Rechercher dans le journal d’audit avec Recherche classique

  • Article

Importante

À compter d’octobre 2023, recherche classique sera mise hors service à la place de La nouvelle recherche, qui inclut des améliorations telles que des temps de recherche plus rapides, des options de recherche supplémentaires, la possibilité d’enregistrer des recherches, etc.

Avant de rechercher dans le journal d’audit

Veillez à passer en revue les éléments suivants avant de commencer à rechercher dans le journal d’audit.

  • Nous activons par défaut la recherche dans le journal d’audit pour les organisations d’entreprise Microsoft 365 et Office 365. Pour vérifier que la recherche dans les journaux d’audit est activée, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

    Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

    La valeur True de la propriété UnifiedAuditLogIn élémentsenabled indique que vous avez activé la recherche dans le journal d’audit. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Activer ou désactiver la recherche dans le journal d’audit.

    Importante

    Veillez à exécuter la commande précédente dans Exchange Online PowerShell. Bien que l’applet de commande Get-AdminAuditLogConfig soit également disponible dans PowerShell de conformité de la sécurité & , la propriété UnifiedAuditLogIngestionEnabled a toujours Falsela valeur , même lorsque la recherche dans les journaux d’audit est activée.

  • Vous devez disposer des groupes de rôles Gestionnaire d’audit ou Lecteur d’audit dans le portail de conformité (préversion) ou du rôle Afficher uniquement journaux d’audit ou Journaux d’audit dans Exchange Online pour effectuer une recherche dans le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation sur la page Autorisations dans le Centre d’administration Exchange. Les administrateurs généraux dans Office 365 et Microsoft 365 sont automatiquement ajoutés en tant que membres du groupe de rôles Gestion de l’organisation dans Exchange Online. Pour permettre à un utilisateur de rechercher dans le journal d’audit avec le niveau minimal de privilèges, vous pouvez créer un groupe de rôles personnalisé dans Exchange Online, ajouter le rôle Afficher uniquement les journaux d’audit ou journaux d’audit, puis ajouter l’utilisateur en tant que membre du nouveau groupe de rôles. Pour plus d’informations, voir Gérer les groupes de rôles dans Exchange Online.

  • Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. La durée pendant laquelle un enregistrement d'audit est conservé (et consultable dans le journal d'audit) dépend de votre abonnement Office 365 ou Microsoft 365 Entreprise, et en particulier du type de licence attribuée à des utilisateurs spécifiques.

    • Pour les utilisateurs titulaires d’une licence Office 365 E5 ou d’une licence Microsoft 365 E5, ou les utilisateurs disposant d’une licence complémentaire de conformité Microsoft 365 E5 Conformité ou d’une licence Microsoft 365 E5 eDiscovery et Audit, les enregistrements d’audit pour l’activité Azure Active Directory, Exchange et SharePoint sont conservés pendant un an par défaut. Les organisations peuvent également créer des stratégies de rétention du journal d’audit pour conserver les enregistrements d’audit pour les activités dans d’autres services pendant un an. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

      Remarque

      Si votre organisation a participé au programme d’aperçu privé pour la conservation d’un an de rapports d’audit, la durée de conservation des enregistrements d’audit générés avant la date de lancement générale de la disponibilité ne sera pas réinitialisée.

    • Pour les utilisateurs auxquels toute autre licence Office 365 ou Microsoft 365 (non E5) est attribuée, les enregistrements d’audit sont conservés pendant 90 jours. Pour obtenir la liste des abonnements Office 365 et Microsoft 365 qui prennent en charge la journalisation d’audit unifiée, consultez les conditions d’abonnement pour Audit (Standard) et Audit (Premium).

      Remarque

      Même lorsque l’audit de boîte aux lettres activé par défaut est activé, vous remarquerez peut-être que les événements d’audit de boîte aux lettres pour certains utilisateurs ne sont pas trouvés dans les recherches dans les journaux d’audit dans le portail de conformité ou via l’API d’activité de gestion Office 365. Pour plus d’informations, consultez la rubrique Plus d’informations sur la journalisation d’audit de boîtes aux lettres.

