Gestire i criteri di conservazione dei log di controllo
Le organizzazioni possono creare e gestire i criteri di conservazione dei log di controllo nel portale di conformità di Microsoft Purview. I criteri di conservazione dei log di audit fanno parte della soluzione di Microsoft Purview Audit (Premium). Un criterio di conservazione dei log di controllo consente a un'organizzazione di specificare quanto a lungo si desidera conservare i log di controllo. I log di controllo possono essere conservati per un massimo di 10 anni. I criteri di conservazione possono essere creati in base ai criteri seguenti:
- Tutte le attività in uno o più servizi di Microsoft 365.
- Attività specifiche (in un servizio Microsoft 365 specifico) eseguite da tutti gli utenti o da utenti specifici.
- Livello di priorità che specifica quali criteri hanno la precedenza quando esistono più criteri in un'organizzazione.
Criterio di conservazione dei log di controllo predefinito
Microsoft Purview Audit (Premium) include un criterio di conservazione dei log di controllo predefinito per tutte le organizzazioni. Questo criterio mantiene tutti i record di controllo Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Entra per un anno. Il criterio predefinito conserva i record di controllo che contengono il valore di Exchange, SharePoint, OneDrive, AzureActiveDirectory per la proprietà Carico di lavoro, ossia il servizio in cui si è verificata l'attività.
Nota
Non è possibile modificare i criteri di conservazione predefiniti del log di controllo.
Il criterio di conservazione dei log di controllo predefinito si applica solo ai record di controllo per le attività eseguite dagli utenti a cui è assegnata:
- una licenza Office 365 o Microsoft 365 E5
- una licenza del componente aggiuntivo Microsoft 365 E5 Compliance o E5 eDiscovery e Audit
Se un'organizzazione ha utenti non E5 o utenti guest, i record di controllo corrispondenti vengono conservati per 90 giorni.
Prima di creare un criterio di conservazione dei log di controllo
Le organizzazioni devono soddisfare i requisiti seguenti prima di poter creare criteri di conservazione dei log di controllo:
- Alle persone di un'organizzazione a cui viene assegnata la responsabilità di creare e modificare i criteri di conservazione dei log di controllo deve essere assegnato il ruolo Configurazione organizzazione nel Portale di conformità di Microsoft Purview.
- Un'organizzazione può avere un massimo di 50 criteri di conservazione dei log di controllo.
- Per conservare un log di controllo per più di 90 giorni (e fino a un anno), l'utente che genera il log di controllo (eseguendo un’attività controllata) deve avere una licenza di Office 365 E5 o Microsoft 365 E5 oppure una licenza per il componente aggiuntivo Audit Microsoft 365 E5 Compliance o E5 eDiscovery.
- Per conservare i log di controllo per 10 anni, all'utente che genera il log di controllo deve anche essere assegnata una licenza per il componente aggiuntivo di conservazione dei log di controllo di 10 anni oltre a una licenza E5.
- Tutti i criteri di conservazione dei log di controllo personalizzati creati da un’organizzazione hanno priorità rispetto al criterio di conservazione predefinito. Si supponga, ad esempio, di creare un criterio di conservazione dei log di controllo per l'attività della cassetta postale di Exchange con un periodo di conservazione inferiore a un anno. In questo scenario, i record di controllo per le attività delle cassette postali di Exchange verranno conservati per la durata più breve specificata dai criteri personalizzati.
Creare un criterio di conservazione dei log di controllo
Completare la procedura seguente per creare un criterio di conservazione del log di controllo personalizzato:
Accedere al portale di conformità di Microsoft Purview con un account utente a cui è assegnato il ruolo Configurazione organizzazione .
Nel portale di conformità Microsoft Purview selezionare Audit nel riquadro di spostamento.
Nella pagina Controllo selezionare la scheda Controlla criteri di conservazione .
