Que sont les journaux d’audit Microsoft Entra ?
Les journaux d’activité Microsoft Entra incluent des journaux d’audit qui sont un rapport complet sur chaque événement journalisé dans Microsoft Entra ID. Les modifications apportées aux applications, aux groupes, aux utilisateurs et aux licences sont toutes capturées dans les journaux d’audit Microsoft Entra.
Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre locataire :
- Connexions : Informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
- Approvisionnement : Activités réalisées par le service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.
Cet article vous donne un aperçu des journaux d'audit, y compris ce qui est requis pour y accéder et les informations qu'ils fournissent.
Licences et rôles requis
Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.
| Journal / Rapport | Rôles | Licences |
|---|---|---|
| Audit | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général |
Toutes les éditions de Microsoft Entra ID |
| Connexions | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général |
Toutes les éditions de Microsoft Entra ID |
| Approvisionnement | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général Opérateur de sécurité Administrateur d’application Administrateur d’application cloud |
Microsoft Entra ID P1 ou P2 |
| Journaux d’audit des attributs de sécurité personnalisés* | Administrateur de journal d’attributs Lecteur du journal des attributs |
Toutes les éditions de Microsoft Entra ID |
| Utilisation et insights | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité |
Microsoft Entra ID P1 ou P2 |
| Protection des identités** | Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général |
Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2 |
| Journaux d’activité Microsoft Graph | Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante |
Microsoft Entra ID P1 ou P2 |
*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.
**Le niveau d’accès et les fonctionnalités de protection des identités varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour Identity Protection.
Que pouvez-vous faire avec les journaux d’audit ?
Les journaux d’audit dans Microsoft Entra ID fournissent l’accès aux enregistrements d’activité système, souvent nécessaires à la conformité. Vous pouvez obtenir des réponses aux questions relatives aux utilisateurs, aux groupes et aux applications.
Utilisateurs :
- Quels types de modifications ont été récemment appliquées aux utilisateurs ?
- Combien d’utilisateurs ont été modifiés ?
- Combien de mots de passe ont été modifiés ?
Groupes :
- Quels groupes ont été récemment ajoutés ?
- Les propriétaires du groupe ont-ils changé ?
- Quelles licences sont attribuées à un groupe ou à un utilisateur ?
Applications :
- Quelles applications ont été mises à jour ou supprimées ?
- Le principal de service d’une application a-t-il été modifié ?
- Les noms des applications ont-ils été modifiés ?
Attributs de sécurité personnalisés :
- Quelles modifications ont été apportées aux définitions d’attribut de sécurité personnalisé ou aux affectations ?
- Quelles mises à jour ont été apportées aux ensembles d’attribut ?
- Quelles valeurs d’attribut personnalisé ont été affectées à un utilisateur ?
Remarque
Les entrées des journaux d’audit sont générées par le système et ne peuvent être ni changées ni supprimées.
Que montrent les journaux ?
Les journaux d’audit ont par défaut la valeur d’onglet Répertoire qui affiche les informations suivantes :
- Date et heure de l’événement
- Service qui a enregistré l’occurrence
- Catégorie et nom de l’activité (laquelle)
- État de l’activité (réussite ou échec)
Un deuxième onglet pour Sécurité personnalisée affiche des journaux d’audit pour les attributs de sécurité personnalisés. Pour afficher des données sur cet onglet, vous devez avoir le rôle Administrateur du journal d’attributs ou Lecteur du journal d’attributs. Ce journal d’audit affiche toutes les activités liées aux attributs de sécurité personnalisés. Pour obtenir plus d’informations, consultez Que sont les attributs de sécurité personnalisés.
Journaux d’activité Microsoft 365
Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Bien que les journaux d’activité Microsoft 365 et Microsoft Entra partagent une grande partie des ressources du répertoire, seul le centre d’administration Microsoft 365 offre une vue complète des journaux d’activité Microsoft 365.
Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.
La plupart des abonnements Microsoft 365 autonomes ou regroupés ont des dépendances de serveur principal sur certains sous-systèmes au sein de la limite du datacenter Microsoft 365. Les dépendances requièrent une écriture différée des informations pour assurer la synchronisation des répertoires et permettre une intégration sans soucis dans un abonnement pour Exchange Online. Pour ces écritures différées, les entrées du journal d’audit affichent les actions prises par la « Gestion du substrat Microsoft ». Ces entrées du journal d’audit font référence aux opérations de création/mise à jour/suppression exécutées par Exchange Online pour Microsoft Entra ID. Les entrées sont fournies à titre d’information et ne nécessitent aucune action.