  • Si vous souhaitez désactiver la recherche dans le journal d’audit pour votre organisation, vous pouvez exécuter la commande suivante dans le PowerShell Exchange Online :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

    Pour réactiver la recherche d’audit, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Pour plus d’informations, consultez l’article Désactiver la recherche dans le journal d’audit.

  • L’applet de commande sous-jacente utilisée pour rechercher dans le journal d’audit est une applet de commande Exchange Online, qui est Search-UnifiedAuditLog. Cela signifie que vous pouvez utiliser cette cmdlet pour effectuer une recherche dans le journal d’audit au lieu d’utiliser l’outil de recherche sur la page Audit du portail de conformité. Vous devez exécuter cette cmdlet dans PowerShell distant connecté à votre organisation Exchange Online. Pour plus d’informations, voir Search-UnifiedAuditLog.

    Pour plus d’informations sur l’exportation des résultats de recherche renvoyés par l’applet de commande Search-UnifiedAuditLog vers un fichier CSV, voir la section «conseils pour l'exportation et l’affichage du journal d’audit» dans exporter, configurer et afficher les enregistrements du journal d’audit..

  • Si vous voulez télécharger par programme les données du journal d’audit, nous recommandons d’utiliser l’API Activité de gestion Office 365 au lieu d’un script PowerShell. L’API Activité de gestion Office 365 est un service web REST que vous pouvez utiliser pour développer des solutions de surveillance des opérations, de la sécurité et de la conformité pour votre organisation. Pour plus d’informations, consultez Référence de l’API d’activité de gestion d’Office 365.

  • Azure Active Directory (Azure AD) est le service d’annuaire pour Microsoft 365. Le journal d’audit unifié contient les activités des utilisateurs, des groupes, des applications, des domaines et des annuaires effectuées dans le Centre d’administration Microsoft 365 ou le portail de gestion Azure. Pour consulter la liste complète des événements Azure AD, voir Événements de rapport d’audit d’Azure Active Directory.

  • Microsoft Corporation ne garantit pas un délai spécifique après la survenue d'un événement pour que l'enregistrement d'audit correspondant soit renvoyé dans les résultats d'une recherche dans le journal d'audit. Pour les services principaux (par exemple, Exchange, SharePoint, OneDrive et Teams), la disponibilité des enregistrements d’audit est généralement de 60 à 90 minutes après qu’un événement se produit. Pour d’autres services, la disponibilité des enregistrements d’audit peut être plus longue. Toutefois, certains problèmes inévitables (comme une panne de serveur) peuvent se produire en dehors du service d’audit, ce qui retarde la disponibilité des enregistrements d’audit. Pour cette raison, Microsoft Corporation ne s’engage pas à une heure spécifique.

  • Pour rechercher des activités Power BI dans le journal d’audit, vous devez activer l’audit dans le portail d’administration Power BI. Pour consulter des instructions, voir la section «journaux d’audit» du portail d’administration Power BI.

Effectuer une recherche dans le journal d’audit

Pour effectuer une recherche dans le journal d’audit dans Microsoft 365, vous devez procéder comme suit.

  1. Accédez à https://compliance.microsoft.com et connectez-vous.

    Conseil

    Utilisez une session de navigation privée (et non une session normale) pour accéder au portail de conformité, car cela empêche l’utilisation des informations d’identification avec lesquelles vous êtes actuellement connecté. Appuyez sur CTRL+SHIFT+N pour ouvrir une session de navigation InPrivate dans Microsoft Edge ou une session de navigation privée dans Google Chrome (appelée fenêtre incognito).

  2. Dans le volet gauche du portail de conformité, sélectionnez Audit.

    La page Audit s’affiche.

