"You're being watched" - credits: Peggy Anke Unsplash

Office 365 compliance: audit logboek retentie

Vorig jaar schreef ik op ericburger.nl (jawel, nieuwe site!)  tweemaal over Office 365 audit logs, vanwege wijzigingen die Microsoft had aanbracht. De functionaliteit in SharePoint Online voor audit logs per site waren uitgefaseerd. Die logs kon je net zo lang bewaren als je wilde. Daarvoor in de plaats is de centrale Office 365 unified audit log gekomen. Een logische keuze omdat er natuurlijk veel meer handelingen in het systeem zijn, dan in SharePoint alleen. Als organisatie of bedrijf met een Office 365 platform zijn er een paar dingen belangrijk om te weten over die audit logs. Wat legt de audit log vast? Hoelang blijven die logs bewaard? Daarbij is veel afhankelijk van wijzigende licenties. En van veranderingen in functionaliteit.

De audit log in Office 365 wordt sinds enige tijd bij het in gebruik nemen van een nieuwe Office 365 tenant automatisch aangezet door Microsoft. De log gaat vervolgens vrijwel alle gebruikers-, systeem- en beheerhandelingen vastleggen. Denk daarbij aan alle mogelijke handelingen rond het bekijken, zoeken, bewerken en verwijderen van documenten. Maar bijvoorbeeld ook de handelingen in Teams chat en vergaderingen, Exchange mailboxen en OneDrive.

De logs kunnen ingezien en doorzocht worden door gebruikers die daarvoor een machtiging hebben. Standaard wordt die machtiging meegegeven aan de rollengroepen die het Compliance centrum beheren en aan global admins. Naar wens zijn machtigingen ook aan aangepaste rollen toe te kennen, maar daar is dan wel een Azure AD Premium P1 of P2 licentie voor benodigd. Wanneer bijvoorbeeld recordsmanagers met de standaard rollen toegang hebben tot het gehele Compliance centrum betekent dit ook toegang tot de audit logs.

De audit logs zijn doorzoekbaar. Ga daarvoor naar de oplossing ‘Controleren’ in het Compliance centrum. In de module ‘Zoeken’ kunnen queries ingevoerd op basis van (combinaties van) begin- en einddatum, gebruiker, bestand, map, URL en specifieke activiteiten, zoals ‘bestand is geopend’, ‘recordstatus is gewijzigd’, ‘bestand is verwijderd uit prullenbak tweede stadium’, ‘bewaarbeleid is gewijzigd’. De zoekresultaten kunnen gefilterd en geëxporteerd naar Excel.

Dat gebruikershandelingen zo precies worden vastgelegd en er exact kan worden nagegaan wie op dag X op zoek was naar het dossier van meneer Y – om maar een mogelijkheid te noemen – roept natuurlijk wel vragen op over privacy en registraties. In verschillende organisaties zijn mij daarover vragen gesteld, omdat deze vorm van registratie gezien zou kunnen worden als een ‘personeelsvolgsysteem’, instemmingsplichtig volgens de Wet op de Ondernemingsraden, evenals verwerking van persoonsgegevens. Daarnaast zijn voorgenomen besluiten over invoering of wijziging van belangrijke technologische voorzieningen adviesplichtig. Datzelfde geldt dan overigens ook voor andere compliance functionaliteiten in Office 365 die handelingen van medewerkers volgen en geautomatiseerd kunnen reageren en rapporteren. Denk bijvoorbeeld aan Data Loss Prevention, waarbij het extern delen van gevoelige informatie kan worden bewaakt en beperkt. Bijvoorbeeld de mogelijkheid om bedoelde of onbedoelde deelacties (zoals het per ongeluk willen verzenden van een e-mail met privacygevoelige informatie) te kunnen registreren en rapporteren aan een privacy officer. Hoe de medezeggenschap dan ook geregeld is, ik denk dat het goed is wanneer gebruikers van systemen op de hoogte zijn van wat om welke reden wordt vastgelegd.

Iedere vastgelegde handeling in de audit log blijft bewaard voor negen of twaalf maanden, afhankelijk van de licentie waar de betreffende gebruiker over beschikt, respectievelijk E3 of E5. Met een enkele E5 licentie kan een beheerder een bewaarbeleid voor audit handelingen aanmaken: “To retain an audit log for longer than 90 days, the user who generated the audit log must be assigned an Office 365 E5 or Microsoft 365 E5 license or have a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license.” Eventueel beperkt tot specifieke gebruikers of onderdelen van het platform (‘recordtypes’, maar dat kan ook inhouden ‘SharePoint’, ‘MicrosoftTeams’ of alleen ‘SharePointfileoperation’). Vervolgens kan er een bewaartermijn aan gekoppeld van 90 dagen, zes of negen maanden, één of tien jaar. Dus bedenk dat dit de standaard bewaartermijnen van negen of twaalf maanden ook kan bekorten. Je kan maximaal 50 verschillende bewaarregels aanmaken. Bij overlappende regels kan iedere regel ook nog van een prioriteit worden voorzien die de voorrang van toepassing bepaalt. Met mijn E5 licentie kon ik in een paar tellen een 10-jarig bewaarbeleid instellen voor alle handelingen op SharePoint content.

In de Microsoft FAQ voor deze Advanced Audit mogelijkheden met een E5 licentie is aangekondigd dat de tien jaar bewaartermijn begin 2021 onderdeel zal worden van een nieuwe ‘add-on licentie’. De FAQ zegt dat een 10 jaar bewaarbeleid dat is ingesteld door de E5 licentiehouder de logs inderdaad voor 10 jaar zal bewaren, maar ook “When the 10-year audit log retention add-on license is available in early 2021, you will need to purchase add-on licenses for users who’s audit data is being retained by an existing 10-year audit retention policy.” Het lijkt me niet goed mogelijk dat dit allebei waar kan zijn. Ik vroeg Microsoft om opheldering en kreeg 15-12-2020 het volgende antwoord: “We made 10-yr audit log retention available before we rolled out the required licensing. When the licensing becomes available, customers will need to purchase it to remain in licensing compliance. In other words, audit records will be retained for 10 yrs regardless of whether user has appropriate add-on license (mijn curs.). If you don’t acquire the add-on license when they become available, you won’t be in compliance with licensing requirements. I assume/hope more communication about this will be sent out when the add-on licenses become available for purchase.”

Dus ik zou zeggen profiteer zo lang het nog kan.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *