Gérer les stratégies de rétention du journal d'audit

  • 9 minutes

Les organisations peuvent créer et gérer des stratégies de rétention des journaux d’audit dans le portail de conformité Microsoft Purview. Les stratégies de rétention des journaux d’audit font partie de la solution Microsoft Purview Audit (Premium). Une stratégie de rétention des journaux d’audit permet à un organization de spécifier la durée pendant laquelle il souhaite conserver les journaux d’audit. Les journaux d’audit peuvent être conservés pendant jusqu’à 10 ans. Les stratégies de rétention peuvent être créées en fonction des critères suivants :

  • Toutes les activités dans un ou plusieurs services Microsoft 365.
  • Activités spécifiques (dans un service Microsoft 365) effectuées par tous les utilisateurs ou par des utilisateurs spécifiques.
  • Niveau de priorité qui spécifie la stratégie prioritaire lorsque plusieurs stratégies existent dans un organization.

Une stratégie de rétention de journal d'audit par défaut

Microsoft Purview Audit (Premium) fournit une stratégie de conservation des journaux d'audit par défaut pour toutes les organisations. Cette stratégie conserve tous les enregistrements d’audit Exchange Online, SharePoint Online, OneDrive Entreprise et Microsoft Entra pendant un an. La stratégie par défaut conserve les enregistrements d’audit qui contiennent la valeur d’Exchange, SharePoint, OneDrive, AzureActiveDirectory pour la propriété Workload (qui est le service dans lequel l’activité s’est produite).

Remarque

La stratégie de rétention du journal d’audit par défaut ne peut pas être modifiée.

La stratégie de rétention du journal d’audit par défaut s’applique uniquement aux enregistrements d’audit pour l’activité effectuée par les utilisateurs auxquels sont affectés :

  • une licence Office 365 ou Microsoft 365 E5
  • une licence d’extension Microsoft 365 E5 Conformité ou E5 eDiscovery et Audit

Si une organisation a des utilisateurs non-E5 ou des utilisateurs invités, leurs enregistrements d'audit correspondants sont conservés pendant 90 jours.

Avant de créer une stratégie de rétention de journal d’audit

Les organisations doivent satisfaire aux exigences suivantes avant de pouvoir créer une stratégie de rétention des journaux d’audit :

  • Les personnes d’un organization qui sont chargées de créer et de modifier les stratégies de rétention des journaux d’audit doivent se voir attribuer le rôle Configuration de l’organisation dans le portail de conformité Microsoft Purview.
  • Un organization peut avoir un maximum de 50 stratégies de rétention des journaux d’audit.
  • Pour conserver un journal d’audit pendant plus de 90 jours (et jusqu’à un an), l’utilisateur qui génère le journal d’audit (en effectuant une activité auditée) doit se voir attribuer une licence Office 365 E5 ou Microsoft 365 E5 ou disposer d’une licence de complément Microsoft 365 E5 Conformité ou E5 eDiscovery et Audit.
  • Pour conserver les journaux d'audit pendant 10 ans, l'utilisateur qui génère le journal d'audit doit également se voir attribuer une licence complémentaire de rétention des journaux d'audit de 10 ans en plus d'une licence E5.
  • Toutes les stratégies de rétention de journal d’audit personnalisées créées par un organization ont la priorité sur la stratégie de rétention par défaut. Par exemple, supposons que vous créez une stratégie de rétention du journal d’audit pour l’activité de boîte aux lettres Exchange dont la période de rétention est inférieure à un an. Dans ce scénario, les enregistrements d’audit des activités de boîte aux lettres Exchange sont conservés pendant la durée plus courte spécifiée par la stratégie personnalisée.

Créer une stratégie de rétention de journal d’audit

Effectuez les étapes suivantes pour créer une stratégie de rétention du journal d’audit personnalisée :

  1. Connectez-vous au portail de conformité Microsoft Purview avec un compte d’utilisateur auquel le rôle Configuration de l’organisation est attribué.

  2. Dans le portail de conformité Microsoft Purview , sélectionnez Audit dans le volet de navigation.

  3. Dans la page Audit , sélectionnez l’onglet Stratégies de rétention d’audit .

  4. Sous l’onglet Stratégies de rétention d’audit , sélectionnez Créer une stratégie de rétention d’audit, puis renseignez les champs suivants dans la fenêtre Nouvelle stratégie de rétention d’audit qui s’affiche :

    Capture d’écran montrant la fenêtre Nouvelle stratégie de rétention d’audit avec plusieurs paramètres mis en évidence.