Nella scheda Controlla criteri di conservazione selezionare Crea criteri di conservazione di controllo e quindi completare i campi seguenti nella finestra Nuovo criterio di conservazione di controllo visualizzata:
- Nome criterio. Il nome del criterio di conservazione dei log di audit. Questo nome deve essere univoco nell'organizzazione. Non può essere modificato dopo la creazione del criterio.
- Descrizione. Descrizione del criterio. Anche se questo campo è facoltativo, è utile fornire informazioni sui criteri. Ad esempio, il tipo di record o il carico di lavoro, gli utenti specificati nei criteri e la durata.
- Utenti. Selezionare uno o più utenti a cui verranno applicati i criteri. I criteri verranno applicati a tutti gli utenti se si lascia vuoto questo campo. Se si lascia vuoto il campo Tipo di record, è necessario selezionare un utente.
-
Tipo di record. Tipo di record di controllo a cui verranno applicati i criteri. Se si lascia vuota questa proprietà, è necessario selezionare un utente nel campo Utenti . È possibile selezionare un tipo di record singolo o più tipi di record:
- Tipo di record singolo. Se si seleziona un solo tipo di record, il campo Attività viene visualizzato dinamicamente. Si può usare l'elenco a discesa per selezionare le attività del tipo di record selezionato a cui applicare il criterio. Se non si scelgono attività specifiche, il criterio verrà applicato a tutte le attività del tipo di record selezionato.
- Tipo di record multiplo. Se si selezionano più tipi di record, non è possibile selezionare le attività. Il criterio si applica a tutte le attività dei tipi di record selezionati.
- Durata. La quantità di tempo per cui conservare i log di audit che soddisfano i criteri del criterio.
- Priorità. Questo valore determina l'ordine con cui vengono elaborati i criteri di conservazione dei log di controllo nell'organizzazione. Un valore più basso indica una priorità più alta. Le priorità valide sono valori numerici compresi tra 1 e 10.000. Il valore 1 ha la priorità più alta e il valore 10.000 ha quella più bassa. Ad esempio, un criterio con un valore 5 avrà la priorità su un criterio con un valore 10. Come descritto in precedenza, i criteri di conservazione dei log di controllo personalizzati hanno la precedenza sui criteri predefiniti per l'organizzazione.
Selezionare Salvaper creare il nuovo criterio di conservazione dei log di controllo.
Il nuovo criterio viene visualizzato nell'elenco nella scheda Criteri di conservazione log di controllo.
Gestire i criteri di conservazione dei log di controllo nel portale di conformità di Microsoft Purview
I criteri di conservazione dei log di controllo sono elencati nella scheda Criteri di conservazione dei log di controllo, denominata anche dashboard. È possibile usare il dashboard per visualizzare, modificare ed eliminare i criteri di conservazione dei log di controllo.
Visualizzazione dei criteri nel dashboard
I criteri di conservazione dei log di controllo sono elencati nel dashboard. Uno dei vantaggi della visualizzazione dei criteri nel dashboard è che è possibile selezionare la colonna Priorità per elencare i criteri in base alla priorità con cui vengono applicati. Come spiegato in precedenza, un valore più basso indica una priorità più elevata.
È anche possibile selezionare un criterio per visualizzarne le impostazioni nel riquadro dei dettagli dei criteri visualizzato.
Nota
I criteri di conservazione predefiniti dei log di controllo per l'organizzazione non vengono visualizzati nel dashboard.
Modifica dei criteri nel dashboard
Per modificare un criterio, selezionarlo per visualizzare il riquadro dei dettagli dei criteri. È possibile modificare una o più impostazioni poi salvare le modifiche.
Importante
Se si usa il cmdlet New-UnifiedAuditLogRetentionPolicy, è possibile creare un criterio di conservazione dei log di controllo per i tipi di record o le attività non disponibili nello strumento Crea criteri di conservazione dei log di controllo nel portale di conformità di Microsoft Purview. In questo caso, non sarà possibile modificare il criterio, ad esempio modificare la durata di conservazione o aggiungere e rimuovere attività, dal dashboard Criteri di conservazione dei log di controllo. Nel portale di conformità Microsoft Purview si potrà solo visualizzare ed eliminare il criterio. Per modificarlo, sarà necessario usare il cmdlet Set-UnifiedAuditLogRetentionPolicy nel modulo PowerShell per Sicurezza e conformità.