    Configurez des critères, puis sélectionnez Rechercher pour exécuter le rapport.

    Remarque

    Si le lien Démarrer l'enregistrement de l'activité de l'utilisateur et de l'administrateur s'affiche, sélectionnez-le pour activer l'audit. Si ce lien n’apparaît pas, l’audit est déjà été activé pour votre organisation.

  3. Sous l’onglet Recherche classique , configurez les critères de recherche suivants :

    1. Date de début et Date de fin : Les sept derniers jours sont sélectionnés par défaut. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période. La date et l’heure sont présentées en temps universel coordonné (UTC). La plage de dates maximale que vous pouvez spécifier est de 90 jours. Une erreur s’affiche si la plage de dates sélectionnée est supérieure à 90 jours.

    Conseil

    Si vous utilisez la plage de dates maximale de 90 jours, sélectionnez l’heure actuelle pour l’option Date de début. Dans le cas contraire, un message d’erreur indiquant que la date de début est antérieure à la date de fin apparaît. Si vous avez activé l’audit au cours des 90 derniers jours, la plage de dates maximale ne peut pas commencer avant la date à laquelle l’audit a été activé.

    1. Activités : sélectionnez la liste déroulante pour afficher les activités que vous pouvez rechercher. Les activités des utilisateurs et des administrateurs sont organisées au sein de groupes d’activités liées. Vous pouvez sélectionner des activités spécifiques ou sélectionner le nom du groupe d'activités pour sélectionner toutes les activités du groupe. Vous pouvez également sélectionner une activité sélectionnée pour effacer la sélection. Une fois la recherche terminée, seules les entrées du journal d’audit correspondant aux activités sélectionnées apparaissent. La sélection de l’option Afficher les résultats pour toutes les activités affiche les résultats de toutes les activités effectuées par l’utilisateur ou le groupe d’utilisateurs sélectionné.

      Plus de 100 activités utilisateur et administrateur sont enregistrées dans le journal d’audit. Consultez l’article Activités du journal d’audit pour voir les descriptions de chaque activité dans chacun des différents services.

    2. Utilisateurs : sélectionnez dans cette zone, puis sélectionnez un ou plusieurs utilisateurs pour qui afficher les résultats de la recherche. Les entrées du journal d’audit pour l’activité sélectionnée effectuée par les utilisateurs que vous sélectionnez dans cette zone apparaissent dans la liste des résultats. Laissez cette zone vide pour renvoyer les entrées pour tous les utilisateurs (et les comptes de service) dans votre organisation.

    3. Fichier, dossier ou site : Tapez l’entièreté ou une partie du nom d’un fichier ou d’un dossier pour rechercher les activités liées au fichier ou au dossier qui contient le mot clé spécifié. Vous pouvez également spécifier l’URL d’un fichier ou d’un dossier. Si vous utilisez une URL, assurez-vous que le type du chemin d’accès complet de l’URL ou si vous tapez une partie de l’URL, n’incluez pas de caractères spéciaux ou d’espaces (toutefois, l’utilisation du caractère générique (*) est prise en charge).

      Laissez cette zone vide pour renvoyer les entrées correspondant à tous les fichiers et dossiers dans votre organisation.

    Conseil

    • Si vous recherchez toutes les activités liées à un site, ajoutez le caractère générique (*) après l’URL pour renvoyer toutes les entrées de ce site ; par exemple, "https://contoso-my.sharepoint.com/personal*".

    • Si vous recherchez toutes les activités liées à un fichier, ajoutez le caractère générique (*) avant le nom de fichier pour renvoyer toutes les entrées de ce fichier ; par exemple, "*Customer_Profitability_Sample.csv".

  4. Sélectionnez Rechercher pour exécuter la recherche à l'aide de vos critères de recherche.

    Les résultats de la recherche sont chargés et, après quelques instants, ils s’affichent sur une nouvelle page. Une fois la recherche terminée, le nombre de résultats détectés est affiché. Un maximum de 50 000 événements sont affichés par incréments de 150 événements. Si plus de 50 000 événements répondent aux critères de recherche, seuls les 50 000 événements non triés retournés sont affichés.

