• Cloud, Guide, Microsoft 365, Sicurezza
• 9 Giugno 2026

È possibile creare e gestire i criteri di conservazione dei Log di Audit all’interno del portale di Microsoft Purview. I criteri di conservazione di questi log fanno parte delle nuove funzionalità di Microsoft Purview Audit (Premium). Un criterio di conservazione dei log di Audit consente di specificare quanto a lungo conservare i log all’interno dell’organizzazione ed è possibile conservarli per un massimo di 10 anni.

È possibile creare criteri basati sui seguenti criteri:

• Tutte le attività in uno o più servizi Microsoft
• Attività specifiche in un servizio Microsoft eseguite da tutti gli utenti o da utenti specifici
• Livello di priorità che specifica quali criteri hanno la precedenza se sono presenti più criteri nell’organizzazione

Default Audit Log Retention Policy in Audit (Premium)

Audit (Premium) in Microsoft Purview fornisce un criterio di conservazione del log di controllo predefinito per tutte le organizzazioni. Non è possibile modificare questo crtiterio. Mantiene tutti i record di controllo Exchange Online, SharePoint, OneDrive e Microsoft Entra per un anno.

Questo criterio predefinito mantiene i record di controllo che contengono il valore di:

• AzureActiveDirectory
• Exchange
• OneDrive
• SharePoint

Per la proprietà Workload, ovvero il servizio in cui si è verificata l’attività.

Per impostazione predefinita, i record di controllo per tutte le altre attività vengono conservati per 180 giorni oppure è possibile modificare la conservazione in una durata diversa usando i criteri di conservazione personalizzati.

Nota: I criteri di conservazione dei log di controllo predefiniti si applicano solo ai record di controllo per l’attività eseguita da utenti a cui è stata assegnata una licenza Office 365 o Microsoft 365 E5 o che dispongono di una famiglia di prodotti di Microsoft Purview (in precedenza Microsoft 365 E5 Compliance) o la licenza del componente aggiuntivo E5 eDiscovery e Audit. Se nell’organizzazione sono presenti utenti non E5 o utenti Guest, i record di controllo corrispondenti vengono conservati per 180 giorni.

È importante ricordare che il periodo di conservazione predefinito per Audit (Standard) è cambiato da 90 a 180 giorni. I log di controllo Standard generati prima del 17 Ottobre 2023 vengono conservati per 90 giorni, quelli generati dipo tale date seguono la nuova conservazione predefinita di 180 giorni.

Cosa fare prima di creare un criterio?

Vi riporto i prerequisiti necessari utili per poter creare un criterio di conservazione dei Log di Audit:

• Ruolo di Compliance Administrator in Microsoft Purview per creare o modificare la retention policy dei log di Audit
• L’organizzazione può avere fino a 50 criteri di conservazione dei log di controllo
• Per mantenere un log di controllo per più di 180 giorni (e fino a 1 anno), l’utente che genera il log di controllo deve avere una licenza Office 365 E5 o Microsoft 365 E5 o un Add-on di Microsoft Purview o E5 eDiscovery e Audit. Per mantenere i log di controllo per 10 anni, l’utente che genera il log di controllo deve avere anche una licenza del componente aggiuntivo per la conservazione dei log di controllo di 10 anni oltre che una licenza E5.
• Tutti i criteri di conservazione dei log di audit personalizzati hanno la priorità rispetto al criterio di conservazione predefinito. Ad esempio, se si crea un criteri di conservazione per l’attività delle cassette postali di Exchange con un periodo di conservazione inferiore ad un anno, i record di controllo per le attività delle cassette postali di Exchange vengono conservati per la durata più breve specificata dai criteri personalizzati
• La durata dell’elemento di controllo per i dati viene determinata quando viene aggiunta alla pipeline di controllo e si basa sulle impostazioni predefinite delle licenze o sui criteri di conservazione applicabili. Eventuali modifiche alle licenze o ai criteri di conservazione applicabili modificano l’ora di scadenza dei dati di controllo dopo l’aggiornamento. Queste modifiche non aggiornano glie elementi di cui è stato eseguito il commit in precedenza

NB: Se l’utente che genera il log di controllo non soddisfa questi requisiti di licenza, i dati vengono conservati in base ai criteri di conservazione con priorità più alta. Questa conservazione potrebbe essere il criterio di conservazione predefinito per la licenza dell’utente o il criterio con priorità più alta corrispondente all’utente e al relativo tipo di record.