    1. Nom de la stratégie. Le nom de la stratégie de rétention du journal d’audit. Ce nom doit être unique dans le organization. Il ne peut pas être modifié après la création de la stratégie.
    2. Description. Description de la stratégie. Bien que ce champ soit facultatif, il est utile de fournir des informations sur la stratégie. Par exemple, le type d’enregistrement ou la charge de travail, les utilisateurs spécifiés dans la stratégie et la durée.
    3. Utilisateurs. Sélectionnez un ou plusieurs utilisateurs auxquels la stratégie sera appliquée. La stratégie s’applique à tous les utilisateurs si vous laissez ce champ vide. Si vous laissez le Type d’enregistrement vierge, vous devez alors sélectionner un utilisateur.
    4. Type d’enregistrement. Type d’enregistrement d’audit auquel la stratégie sera appliquée. Si vous laissez cette propriété vide, vous devez sélectionner un utilisateur dans le champ Utilisateurs . Vous pouvez sélectionner un seul type d’enregistrement ou plusieurs types d’enregistrements :
      • Type d’enregistrement unique. Si vous sélectionnez un seul type d’enregistrement, le champ Activités s’affiche de façon dynamique. Vous pouvez utiliser la liste déroulante pour sélectionner les activités du type d’enregistrement sélectionné auquel la stratégie doit être appliquée. Si vous ne choisissez pas d'activité spécifique, la stratégie s’applique à toutes les activités du type d’enregistrement sélectionné.
      • Type d’enregistrement multiple. Si vous sélectionnez plusieurs types d’enregistrements, vous n’aurez pas la possibilité de sélectionner des activités. La stratégie s’applique à toutes les activités des types d’enregistrement sélectionnés.
    5. Durée. Durée de conservation des journaux d’audit qui répondent aux critères de la stratégie.
    6. Priorité. Cette valeur détermine l’ordre dans lequel les stratégies de rétention du journal d’audit dans le organization sont traitées. Une valeur faible implique une priorité élevée. Les priorités valides sont des valeurs numériques comprises entre 1 et 10 000. La valeur 1 est la priorité la plus élevée et la valeur 10 000 est la priorité la plus basse. Par exemple, une stratégie avec une valeur de 5 sera prioritaire sur une stratégie ayant une valeur de 10. Comme expliqué précédemment, toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie par défaut de l’organization.

  5. Sélectionnez Enregistrer pour créer la stratégie de rétention du journal d’audit.

La nouvelle stratégie s’affiche dans la liste sur l’onglet Stratégies de rétention de l’audit.

Gérer les stratégies de rétention des journaux d’audit dans le portail de conformité Microsoft Purview

Les stratégies de rétention du journal d’audit sont répertoriées sur l’onglet Stratégies de rétention d’audit (également appelé tableau de bord). Vous pouvez utiliser le tableau de bord pour afficher, modifier, et supprimer des stratégies de rétention d’audit.

Afficher des stratégies dans le tableau de bord

Les stratégies de rétention du journal d’audit sont répertoriées dans le tableau de bord. L’un des avantages de l’affichage des stratégies dans le tableau de bord est que vous pouvez sélectionner la colonne Priorité pour répertorier les stratégies dans la priorité dans laquelle elles sont appliquées. Comme indiqué précédemment, une valeur plus basse indique une priorité plus élevée.

Capture d’écran montrant l’onglet Stratégies de rétention d’audit sur la page Audit avec la colonne priorité mise en évidence pour chaque stratégie.

Vous pouvez également sélectionner une stratégie pour afficher ses paramètres dans le volet de détails de la stratégie qui s’affiche.

Remarque

La stratégie de rétention du journal d’audit par défaut de votre organisation n’est pas affichée dans le tableau de bord.

Modifier des stratégies dans le tableau de bord

Pour modifier une stratégie, sélectionnez-la pour afficher le volet de détails de la stratégie. Vous pouvez modifier un ou plusieurs paramètres, puis enregistrer vos modifications.

