Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете о политиках хранения данных для различных отчетов о действиях в Microsoft Entra ID.
Когда Microsoft Entra ID начинает сбор данных?
| выпуск Microsoft Entra | Начало коллекции |
|---|---|
| Microsoft Entra ID P1 Microsoft Entra ID P2 Идентификатор рабочей нагрузки Microsoft Entra Premium |
При регистрации подписки |
| бесплатный Microsoft Entra ID | При первом открытии Microsoft Entra ID или использовании API-интерфейсов отчеты |
Если у вас уже есть данные о действиях с бесплатной лицензией, вы можете сразу же увидеть его при обновлении. Если у вас нет данных, то данные будут отображаться в отчетах до трех дней после обновления до лицензии premium.
- Для сигналов безопасности процесс сбора начинается при выборе Центра защиты идентификации.
- Для журналов действий Microsoft Graph процесс сбора начинается при включении категории log в параметрах диагностики.
Сколько времени Microsoft Entra ID хранить данные?
Хранилище журналов в Microsoft Entra зависит от типа отчета и типа лицензии. Данные аудита и входа можно хранить дольше, чем срок хранения по умолчанию, описанный в предыдущей таблице, путем маршрутизации его в учетную запись хранения Azure с помощью Azure Monitor. Дополнительные сведения см. в журналах Archive Microsoft Entra учетной записи хранения Azure.
Заметка
Microsoft Entra ID журналы аудита и входа отделены от единого журнала аудита Microsoft 365 (UAL). Хранение UAL управляется с помощью аудита Microsoft Purview и не влияет на изменения лицензирования Microsoft Entra ID.
Отчеты о действиях
| Сообщать | бесплатный Microsoft Entra ID | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Журналы аудита | Семь дней | 30 дней | 30 дней |
| Входы | Семь дней | 30 дней | 30 дней |
| использование многофакторной проверки подлинности Microsoft Entra | 30 дней | 30 дней | 30 дней |
| журналы действий Microsoft Graph* | NA | Необходимо интегрировать с средствами хранилища или аналитики | Необходимо интегрировать с средствами хранилища или аналитики |
*журналы действий Microsoft Graph доступны только для лицензий Microsoft Entra ID P1 и P2. Данные не сохраняются, если они не архивируются в учетную запись хранения или интегрированы с средствами аналитики.
Сигналы безопасности
| Сообщать | бесплатный Microsoft Entra ID | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|
| Рискованные пользователи | Ограничение не ограничено | Ограничение не ограничено | Ограничение не ограничено |
| Рискованные входы | 7 дней | 30 дней | 90 дней |
Заметка
Организации с лицензиями microsoft 365 E5, Office 365 E5, Microsoft Purview Suite или E5 eDiscovery и audit add-on также могут использовать аудит Microsoft Purview (Премиум) для хранения журналов аудита Идентификатора Майкрософт за пределами периода по умолчанию, предоставляя альтернативу экспорту журналов в службу хранилища Azure. Дополнительные сведения см. в статье "Управление политиками хранения журналов аудита" с помощью Microsoft Purview.
Заметка
Рискованные пользователи и удостоверения рабочей нагрузки не удаляются до устранения риска.
журналы Microsoft Entra External ID
В Microsoft Entra External ID базовый план журналы хранятся в течение 7 дней. Дополнительные сведения см. в разделе "Поддерживаемые функции" в рабочей силе и внешних клиентах. Чтобы сохранить журналы в течение более длительных периодов, используйте Azure Monitor во внешнем клиенте.
Можно ли просмотреть данные прошлого месяца после получения лицензии premium?
Нет, нельзя. Azure хранит до семи дней данных о действиях для бесплатной версии. При переходе с бесплатной на премиум-версию можно просмотреть только 7 дней данных.
Заметка
Изменения хранения журналов не являются ретроактивными. При обновлении с Microsoft Entra ID "Бесплатный" до P1 или P2 доступны только данные в течение свободного периода хранения (до семи дней). Данные, которые уже истекли, не могут быть восстановлены, если не было архивировано ранее.