Administrar directivas de retención de registros de auditoría
Las organizaciones pueden crear y administrar directivas de retención de registros de auditoría en el portal de cumplimiento de Microsoft Purview. Las directivas de retención de registros de auditoría forman parte de la solución Microsoft Purview Audit (Premium). Una directiva de retención de registros de auditoría permite a una organización especificar cuánto tiempo desea conservar los registros de auditoría. Los registros de auditoría se pueden conservar durante un máximo de 10 años. Las directivas de retención se pueden crear en función de los criterios siguientes:
- Todas las actividades de uno o más servicios de Microsoft 365.
- Actividades específicas (en un servicio de Microsoft 365) realizadas por todos los usuarios o por usuarios específicos.
- Nivel de prioridad que especifica qué directiva tiene prioridad cuando existen varias directivas en una organización.
Directivas de retención de registros de auditoría predeterminadas
Microsoft Purview Audit (Premium) proporciona una directiva de retención de registros de auditoría predeterminada para todas las organizaciones. Esta directiva conserva todos los registros de auditoría de Exchange Online, SharePoint Online, OneDrive para la Empresa y Microsoft Entra durante un año. La directiva predeterminada conserva los registros de auditoría que contienen el valor de Exchange, SharePoint, OneDrive, AzureActiveDirectory para la propiedad Workload (que es el servicio en el que se produjo la actividad).
Nota:
No se puede modificar la directiva de retención de registros de auditoría predeterminada.
La directiva de retención de registros de auditoría predeterminada solo se aplica a los registros de auditoría de la actividad realizada por los usuarios a los que se les asigna:
- una licencia de Office 365 o Microsoft 365 E5
- una licencia de complemento de cumplimiento de Microsoft 365 E5 o eDiscovery y auditoría de E5
Si una organización tiene usuarios que no son E5 o usuarios invitados, sus registros de auditoría correspondientes se conservan durante 90 días.
Antes de crear una directiva de retención de registros de auditoría
Las organizaciones deben cumplir los siguientes requisitos para poder crear una directiva de retención de registros de auditoría:
- A las personas de una organización a las que se les da la responsabilidad de crear y modificar directivas de retención de registros de auditoría se les debe asignar el rol Configuración de la organización en el portal de cumplimiento de Microsoft Purview.
- Una organización puede tener un máximo de 50 directivas de retención de registros de auditoría.
- Para conservar un registro de auditoría durante más de 90 días (y hasta un año), el usuario que genera el registro de auditoría (mediante una actividad auditada) debe tener asignada una licencia de Office 365 E5 o Microsoft 365 E5 o tener una licencia de complemento de cumplimiento de Microsoft 365 E5 o E5 eDiscovery y auditoría.
- Para conservar los registros de auditoría durante 10 años, el usuario que genera el registro de auditoría también debe tener asignada una licencia del complemento de retención de registro de auditoría de 10 años además de una licencia E5.
- Todas las directivas de retención de registros de auditoría personalizadas creadas por una organización tienen prioridad sobre la directiva de retención predeterminada. Por ejemplo, supongamos que creas una directiva de retención de registros de auditoría para la actividad de buzón de Exchange que tiene un período de retención inferior a un año. En este escenario, los registros de auditoría de las actividades de buzón de Exchange se conservarán durante el tiempo más corto especificado por la directiva personalizada.
Crear una directiva de retención de registros de auditoría
Completa los pasos siguientes para crear una directiva de retención de registros de auditoría personalizada:
Inicia sesión en el Portal de cumplimiento de Microsoft Purview con una cuenta de usuario que tenga asignada el rol de Configuración de la organización.
En Portal de cumplimiento de Microsoft Purview, selecciona Auditoría en el panel de navegación.
En la página Auditoría, selecciona la pestaña Directivas de retención de auditoría .
En la pestaña Directivas de retención de Auditoría, selecciona Crear directiva de retención de auditoría y luego completa los siguientes campos en la ventana Nueva directiva de retención de auditoría que aparece:
- Nombre de la directiva. El nombre de la directiva de retención de registro de auditoría. Este nombre debe ser único en la organización. No se puede cambiar después de crear la directiva.
- Descripción. Descripción de la directiva. Aunque este campo es opcional, resulta útil proporcionar información sobre la directiva. Por ejemplo, el tipo de registro o la carga de trabajo, los usuarios especificados en la directiva y la duración.
- Usuarios Selecciona uno o varios usuarios a los que se aplicará la directiva. La directiva se aplicará a todos los usuarios si dejas este campo en blanco. Si deja en blanco Tipo de registro, deberá seleccionar un usuario.
-
Tipo de registro. Tipo de registro de auditoría al que se aplicará la directiva. Si dejas esta propiedad en blanco, deberás seleccionar un usuario en el campo Usuarios. Puede seleccionar un único tipo de registro o varios tipos de registro:
- Tipo de registro único. Si selecciona un único tipo de registro, el campo Actividades se mostrará dinámicamente. Puede usar la lista desplegable para seleccionar las actividades del tipo de registro seleccionado a las que desea aplicar la directiva. Si no elige actividades específicas, la directiva se aplicará a todas las actividades del tipo de registro seleccionado.
- Tipo de registro múltiple. Si seleccionas varios tipos de registros, no tendrás la capacidad de seleccionar actividades. La directiva se aplicará a todas las actividades de los tipos de registro seleccionados.
- Duración. La cantidad de tiempo que se conservarán los registros de auditoría que cumplen los criterios de la directiva.
