хранение данных Microsoft Entra

В этой статье вы узнаете о политиках хранения данных для различных отчетов о действиях в Microsoft Entra ID.

Когда Microsoft Entra ID начинает сбор данных?

выпуск Microsoft Entra Начало коллекции
Microsoft Entra ID P1
Microsoft Entra ID P2
Идентификатор рабочей нагрузки Microsoft Entra Premium
При регистрации подписки
бесплатный Microsoft Entra ID При первом открытии Microsoft Entra ID или использовании API-интерфейсов отчеты

Если у вас уже есть данные о действиях с бесплатной лицензией, вы можете сразу же увидеть его при обновлении. Если у вас нет данных, то данные будут отображаться в отчетах до трех дней после обновления до лицензии premium.

  • Для сигналов безопасности процесс сбора начинается при выборе Центра защиты идентификации.
  • Для журналов действий Microsoft Graph процесс сбора начинается при включении категории log в параметрах диагностики.

Сколько времени Microsoft Entra ID хранить данные?

Хранилище журналов в Microsoft Entra зависит от типа отчета и типа лицензии. Данные аудита и входа можно хранить дольше, чем срок хранения по умолчанию, описанный в предыдущей таблице, путем маршрутизации его в учетную запись хранения Azure с помощью Azure Monitor. Дополнительные сведения см. в журналах Archive Microsoft Entra учетной записи хранения Azure.

Заметка

Microsoft Entra ID журналы аудита и входа отделены от единого журнала аудита Microsoft 365 (UAL). Хранение UAL управляется с помощью аудита Microsoft Purview и не влияет на изменения лицензирования Microsoft Entra ID.

Отчеты о действиях

Сообщать бесплатный Microsoft Entra ID Microsoft Entra ID P1 Microsoft Entra ID P2
Журналы аудита Семь дней 30 дней 30 дней
Входы Семь дней 30 дней 30 дней
использование многофакторной проверки подлинности Microsoft Entra 30 дней 30 дней 30 дней
журналы действий Microsoft Graph* NA Необходимо интегрировать с средствами хранилища или аналитики Необходимо интегрировать с средствами хранилища или аналитики

*журналы действий Microsoft Graph доступны только для лицензий Microsoft Entra ID P1 и P2. Данные не сохраняются, если они не архивируются в учетную запись хранения или интегрированы с средствами аналитики.

Сигналы безопасности

Сообщать бесплатный Microsoft Entra ID Microsoft Entra ID P1 Microsoft Entra ID P2
Рискованные пользователи Ограничение не ограничено Ограничение не ограничено Ограничение не ограничено
Рискованные входы 7 дней 30 дней 90 дней

Заметка

Организации с лицензиями microsoft 365 E5, Office 365 E5, Microsoft Purview Suite или E5 eDiscovery и audit add-on также могут использовать аудит Microsoft Purview (Премиум) для хранения журналов аудита Идентификатора Майкрософт за пределами периода по умолчанию, предоставляя альтернативу экспорту журналов в службу хранилища Azure. Дополнительные сведения см. в статье "Управление политиками хранения журналов аудита" с помощью Microsoft Purview.

Заметка

Рискованные пользователи и удостоверения рабочей нагрузки не удаляются до устранения риска.

журналы Microsoft Entra External ID

В Microsoft Entra External ID базовый план журналы хранятся в течение 7 дней. Дополнительные сведения см. в разделе "Поддерживаемые функции" в рабочей силе и внешних клиентах. Чтобы сохранить журналы в течение более длительных периодов, используйте Azure Monitor во внешнем клиенте.

Можно ли просмотреть данные прошлого месяца после получения лицензии premium?

Нет, нельзя. Azure хранит до семи дней данных о действиях для бесплатной версии. При переходе с бесплатной на премиум-версию можно просмотреть только 7 дней данных.

Заметка

Изменения хранения журналов не являются ретроактивными. При обновлении с Microsoft Entra ID "Бесплатный" до P1 или P2 доступны только данные в течение свободного периода хранения (до семи дней). Данные, которые уже истекли, не могут быть восстановлены, если не было архивировано ранее.

Дальнейшие действия