    Le nombre de résultats affichés une fois la recherche terminée.

Conseils pour effectuer une recherche dans le journal d’audit

  • Vous pouvez sélectionner des activités spécifiques à rechercher en sélectionnant le nom de l'activité. Vous pouvez également rechercher toutes les activités d’un groupe (telles que les activités de fichiers et de dossiers) en sélectionnant le nom du groupe. Si une activité est sélectionnée, vous pouvez la sélectionner pour annuler la sélection. Vous pouvez également utiliser la zone de recherche pour afficher les activités qui contiennent le mot clé que vous tapez.

    Sélectionnez le nom du groupe d’activités pour sélectionner toutes les activités.

  • Vous devez sélectionner Afficher les résultats pour toutes les activités dans la liste Activités pour afficher les entrées du journal d’audit de l’administrateur Exchange. Les événements dans ce journal d’audit affichent un nom de cmdlet (par exemple, Set-Mailbox) dans la colonne Activité des résultats. Pour plus d’informations, sélectionnez l’onglet Activités auditées dans cet article, puis sélectionnez Activités d’administration Exchange.

    De même, certaines activités d’audit n’ont pas d’élément correspondant dans la liste Activités. Si vous connaissez le nom de l’opération correspondant à ces activités, vous pouvez effectuer une recherche sur toutes les activités, puis filtrer les opérations après l’exportation des résultats de la recherche dans un fichier CSV.

  • Sélectionnez Effacer pour effacer les critères de recherche actuels. La plage de dates reprend la valeur par défaut des sept derniers jours. Vous pouvez également sélectionner Effacer tout pour afficher les résultats de toutes les activités afin d’annuler toutes les activités sélectionnées.

  • Si 50 000 résultats sont trouvés, vous pouvez probablement supposer qu'il y a plus de 50 000 événements qui répondent aux critères de recherche. Vous pouvez soit affiner les critères de recherche et réexécuter la recherche pour renvoyer moins de résultats, soit exporter les 50 000 résultats de recherche en sélectionnant Exporter les résultats>Télécharger tous les résultats.

Étape 2 : consulter les résultats de la recherche

Les résultats d’une recherche dans le journal d’audit apparaissent sous Résultats sur la page Recherche dans le journal d’audit. Comme indiqué précédemment, un maximum de 50 000 événements (les plus récents) sont affichés par tranches de 150 événements. Pour afficher davantage d’événements, vous pouvez utiliser la barre de défilement du volet Résultats ou appuyer sur Maj+Fin afin d’afficher les 150 événements suivants.

Les résultats contiennent les informations suivantes sur chaque événement renvoyé par la recherche :

  • Date : date et heure (utc) auxquelles l’événement s’est produit.

  • Adresse IP : Adresse IP de l’appareil utilisé lors de l’enregistrement de l’activité. L’adresse IP apparaît au format d’adresse IPv4 ou IPv6.

    Remarque

    Pour certains services, la valeur affichée dans ce champ peut être l'adresse IP d'une application sécurisée (par exemple, Office sur les applications Web) qui appelle le service au nom d'un utilisateur et non l'adresse IP de l'appareil utilisé par la personne ayant effectué l'activité. Par ailleurs, pour l’activité d’administration (ou l’activité effectuée par un compte système) pour les événements relatifs à Azure Active Directory, l’adresse IP n’est pas enregistrée et la valeur affichée dans ce champ est null.

  • Utilisateur : Utilisateur (ou compte de service) qui a effectué l’action ayant déclenché l’événement.

  • Activité : Activité effectuée par l’utilisateur. Cette valeur correspond aux activités que vous avez sélectionnées dans la liste déroulante Activités. Pour un événement figurant dans le journal d’audit de l’administrateur Exchange, la valeur dans cette colonne est une cmdlet Exchange.