Consiglio
Nella parte superiore del riquadro dei dettagli dei criteri viene visualizzato un messaggio per i criteri che devono essere modificati tramite PowerShell.
Eliminare i criteri nel dashboard
Per eliminare un criterio, selezionare l'icona del cestino (Elimina). Confermare quindi che si vuole eliminare il criterio. Quando i criteri vengono rimossi dal dashboard, ma potrebbero essere necessari fino a 30 minuti prima che il criterio eliminato venga rimosso da un’organizzazione.
Creare e gestire i criteri di conservazione del log di controllo in PowerShell
Per creare e gestire i criteri di conservazione dei log di controllo le organizzazioni possono anche usare il modulo Sicurezza e conformità di PowerShell. Uno dei motivi per cui usare PowerShell è la possibilità di creare un criterio per un tipo di record o un'attività non disponibile nel portale di conformità di Microsoft Purview.
Creare un criterio di conservazione dei log di controllo in PowerShell
Seguire questa procedura per creare criteri di conservazione del log di controllo in PowerShell:
In Windows PowerShell connettersi al modulo Sicurezza e conformità di PowerShell.
Eseguire il comando seguente per creare un criterio di conservazione dei log di audit:
New-UnifiedAuditLogRetentionPolicy -Name "Microsoft Teams Audit Policy" -Description "One year retention policy for all Microsoft Teams activities" -RecordTypes MicrosoftTeams -RetentionDuration TenYears -Priority 100In questo esempio viene creato un criterio di conservazione dei log di controllo denominato "Microsoft Teams Audit Policy" con queste impostazioni:
- Una descrizione del criterio.
- Conserva tutte le attività di Microsoft Teams (come definito dal parametro RecordType).
- Conserva i log di controllo di Microsoft Teams per 10 anni.
- Assegna una priorità di 100 al criterio.
Ecco un altro esempio relativo alla creazione di un criterio di conservazione dei log di controllo. Questo criterio:
- Conserva i log di controllo per l'attività "L'utente ha effettuato l'accesso" per sei mesi.
- Lo fa per l'utente admin@contoso.onmicrosoft.com.
- Assegna una priorità di 25 al criterio.
New-UnifiedAuditLogRetentionPolicy -Name "SixMonth retention for admin logons" -RecordTypes AzureActiveDirectoryStsLogon -Operations UserLoggedIn -UserIds admin@contoso.onmicrosoft.com -RetentionDuration SixMonths -Priority 25
Visualizzazione dei criteri in PowerShell
Usare il cmdlet Get-UnifiedAuditLogRetentionPolicy nel modulo PowerShell per Sicurezza e conformità per visualizzare i criteri di conservazione dei log di controllo.
Ecco un comando di esempio per visualizzare le impostazioni di tutti i criteri di conservazione dei log di controllo in un’organizzazione. Questo comando ordina i criteri dalla priorità più alta a quella più bassa.
Get-UnifiedAuditLogRetentionPolicy | Sort-Object -Property Priority -Descending | FL Priority,Name,Description,RecordTypes,Operations,UserIds,RetentionDuration
Nota
Il cmdlet Get-UnifiedAuditLogRetentionPolicy non restituisce il criterio di conservazione dei log di controllo predefinito per un’organizzazione.
Modificare i criteri in PowerShell
Usare il cmdlet Set-UnifiedAuditLogRetentionPolicy nel modulo PowerShell per Sicurezza e conformità per modificare un criterio di conservazione dei log di controllo esistente.
Eliminare criteri in PowerShell
Usare il cmdlet Remove-UnifiedAuditLogRetentionPolicy nel modulo PowerShell per Sicurezza e conformità per eliminare un criterio di conservazione dei log di controllo. La rimozione di un criterio eliminato da un'organizzazione può richiedere fino a 30 minuti.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti.