Comment accéder aux journaux d'activité dans Microsoft Entra ID

Les données collectées dans vos journaux Microsoft Entra vous permettent d'évaluer de nombreux aspects de votre client Microsoft Entra. Pour couvrir un large éventail de scénarios, Microsoft Entra ID vous propose plusieurs options pour accéder aux données de votre journal d'activité. En tant qu’administrateur informatique, vous devez comprendre les cas d’utilisation prévus pour ces options, afin de pouvoir sélectionner la méthode d’accès adaptée à votre scénario.

Vous pouvez accéder aux journaux et rapports d'activité Microsoft Entra à l'aide des méthodes suivantes :

• Diffuser en continu les journaux d’activité vers un Event Hub pour l’intégrer à d’autres outils
• Accéder aux journaux d’activité via l’API Microsoft Graph
• Intégrer les journaux d’activité aux journaux d’activité Azure Monitor
• Superviser l’activité en temps réel avec Microsoft Sentinel
• Afficher les journaux d’activité et les rapports dans le Portail Azure
• Exporter les journaux d’activité pour le stockage et les requêtes

Chacune de ces méthodes vous offre des fonctionnalités qui peuvent correspondre à certains scénarios. Cet article décrit ces scénarios, y compris des recommandations et des détails sur les rapports associés qui utilisent les données dans les journaux d’activité. Explorez les options de cet article pour en savoir plus sur ces scénarios afin de pouvoir choisir la bonne méthode.

Prérequis

Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.

Journal / Rapport	Rôles	Licences
Audit	Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général	Toutes les éditions de Microsoft Entra ID
Connexions	Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général	Toutes les éditions de Microsoft Entra ID
Approvisionnement	Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général Opérateur de sécurité Administrateur d’application Administrateur d’application cloud	Microsoft Entra ID P1 ou P2
Journaux d’audit des attributs de sécurité personnalisés*	Administrateur de journal d’attributs Lecteur du journal des attributs	Toutes les éditions de Microsoft Entra ID
Utilisation et insights	Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité	Microsoft Entra ID P1 ou P2
Protection des identités**	Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général	Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2
Journaux d’activité Microsoft Graph	Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante	Microsoft Entra ID P1 ou P2

*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.

**Le niveau d’accès et les fonctionnalités de protection des identités varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour Identity Protection.

Les journaux d’audit sont disponibles pour les fonctionnalités que vous avez sous licence. Pour accéder aux journaux de connexion à l’aide de l’API Microsoft Graph, votre locataire doit disposer d’une licence Microsoft Entra ID P1 ou P2 qui lui est associée.

Diffuser les journaux vers un Event Hub pour l’intégrer aux outils SIEM

La diffusion en continu de vos journaux d’activité vers un Event Hub est nécessaire pour intégrer vos journaux d’activité aux outils SIEM (Security Information and Event Management), tels que Splunk et SumoLogic. Avant de pouvoir diffuser des journaux vers un Event Hub, vous devez configurer un espace de noms Event Hubs et un Event Hub dans votre abonnement Azure.

Utilisations recommandées

Les outils SIEM que vous pouvez intégrer à votre Event Hub peuvent fournir des fonctionnalités d’analyse et de supervision. Si vous utilisez déjà ces outils pour ingérer des données provenant d’autres sources, vous pouvez diffuser en continu vos données d’identité pour une analyse et une supervision plus complètes. Nous vous recommandons de diffuser en continu vos journaux d’activité vers un Event Hub pour les types de scénarios suivants :

• Si vous avez besoin d’une plateforme de diffusion en continu Big Data et d’un service d’ingestion d’événements pour recevoir et traiter des millions d’événements par seconde.
• Si vous souhaitez transformer et stocker des données à l’aide d’un fournisseur d’analytique en temps réel ou adaptateur de stockage/traitement par lot.

Procédure rapide

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
2. Créez un espace de noms Event Hubs et un hub d’événements.
3. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
4. Choisissez les journaux que vous souhaitez diffuser en continu, sélectionnez l’option Diffuser vers un hub d’événements, puis renseignez les champs.
   • Configurer un espace de noms Event Hubs et un Event Hub
   • En savoir plus sur la diffusion en continu des journaux d’activité vers un Event Hub

Votre fournisseur de sécurité indépendant doit vous fournir des instructions sur la façon d’ingérer des données à partir d’Azure Event Hubs dans leur outil.

Accéder aux journaux avec l’API Microsoft Graph

L'API Microsoft Graph fournit un modèle de programmabilité unifié que vous pouvez utiliser pour accéder aux données de vos locataires Microsoft Entra ID P1 ou P2. Elle n’a pas besoin d’un administrateur ni d’un développeur pour configurer une infrastructure supplémentaire afin de prendre en charge votre script ou votre application.