  • Élément : Objet qui a été créé ou modifié suite à l’activité correspondante. Par exemple, fichier consulté ou modifié, ou compte d’utilisateur mis à jour. Certaines activités n’ont pas de valeur dans cette colonne.

  • Détails : Détails supplémentaires sur une activité. Là encore, toutes les activités n’ont pas de valeur.

Conseil

Sélectionnez un en-tête de colonne sous Résultats pour trier les résultats. Vous pouvez trier les résultats de A à Z ou de Z à A. Sélectionnez l'en-tête Date pour trier les résultats du plus ancien au plus récent ou du plus récent au plus ancien.

Afficher les détails d’un événement spécifique

Vous pouvez afficher plus de détails sur un événement en sélectionnant l'enregistrement d'événement dans la liste des résultats de la recherche. La page du menu volant s’affiche contenant les propriétés détaillées de l’enregistrement d’événement. Les propriétés affichées dépendent du service dans lequel l’événement se produit.

Étape 3 : exporter les résultats de la recherche dans un fichier

Vous pouvez exporter les résultats d’une recherche dans le journal d’audit dans un fichier de valeurs séparées par des virgules (.csv) sur votre ordinateur local. Vous pouvez ouvrir ce fichier dans Microsoft Excel et utiliser des fonctionnalités telles que la recherche, le tri, le filtrage et le fractionnement d’une colonne (dont les cellules contiennent plusieurs propriétés) en plusieurs colonnes.

  1. Effectuez une recherche dans le journal d’audit, puis modifiez les critères de recherche jusqu’à obtenir les résultats souhaités.

  2. Dans la page des résultats de la recherche, sélectionnez Exporter>Télécharger tous les résultats.

    Toutes les entrées du journal d'audit qui répondent aux critères de recherche sont exportées vers un fichier CSV. Les données brutes du journal d’audit sont enregistrées dans un fichier CSV. Des informations supplémentaires de l’entrée du journal d’audit sont incluses dans une colonne appelée AuditData dans le CSV.

    Importante

    Vous pouvez télécharger un maximum de 50 000 entrées dans un fichier .csv à partir d’une seule recherche dans le journal d’audit. Si 50 000 résultats sont téléchargés dans le fichier .csv, vous pouvez partir du principe que plus de 50 000 événements remplissent les critères de recherche. Pour exporter davantage de résultats, essayez d’utiliser une plage de dates pour réduire le nombre d’entrées du journal d’audit. Vous devrez peut-être effectuer plusieurs recherches avec des plages de dates plus réduites pour exporter plus de 50 000 entrées.

  3. Après la fin du processus d’exportation, un message s’affiche en haut de la fenêtre qui vous invite à ouvrir le fichier CSV et à l’enregistrer sur votre ordinateur local. Vous pouvez également accéder au fichier CSV dans le dossier Téléchargements.

Informations supplémentaires sur l'exportation et l'affichage des résultats de recherche dans le journal d'audit

  • Lorsque vous téléchargez tous les résultats de la recherche, le fichier CSV contient les colonnes CreationDate, UserIds, Opérations et AuditData. La colonne AuditData contient des informations supplémentaires sur chaque événement (semblables aux informations détaillées affichées sur la page de menu volant lorsque vous affichez les résultats de la recherche dans le portail de conformité). Les données de cette colonne se composent d’un objet JSON qui contient plusieurs propriétés de l’enregistrement du journal d’audit. Chaque pairproperty:value dans l’objet JSON est séparée par une virgule. Vous pouvez utiliser l’outil transformation JSON de l’éditeur Power Query dans Excel pour fractionner la colonne AuditData en plusieurs colonnes de sorte que chaque propriété dans l’objet JSON ait sa propre colonne. Cela vous permettra d’utiliser une ou plusieurs de ces propriétés pour trier et filtrer les valeurs. Pour obtenir des instructions pas à pas à l’aide de l’éditeur Power Query pour transformer l’objet JSON, voir exporter, configurer et afficher des enregistrements de journal d’audit.

