine Aufbewahrungsrichtlinie für Überwachungsprotokolle zu löschen. Es kann bis zu 30 Minuten dauern, bis eine gelöschte Richtlinie aus einer Organisation entfernt wird.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.