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

Utilisations recommandées

À l’aide de l’Afficheur Microsoft Graph, vous pouvez exécuter des requêtes pour vous aider dans les types de scénarios suivants :

• Afficher les activités du locataire telles que l’utilisateur qui a apporté une modification à un groupe et quand.
• Marquez un événement de connexion Microsoft Entra comme sûr ou confirmé compromis.
• Récupérer la liste des connexions d’application au cours des 30 derniers jours.

Remarque

Microsoft Graph vous permet d’accéder aux données de plusieurs services qui imposent leurs propres limitations. Pour plus d’informations sur la limitation des journaux d’activité, consultez Limites de limitation spécifiques au service Microsoft Graph.

Procédure rapide

1. Configurer les conditions préalables.
2. Connectez-vous à l’explorateur graphique.
3. Définissez la méthode HTTP et la version de l’API.
4. Ajoutez une requête, puis sélectionnez le bouton Exécuter la requête.
   • Se familiariser avec les propriétés Microsoft Graph pour les audits d’annuaire
   • Suivre le guide de démarrage rapide MS Graph

Intégrer des journaux aux journaux Azure Monitor

Avec l’intégration des journaux Azure Monitor, vous pouvez activer des visualisations enrichies, la supervision et des alertes sur les données connectées. Log Analytics offre des fonctionnalités améliorées de requête et d'analyse pour les journaux d'activité Microsoft Entra. Pour intégrer les journaux d’activité Microsoft Entra aux journaux Azure Monitor, vous avez besoin d’un espace de travail Log Analytics. À partir de là, vous pouvez exécuter des requêtes via Log Analytics.

Utilisations recommandées

L'intégration des journaux Microsoft Entra aux journaux Azure Monitor fournit un emplacement centralisé pour interroger les journaux. Nous vous recommandons d'intégrer les journaux à Azure Monitor pour les types de scénarios suivants :

• Comparez les journaux de connexion Microsoft Entra avec les journaux publiés par d’autres services Azure.
• Mettre en corrélation les journaux de connexion avec Azure Application Insights.
• Interroger les journaux à l’aide de paramètres de recherche spécifiques.

Procédure rapide

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
2. Créez un espace de travail Log Analytics.
3. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
4. Choisissez les journaux que vous souhaitez diffuser, sélectionnez l’option Envoyer à l’espace de travail Log Analytics et renseignez les champs.
5. Accédez à Identité>Surveillance et intégrité>Log Analytics et commencez à interroger les données.
   • Intégrer les journaux Microsoft Entra aux journaux Azure Monitor
   • Découvrir comment effectuer des requêtes à l’aide de Log Analytics

Superviser les événements avec Microsoft Sentinel

L’envoi de journaux de connexion et d’audit à Microsoft Sentinel fournit à votre centre des opérations de sécurité la chasse aux menaces et la détection de sécurité en quasi-temps réel. L’expression chasse aux menaces fait référence à une approche proactive visant à améliorer la sécurité de votre environnement. Contrairement à une protection classique, la chasse aux menaces tente d’identifier de manière proactive des menaces potentielles susceptibles de nuire à votre système. Les données de votre journal d’activité peuvent faire partie de votre solution de chasse aux menaces.

Utilisations recommandées

Nous vous recommandons d’utiliser les fonctionnalités de détection de sécurité en temps réel de Microsoft Sentinel si votre organisation a besoin d’analytique de sécurité et de veille des menaces. Utilisez Microsoft Sentinel si vous devez :

• Collecter des données de sécurité au sein de votre entreprise.
• Détecter les menaces avec une veille des menaces élargie.
• Examiner les incidents critiques à l’aide de l’IA.
• Réagir rapidement et automatiser la protection.

Procédure rapide

1. Découvrez les composants requis, les rôles et les autorisations.
2. Estimez les coûts potentiels.
3. Intégrez à Microsoft Sentinel.
4. Collecter les données Microsoft Entra.
5. Commencez à repérer les menaces.

Afficher les journaux via le centre d'administration Microsoft Entra

Pour les enquêtes ponctuelles de portée limitée, le centre d’administration Microsoft Entra constitue souvent le moyen le plus simple de trouver les données dont vous avez besoin. L’interface utilisateur vous offre des options de filtre qui vous permettent de trouver les entrées dont vous avez besoin pour résoudre votre scénario.

Les données capturées dans les journaux d'activité Microsoft Entra sont utilisées dans de nombreux rapports et services. Vous pouvez consulter les journaux de connexion, d’audit et d’approvisionnement pour des scénarios ponctuels, ou utiliser les rapports pour identifier les schémas et les tendances. Les données des journaux d'activité aident à alimenter les rapports de protection de l'identité, qui fournissent des détections de risques liés à la sécurité des informations que Microsoft Entra ID peut détecter et générer des rapports. Les journaux d'activité Microsoft Entra alimentent également les rapports d'utilisation et d'informations, qui fournissent des détails sur l'utilisation des applications de votre locataire.