    Après avoir fractionné la colonne AuditData, vous pouvez filtrer sur la colonne Opérations pour afficher les propriétés détaillées pour un type d’activité spécifique.

  • Lorsque vous téléchargez tous les résultats d’une requête de recherche qui contient les événements de différents services, la colonne AuditData du fichier .csv contient différentes propriétés selon le service dans lequel l’action a été effectuée. Par exemple, les entrées des journaux d’audit Exchange et Azure AD incluent une propriété nommée ResultStatus qui indique si l’action a réussi ou non. Cette propriété n’est pas incluse pour les événements dans SharePoint. De même, les événements SharePoint ont une propriété qui identifie l’URL de site pour les activités liées aux fichiers et dossiers. Pour modifier ce comportement, vous pouvez utiliser des recherches différentes pour exporter les résultats des activités d’un service.

    Pour consulter une description des propriétés répertoriées dans la colonneAuditData du fichier .csv lorsque vous téléchargez tous les résultats, et du service auquel s’applique chacune d’elles, voir Propriétés détaillées dans le journal d’audit.

Accès exploratoire aux journaux d’audit

L’accès à la recherche dans le journal d’audit est limité en fonction des unités administratives affectées à l’utilisateur qui accède au journal d’audit dans le portail de conformité. Un administrateur restreint peut uniquement rechercher et exporter les journaux d’audit générés par l’utilisateur dans l’étendue de ses unités administratives. Un administrateur sans restriction a accès à tous les journaux d’audit, y compris aux journaux générés par les comptes système et non utilisateur.

Administration unités attribuées aux administrateurs Administration unités disponibles pour effectuer une recherche délimitée Accès aux journaux d’audit de recherche et d’exportation
Aucun (par défaut) : Administrateur non restreint Toutes les unités administratives sont disponibles Accès à tous les journaux d’activité à partir d’un utilisateur, d’un non-utilisateur ou d’un compte système.
Une ou plusieurs unités administratives : Administrateur restreint Seules les unités administratives affectées à l’administrateur sont disponibles Accès aux journaux d’activité des utilisateurs avec une affectation d’unité administrative correspondante.

Remarque

Les applets de commande Search-MailboxAuditLog et Search-AdminAuditLog ne prennent actuellement pas en charge l’accès délimité. Les demandes de recherche utilisant ces applets de commande incluent toujours des journaux d’activité non délimités d’Exchange, même si l’utilisateur effectuant la recherche est un administrateur délimité. Pour accéder aux journaux d’activité délimités à partir de n’importe quel service Microsoft, y compris les journaux d’activité de boîte aux lettres Exchange, utilisez l’applet de commande Search-UnifiedAuditLog .

Les activités d’audit suivantes sont accessibles uniquement par les requêtes de recherche effectuées par un administrateur non restreint. Nous nous efforçons de nous assurer que ces journaux sont accessibles lorsqu’ils sont interrogés par un administrateur restreint. Pour afficher la liste complète des journaux d’audit de ces activités, envoyez une demande de recherche à l’aide d’un compte administrateur non restreint.

Service Opération
Azure Information Protection Découvrir
Dynamics 365 CrmDefaultActivity
Point de terminaison protection contre la perte de données FileCreated
FileCreatedOnNetworkShare
FileCreatedOnRemovableMedia
FileDeleted
Exchange Set-Mailbox
Set-MailboxPlan
SupervisionBulkEmailExclusion
Microsoft Forms ViewRuntimeForm

Pour plus d’informations sur les unités administratives, consultez Autorisations dans le portail de conformité Microsoft Purview.

Foire aux questions

Quels services Microsoft 365 font actuellement l’objet d’un audit ?