- Prioridad. Este valor determina el orden en que se procesan las directivas de retención de registros de auditoría de la organización. Un valor inferior indica mayor prioridad. Las prioridades válidas son valores numéricos entre 1 y 10 000. Un valor de 1 es la prioridad más alta y un valor de 10 000 es la prioridad más baja. Por ejemplo, una directiva con un valor de 5 tiene prioridad sobre una directiva con un valor de 10. Como se explicó anteriormente, cualquier directiva de retención de registros de auditoría personalizada tiene prioridad sobre la directiva predeterminada de la organización.
Selecciona Guardar para crear la nueva directiva de retención de registros de auditoría.
La nueva directiva se muestra en la lista de la pestaña Auditar directivas de retención.
Administra las directivas de retención de registros de auditoría en el portal de cumplimiento de Microsoft Purview
Las directivas de retención de registros de auditoría se muestran en la pestaña Auditar directivas de retención (también denominada panel). Puede usar el panel para ver, editar y eliminar directivas de retención de auditoría.
Ver directivas en el panel
Las directivas de retención de registros de auditoría se muestran en el panel. Una ventaja de ver las directivas en el panel es que puedes seleccionar la columna Prioridad para enumerar las directivas en la prioridad en la que se aplican. Como se explicó previamente, un valor más alto indica una prioridad mayor.
También puedes seleccionar una directiva para mostrar su configuración en el panel de detalles de la directiva que aparece.
Nota:
La directiva de retención de registros de auditoría predeterminada de la organización no se muestra en el panel.
Editar directivas en el panel
Para editar una directiva, selecciónala para mostrar el panel de detalles de la directiva. Puede modificar una o más opciones de configuración y, después, guardar los cambios.
Importante
Si usas el cmdlet New-UnifiedAuditLogRetentionPolicy para crear una directiva, es posible crear una directiva de retención de registros de auditoría para tipos de registros o actividades que no están disponibles en herramienta Crear la directiva de retención de auditoría del portal de cumplimiento de Microsoft Purview. En este caso, no podrá editar la directiva (por ejemplo, cambiar la duración de la retención o agregar y quitar actividades) desde el panel Directivas de retención de auditoría. Solo podrá ver y eliminar la directiva en el portal de cumplimiento de Microsoft Purview. Para editar la directiva, tendrás que usar el cmdlet Set-UnifiedAuditLogRetentionPolicy en el módulo de PowerShell de seguridad y cumplimiento.
Sugerencia
Se muestra un mensaje en la parte superior del panel de detalles de la directiva para las directivas que deben editarse mediante PowerShell.
Eliminar directivas en el panel
Para eliminar una directiva, seleccione el icono de papelera (Eliminar). A continuación, confirma que deseas eliminar la directiva. Aunque la directiva se quita del panel, una directiva eliminada puede tardar hasta 30 minutos en quitarse de una organización.
Crear y administrar directivas de retención de registros de auditoría en PowerShell
Las organizaciones también pueden usar el módulo de PowerShell de seguridad y cumplimiento para crear y administrar directivas de retención de registros de auditoría. El portal de cumplimiento de Microsoft PurviewUno de los motivos para usar PowerShell es crear una directiva para un tipo de registro o actividad que no esté disponible en la interfaz de usuario.
Crear una directiva de retención de registros de auditoría en PowerShell
Siga estos pasos para crear una directiva de retención de registros de auditoría en PowerShell:
En Windows PowerShell, conéctate al módulo de PowerShell de seguridad y cumplimiento.
Ejecute el siguiente comando para crear una directiva de retención de registros de auditoría:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100En este ejemplo se crea una directiva de retención de registros de auditoría denominada "Directiva de auditoría de Microsoft Teams" con esta configuración:
- Una descripción de la directiva.
- Conserva todas las actividades de Microsoft Teams (definidas en el parámetro RecordType).
- Conserva los registros de auditoría de Microsoft Teams por 10 años.
- Asigna una prioridad de 100 a la directiva.
Este es otro ejemplo para la creación de una directiva de retención de registros de auditoría. Esta directiva:
- Conserva los registros de auditoría de la actividad "El usuario ha iniciado sesión" durante seis meses.
- Lo hace para el usuario admin@contoso.onmicrosoft.com.
- Asigna una prioridad de 25 a la directiva.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Ver directivas en PowerShell
Usa el cmdlet Get-UnifiedAuditLogRetentionPolicy en el módulo de PowerShell de seguridad y cumplimiento para ver las directivas de retención de registros de auditoría.
Este es un comando de ejemplo para mostrar la configuración de todas las directivas de retención de registros de auditoría de una organización. Este comando ordena las directivas de mayor a menor prioridad.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Nota:
El cmdlet Get-UnifiedAuditLogRetentionPolicy no devuelve la directiva de retención de registros de auditoría predeterminada para una organización.
Editar directivas en PowerShell
Usa el cmdlet Set-UnifiedAuditLogRetentionPolicy en el módulo de PowerShell de seguridad y cumplimiento para editar una directiva de retención de registros de auditoría existente.
Eliminar directivas en PowerShell
Usa el cmdlet Remove-UnifiedAuditLogRetentionPolicy en el módulo de PowerShell de seguridad y cumplimiento para eliminar una directiva de retención de registros de auditoría. Una directiva eliminada puede tardar hasta 30 minutos en quitarse de una organización.
Comprobación de conocimientos
Elija la mejor respuesta para cada una de las siguientes preguntas.