Utilisations recommandées

Les rapports disponibles dans le portail Azure fournissent un large éventail de fonctionnalités pour superviser les activités et l’utilisation dans votre locataire. La liste suivante d’utilisations et de scénarios n’est pas exhaustive. Explorez donc les rapports correspondant à vos besoins.

• Effectuez des recherches sur l’activité de connexion d’un utilisateur ou suivez l’utilisation d’une application.
• Passez en revue les détails des modifications de nom de groupe, des inscriptions d’appareils et des réinitialisations de mot de passe avec les journaux d’audit.
• Utilisez les rapports Identity Protection pour superviser les utilisateurs à risque, les identités de charge de travail à risque et les connexions risquées.
• Vous pouvez consulter le taux de réussite de connexion dans le rapport d'activité de l'application Microsoft Entra (préversion) à partir de Utilisation et informations pour garantir que vos utilisateurs peuvent accéder aux applications utilisées dans votre locataire.
• Comparez les différentes méthodes d’authentification que vos utilisateurs préfèrent avec le rapport Méthodes d’authentification d’Utilisation et insights.

Procédure rapide

Suivez les étapes de base suivantes pour accéder aux rapports dans le centre d'administration Microsoft Entra.

Journaux d’activité Microsoft Entra

1. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.
2. Ajustez le filtre en fonction de vos besoins.
   • Découvrir comment filtrer les journaux d’activité
   • Explorez les catégories et activités du journal d’audit Microsoft Entra
   • En savoir plus sur les informations de base dans les journaux de connexion Microsoft Entra

Il est possible d’accéder aux journaux d’audit directement depuis la zone du Centre d’administration Microsoft Entra dans laquelle vous travaillez. Par exemple, si vous êtes dans la section Groupes ou Licences de Microsoft Entra ID, vous pouvez accéder aux journaux d’audit pour ces activités spécifiques directement à partir de cette zone. Lorsque vous accédez aux journaux d’audit de cette façon, les catégories de filtre sont automatiquement définies. Si vous êtes dans des groupes, la catégorie de filtre du journal d’audit est définie sur GroupManagement.

Rapports Microsoft Entra ID Protection

1. Accédez à Protection>Protection des identités.
2. Explorez les rapports disponibles.
   • En savoir plus sur Identity Protection
   • Découvrir comment examiner les risques

Rapports d’Utilisation et insights

1. Accédez à Identité>Surveillance et intégrité>Utilisation et insights.
2. Explorez les rapports disponibles.
   • En savoir plus sur le rapport Utilisation et insights

Exporter des journaux pour le stockage et les requêtes

La solution appropriée pour votre stockage à long terme dépend de votre budget et de ce que vous prévoyez de faire avec les données. Vous avez trois options :

• Archiver les journaux dans le stockage Azure
• Télécharger les journaux pour stockage manuel
• Intégrer les journaux aux journaux Azure Monitor

Stockage Azure est la solution qui vous convient si vous n’envisagez pas d’interroger vos données souvent. Pour plus d’informations, consultez Archiver des journaux d’annuaire dans un compte de stockage.

Si vous envisagez d’interroger fréquemment les journaux afin de générer des rapports ou des analyses sur les journaux stockés, vous devez intégrer vos données aux journaux Azure Monitor.

Si votre budget est étroit et que vous avez besoin d’une méthode peu coûteuse pour créer une sauvegarde à long terme de vos journaux d’activité, vous pouvez télécharger manuellement vos journaux. L’interface utilisateur des journaux d’activité dans le portail vous offre la possibilité de télécharger les données au format JSON ou CSV. Un inconvénient du téléchargement manuel est qu’il nécessite davantage d’interaction manuelle. Si vous recherchez une solution plus professionnelle, utilisez Stockage Azure ou Azure Monitor.

Utilisations recommandées

Nous vous recommandons de configurer un compte de stockage pour archiver vos journaux d’activité pour les scénarios de gouvernance et de conformité où un stockage à long terme est nécessaire.

Si vous souhaitez un stockage à long terme et que vous souhaitez exécuter des requêtes sur les données, consultez la section sur l’intégration de vos journaux d’activité avec les journaux Azure Monitor.

Nous vous recommandons de télécharger et de stocker manuellement vos journaux d’activité en cas de contraintes budgétaires.

Procédure rapide

Utilisez les étapes de base suivantes pour archiver ou télécharger vos journaux d’activité.

Archiver les journaux d’activité dans un compte de stockage

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.
2. Créez un compte de stockage.
3. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
4. Choisissez les journaux que vous souhaitez diffuser, sélectionnez l’option Archiver dans un compte de stockage, puis renseignez les champs.
   • Passer en revue les stratégies de conservation des données

Télécharger manuellement des journaux d’activité

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux de provisionnement dans le menu Surveillance.
3. Sélectionnez Télécharger.
   • En savoir plus sur le téléchargement des journaux.

Étapes suivantes

• Transmettre en continu des journaux d’activité vers un hub d’événements
• Archiver les journaux dans un compte de stockage
• Intégrer des journaux aux journaux Azure Monitor