Microsoft Entra 数据保留

本文介绍 Microsoft Entra ID 中不同活动报告的数据保留策略。

Microsoft Entra ID 何时开始收集数据?

Microsoft Entra 版本 开始收集
Microsoft Entra ID P1
Microsoft Entra ID P2
Microsoft Entra 工作负荷 ID 高级版
注册订阅时
Microsoft Entra ID Free 首次打开 Microsoft Entra ID 或使用报告 API

如果已经拥有免费许可证的活动数据,则可在升级时立即看到这些数据。 升级到高级许可证后,如果没有任何数据,则最多需要三天,数据就会显示在报告中。

  • 用户选择使用“标识防护中心”后,收集安全信号的过程就会开始。
  • 在诊断设置中启用日志类别后,收集 Microsoft Graph 活动日志的过程就会开始。

Microsoft Entra ID 存储数据多长时间?

Microsoft Entra 中的日志存储时间因报表类型和许可证类型而异。 通过使用 Azure Monitor 将审核和登录活动数据路由到 Azure 存储帐户,可以使这些活动数据的保留时间长于前表所示的默认保留期限。 有关详细信息,请参阅将 Microsoft Entra 日志存档到 Azure 存储帐户

活动报告

报表 Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
审核日志 七天 30 天 30 天
登录 七天 30 天 30 天
Microsoft Entra 多重身份验证使用情况 30 天 30 天 30 天
Microsoft Graph 活动日志* NA 必须与存储器或分析工具集成 必须与存储器或分析工具集成

*仅针对拥有 P1 和 P2 许可证的 Microsoft Entra ID 提供 Microsoft Graph 活动日志。 数据不会保留,但数据可以存档到存储帐户或与分析工具集成。

安全信号

报表 Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
有风险用户 无限制 无限制 无限制
有风险的登录 7 天 30 天 90 天

注意

风险用户和工作负载标识在风险消除后才会被删除。

获得高级版许可证后是否能查看上个月的数据?

否,不能。 对于免费版本,Azure 最多可存储 7 天的活动数据。 从免费版切换到高级版时,最多只能看到 7 天的数据。

后续步骤