Utiliser les journaux d’audit pour suivre et surveiller les événements dans Microsoft Intune

Dans Microsoft Intune, il existe des journaux d’audit qui incluent un enregistrement des activités qui génèrent une modification. Par exemple, les actions créer, mettre à jour (modifier), supprimer, attribuer et à distance créent des événements d’audit.

Les administrateurs peuvent consulter les journaux d’audit pour suivre et surveiller les événements de la plupart des charges de travail Intune. L’audit est activé pour tous les clients. Elle ne peut pas être désactivée.

Qui peut accéder aux données ?

Les utilisateurs disposant des autorisations suivantes peuvent consulter les journaux d’audit :

• Rôle Microsoft Entra Administrateur Intune
• Administrateurs affectés à un rôle Intune avec les autorisationsde lecturedes données - d’audit. Pour obtenir la liste des rôles Intune intégrés qui disposent de cette autorisation, accédez à Autorisations de rôle intégrées pour Microsoft Intune.

Afficher les journaux d’audit

Vous pouvez consulter les journaux d’audit dans le groupe de surveillance pour chaque charge de travail Intune, comme la conformité ou l’accès conditionnel.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Sélectionnez Administration> du locataireJournaux d’audit.

3. Une liste des journaux d’activité s’affiche. Sélectionnez un journal dans la liste pour afficher les détails de l’activité.

4. S’il existe de nombreux journaux, vous pouvez :

   1. Sélectionnez Date et entrez une date de début et de fin. Cette plage de dates peut afficher les journaux du mois, de la semaine ou du jour précédent.

      

   2. Sélectionnez Ajouter une catégorie de filtres>. Sélectionnez une catégorie dans la liste, comme Conformité, Appareil ou Rôle. Ensuite, sélectionnez Appliquer.

   3. Sélectionnez Ajouter une activité de filtres>. Les options disponibles dépendent de la catégorie que vous sélectionnez. Ensuite, sélectionnez Appliquer.

      Par exemple, si vous sélectionnez la catégorie Conformité , vos options de filtre d’activité ressemblent à l’image suivante :

      

Pour obtenir des informations connexes sur les journaux d’audit, accédez à :

• Stockage et traitement des données dans Intune
• Utiliser les journaux d’audit dans Intune
• Auditer, exporter ou supprimer des données personnelles dans Intune

Acheminer les journaux vers Azure Monitor

Les journaux d’audit et les journaux opérationnels peuvent également être routés vers Azure Monitor. Dans le Centre d’administration Intune, sélectionnez Administration >du locataireJournaux d’audit>Exporter :

Lors de l’exportation, un .csv fichier est créé et enregistré localement, éventuellement dans C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.

Lorsque vous examinez le .csv fichier :

• Initié par (acteur) inclut des informations sur qui a exécuté la tâche et où elle a été exécutée.

  Par exemple, si vous exécutez l’activité dans Intune dans le portail Azure, l’application répertorie toujours l’extension du portail Microsoft Intune, et l’ID d’application utilise toujours le même GUID.

• La section Cible(s) répertorie plusieurs cibles et les propriétés qui ont été modifiées.

Pour plus d’informations sur cette fonctionnalité, y compris les conditions préalables, accédez à Envoyer des données de journal au stockage, aux hubs d’événements ou aux analytique de journal.

Utiliser l’API Graph pour récupérer des événements d’audit

Vous pouvez également utiliser l’API Graph pour obtenir un an d’événements d’audit. Pour plus d’informations, accédez à Liste auditEvents.

Articles connexes

• Envoyer des données de journal au stockage, aux hubs d’événements ou aux analytique
• Consulter les journaux de la protection des applications clientes