Per darvi evidenza di questa funzionalità io all’interno del mio Tenant ci sono licenze Microsoft 365 E5
Microsoft 365 E5 | M365 Maps

Figura 1: Licenze disponibili all’interno del Tenant che utilizzerò per darvi evidenza di questa funzionalità

Ora il primo passaggio necessario per la creazione di una Policy di Retention dei log di controllo è concedere al mio utente il ruolo di Compliance Administrator accediamo quindi al portale di Microsoft Purview

Figura 2: Selezioniamo le impostazioni, questo per accedere alla pagina che ci permetterà di concedere il ruolo

Figura 3: Selezioniamo il ruolo di “Compliance Administrator”

Figura 4: Eseguiamo “edit” del ruolo che ci permette di aggiungere l’utente

Figura 5: Aggiungiamo l’utente, nel mio caso la mia utenza con cui creerò la policy

Figura 6: Overview e salvataggio

Ora abbiamo smarcato tutti i requisiti necessari, rechiamoci quindi alla home page del portale di Microsoft Purview

Figura 7: Portale Microsoft Purview, sezione relativa ai log di Audit

Figura 8: Procediamo a creare una nuova policy di Retention per la componente di Audit

Nel mio caso configurerò tutte le attività dei Global Admin in modo tale che vengano mantenute per un anno.

Figura 9: Scegliamo un nome ed una descrizione parlante, selezioniamo gli utenti, nel mio caso ho selezionato i due Global Admin e selezioniamo i tipi di record da Salvare

Figura 10: Selezioniamo tutti i tipi di record, varia in base a cosa vogliamo “tenere” per un anno

Figura 11: Configuriamo la durata di un anno, configuriamo la priorità della policy e proseguiamo con la configurazione

Figura 12: Policy creata nel modo corretto

E’ possibile creare le Policy anche da PowerShell, vi darò evidenza anche di questa funzionalità per potersi collegarsi in PowerShell a Security e Compliance è necessario installare il modulo PowerShell:

• ExchangeOnlineManagement di cui vi fornisco la guida ufficiale Microsoft Connect to Security & Compliance PowerShell | Microsoft Learn

Apriamo PowerShell 7.X

Figura 13: PowerShell runAs Administrator

Ora è necessario eseguire questo comando “Connect-IPPSSession -UserPrincipalName <UPN>” sostituendo <UPN> con lo User Principal Name dell’utente con il ruolo di Compliance Administrator

Figura 14: Comando PowerShell per collegamento a Security & Compliance

Ora in questo caso creerò una policy che mi tenga per 6 mesi tutte le attività dei due global admin di Prima con questo comando “New-UnifiedAuditLogRetentionPolicy -Name “NOMEPOLICY” -UserIds UPN1,UPN2 -RetentionDuration SixMonths -Priority 2″

Figura 15: Comando per creare la Audit Retention Policy

Figura 16: Policy creata nel modo corretto

Figura 17: Policy presente anche all’interno del portale di Microsoft Purview

Conclusioni

L’utilizzo delle Audit Log Retention Policy in Microsoft Purview rappresenta una funzionalità strategica per le organizzazioni che necessitano di un controllo più approfondito sulle attività del proprio tenant Microsoft 365. La possibilità di definire criteri di conservazione personalizzati consente infatti di estendere la retention dei log di audit oltre i limiti predefiniti, fino a 10 anni, migliorando in modo significativo le capacità di auditing, sicurezza e compliance.

Questa funzionalità risulta particolarmente utile in diversi scenari operativi, tra cui esigenze di conformità normativa, audit interni o esterni, attività di incident response e investigazioni di sicurezza, monitoraggio delle operazioni effettuate da utenti privilegiati, come ad esempio Global Administrator, e tracciabilità a lungo termine delle operazioni critiche. Grazie a Microsoft Purview Audit (Premium), è possibile definire criteri granulari basati su utenti, attività specifiche e servizi Microsoft, assegnando anche priorità differenti per gestire scenari complessi. Questo approccio permette di implementare una strategia di governance più efficace, flessibile e coerente con le esigenze operative dell’organizzazione