Importante

Si vous utilisez l’applet de commande New-UnifiedAuditLogRetentionPolicy pour créer une stratégie, il est possible de créer une stratégie de rétention du journal d’audit pour les types d’enregistrements ou les activités qui ne sont pas disponibles dans l’outil destratégie de rétention d’audit C dans le portail de conformité Microsoft Purview. Dans ce cas, vous ne pouvez pas modifier la stratégie (par exemple, modifier la durée de rétention ou ajouter et supprimer des activités) du tableau de bord Stratégies de rétention d’audit. Seul le portail de conformité Microsoft Purview vous permet d’afficher et de supprimer la stratégie. Pour modifier la stratégie, vous devez utiliser l’applet de commande Set-UnifiedAuditLogRetentionPolicy dans le module PowerShell Sécurité et conformité.

Conseil

Un message s’affiche en haut du volet de détails de la stratégie pour les stratégies qui doivent être modifiées à l’aide de PowerShell.

Supprimer des stratégies dans le tableau de bord

Pour supprimer une stratégie, sélectionnez l’icône de corbeille (Supprimer). Vérifiez ensuite que vous souhaitez supprimer la stratégie. Bien que la stratégie soit supprimée du tableau de bord, la suppression d’une stratégie d’un organization peut prendre jusqu’à 30 minutes.

Créer et gérer des stratégies de rétention d’un journal d’audit dans PowerShell

Les organisations peuvent également utiliser le module PowerShell Sécurité et conformité pour créer et gérer des stratégies de rétention des journaux d’audit. L’une des raisons d’utiliser PowerShell est de créer une stratégie pour un type d’enregistrement ou une activité qui n’est pas disponible dans le portail de conformité Microsoft Purview.

Créer une stratégie de rétention de journal d’audit dans PowerShell

Pour créer une stratégie de rétention de journal d’audit dans PowerShell, suivez ces étapes :

  1. Dans Windows PowerShell, connectez-vous au module PowerShell Sécurité et conformité.

  2. Exécutez la commande suivante pour créer une stratégie de conservation des journaux d'audit :

    New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100

    Cet exemple crée une stratégie de rétention de journal d’audit nommée « Stratégie d’audit Microsoft Teams » ayant les paramètres suivants :

    • Une description de la stratégie.
    • Conserve toutes les activités Microsoft Teams (telles que définies par le paramètre RecordType).
    • Conserve les journaux d'audit Microsoft Teams pendant 10 ans.
    • Affecte une priorité de 100 à la stratégie.

Voici un autre exemple de création d’une stratégie de rétention de journal d’audit. Cette stratégie :

  • Conserve les journaux d’audit de l’activité « Utilisateur connecté » pendant six mois.
  • Il le fait pour l’utilisateur admin@contoso.onmicrosoft.com.
  • Affecte une priorité de 25 à la stratégie.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25

Afficher des stratégies dans PowerShell

Utilisez l’applet de commande Get-UnifiedAuditLogRetentionPolicy dans le module PowerShell Sécurité et conformité pour afficher les stratégies de rétention des journaux d’audit.

Voici un exemple de commande pour afficher les paramètres de toutes les stratégies de rétention des journaux d’audit dans un organization. Cette commande trie les stratégies de la priorité la plus élevée à la plus faible.

Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration

Remarque

L’applet de commande Get-UnifiedAuditLogRetentionPolicy ne retourne pas la stratégie de rétention du journal d’audit par défaut pour un organization.

Modifier des stratégies dans PowerShell

Utilisez l’applet de commande Set-UnifiedAuditLogRetentionPolicy dans le module PowerShell Sécurité et conformité pour modifier une stratégie de rétention du journal d’audit existante.

Supprimer des stratégies dans PowerShell

Utilisez l’applet de commande Remove-UnifiedAuditLogRetentionPolicy dans le module PowerShell sécurité et conformité pour supprimer une stratégie de rétention des journaux d’audit. La suppression d’une stratégie supprimée d’un organization peut prendre jusqu’à 30 minutes.

Vérification des connaissances

Choisissez la meilleure réponse pour la question suivante.

Vérifier vos connaissances

1.

Contoso a implémenté Microsoft Purview Audit (Premium). Combien de temps la stratégie de rétention des journaux d’audit par défaut de Contoso conserve-t-elle Exchange Online enregistrements d’audit ?