Les services les plus utilisés tels que Exchange Online, SharePoint Online, OneDrive Entreprise, Azure Active Directory, Microsoft Teams, Dynamics 365, Defender pour Office 365 et Power BI font l’objet d’un audit. Pour obtenir la liste des services audités, voir le ldébut de cet article.

Quelles activités sont auditées par le service d’audit dans Microsoft 365 ?

Consultez l’article Activités du journal d’audit pour obtenir la liste et la description des activités auditées.

Combien de temps faut-il pour que l’enregistrement d’audit soit disponible une fois qu’un événement s’est produit ?

La plupart des données d’audit sont disponibles dans les 60 à 90 minutes, mais l’affichage de l’entrée du journal d’audit correspondante dans les résultats de la recherche peut prendre jusqu’à 24 heures après la survenue d’un événement. Consultez la section Avant de rechercher dans le journal d’audit de cet article qui indique le temps nécessaire pour que les événements dans les différents services soient disponibles.

Pendant combien de temps les enregistrements d’audit sont-ils conservés ?

Comme indiqué précédemment, les enregistrements d’audit pour les activités effectuées par les utilisateurs ayant reçu une licence Office 365 E5 ou Microsoft E5 (ou les utilisateurs disposant d’une licence de composant additionnel Microsoft 365 E5) sont conservés pendant un an. Pour tous les autres abonnements prenant en charge la journalisation d’audit unifiée, les enregistrements d’audit sont conservés pendant 90 jours.

Puis-je accéder aux données d’audit par programme ?

Oui. L’API d’activité de gestion d’Office 365 est utilisée pour extraire les journaux d’audit par programme. Pour commencer, consultez l’article relatif à la prise en main des API de gestion Office 365.

Existe-t-il d’autres méthodes pour obtenir des journaux d’audit autres que l’utilisation du centre de sécurité et conformité ou de l’API d’activité de gestion d’Office 365 ?

Oui, vous pouvez récupérer les journaux d’audit à l’aide des méthodes suivantes :

Est-ce que je dois activer l’audit de chaque service pour lequel je souhaite capturer les journaux d’audit ?

Dans la plupart des services, l’audit est activé par défaut une fois que vous avez activé l’audit pour votre organisation, comme décrit dans la section Avant d’effectuer la recherche dans le journal d’audit dans cet article.

Le service d’audit prend-il en charge la déduplication des enregistrements ?

Non. Le pipeline de service d’audit est quasiment en temps réel et ne peut donc pas prendre en charge la déduplication.

Où sont stockées les données d’audit ?

Nous avons actuellement des déploiements de pipeline d’audit dans les régions NA (Amérique du Nord), EMEA (Europe, Moyen-Orient et Afrique) et APAC (Asie-Pacifique). Les données d’audit des locataires hébergés dans ces régions sont stockées dans la région. Pour les client domiciliés dans de différentes régions, les données d'audit collectées de toutes les régions seront stockées uniquement dans la région du siège principal du client. Toutefois, il peut arriver que nous déplacions les données entre ces régions afin d’équilibrer la charge, uniquement lors de problèmes liés aux sites actifs. Lorsque nous effectuons ces activités, les données en transit sont chiffrées.

Les données d’audit sont-elles chiffrées ?

Les données d’audit sont stockées dans les boîtes aux lettres Exchange (données au repos) situées dans la même région où le pipeline unifié d’audit est déployé. Les données de boîte aux lettres au repos ne sont pas chiffrées par Exchange. Toutefois, le chiffrement de niveau service chiffre toutes les données de boîte aux lettres, car les serveurs Exchange dans les centres de données Microsoft sont chiffrés via BitLocker. Pour plus d’informations, voir Chiffrement Microsoft 365 pour Skype Entreprise, OneDrive Entreprise, SharePoint Online et Exchange Online.

Les données en transit sont toujours chiffrées.