Archiver les journaux et créer des rapports sur la gestion des droits d’utilisation dans Azure Monitor

Microsoft Entra ID stocke les événements d’audit pour la gestion des droits d’utilisation et d’autres fonctionnalités Gouvernance Microsoft Entra ID pendant 30 jours dans le journal d’audit. Toutefois, vous pouvez conserver les données d’audit pendant plus longtemps que la période de rétention par défaut, décrite dans Combien de temps l’ID Microsoft Entra stocke-t-elle les données de création de rapports ?, en l’acheminant vers un compte de stockage Azure ou à l’aide d’Azure Monitor. Vous pouvez ensuite utiliser des classeurs, ainsi que des rapports et des requêtes personnalisés sur ces données.

Cet article explique l'utilisation Azure Monitor pour la rétention des journaux d’audit. Pour conserver ou signaler des objets Microsoft Entra, tels que des utilisateurs ou des attributions de rôles d’application, consultez rapports personnalisés dans Azure Data Explorer (ADX) à l’aide de données de Microsoft Entra ID.

Configurer Microsoft Entra ID pour utiliser Azure Monitor

Avant d’utiliser les classeurs Azure Monitor, vous devez configurer Microsoft Entra ID pour envoyer une copie de ses journaux d’audit à Azure Monitor.

L’archivage des journaux d’audit Microsoft Entra nécessite d’avoir Azure Monitor dans un abonnement Azure. Vous pouvez en savoir plus sur les prérequis et les coûts estimés d’utilisation d’Azure Monitor dans les journaux d’activité Microsoft Entra dans Azure Monitor.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins. Vérifiez que vous avez accès au groupe de ressources contenant l’espace de travail Azure Monitor.

2. Accédez à Entra ID>Surveillance et santé>Paramètres de diagnostic.

3. Vérifiez s’il existe déjà un paramètre pour envoyer les journaux d’audit à cet espace de travail.

4. S’il n’existe pas encore de paramètre, sélectionnez Ajouter un paramètre de diagnostic. Utilisez les instructions de l’intégration des journaux Microsoft Entra aux journaux Azure Monitor pour envoyer le journal d’audit Microsoft Entra à l’espace de travail Azure Monitor.

   

5. Une fois le journal envoyé à Azure Monitor, sélectionnez espaces de travail Log Analytics, puis sélectionnez l’espace de travail qui contient les journaux d’audit Microsoft Entra.

6. Sélectionnez Utilisation et estimation des coûts , puis sélectionnez Rétention des données. Réglez le curseur sur le nombre de jours où vous souhaitez conserver les données pour satisfaire à vos exigences d’audit.

   

7. Plus tard, pour voir la plage de dates conservées dans votre espace de travail, vous pouvez utiliser le classeur Plage de dates du journal archivé :

   1. Accédez à Entra IDSurveillance & santéClasseurs.

   2. Développez la section Résolution des problèmes de Microsoft Entra, puis sélectionnez la plage de dates du journal archivé.

Visualiser les événements pour un package d’accès

Pour afficher les événements d’un package d’accès, vous devez avoir accès à l’espace de travail Azure Monitor sous-jacent (consultez Gérer l’accès aux données de journal et aux espaces de travail dans Azure Monitor pour plus d’informations) et dans l’un des rôles suivants :

• Administrateur général
• Administrateur de la sécurité
• Lecteur de sécurité
• Lecteur de rapports
• Administrateur d’application

Utilisez la procédure suivante pour voir les événements :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins. Vérifiez que vous avez accès au groupe de ressources contenant l’espace de travail Azure Monitor.

2. Accédez à Entra IDSurveillance & santéClasseurs.

3. Si vous avez plusieurs abonnements, sélectionnez l’abonnement qui contient l’espace de travail.

4. Une fois que vous avez sélectionné l’abonnement ou si vous n’avez qu’un seul abonnement, sélectionnez le classeur nommé Activité du package d’accès.

5. Dans ce classeur, sélectionnez un intervalle de temps (modifiez en Tout si vous n'êtes pas sûr), puis sélectionnez un ID de package d’accès dans la liste déroulante de tous les packages d’accès ayant une activité pendant cet intervalle de temps. Les événements liés au package d’accès et produits pendant l’intervalle de temps sélectionné s’affichent.

   

   Chaque ligne comprend l’heure, l’ID de package d’accès, le nom de l’opération, l’ID d’objet, l’UPN et le nom complet de l’utilisateur qui a démarré l’opération. Plus de détails sont inclus dans le JSON.

6. Si vous souhaitez voir s'il y a eu des modifications apportées aux attributions de rôles d'application pour une application, qui n'étaient pas dues à des attributions de droits d'accès, par exemple lorsqu'un Administrateur général affecte directement un utilisateur à un rôle d'application, vous pouvez sélectionner le classeur nommé Activité d'attribution de rôle d'application.

   

Créer des requêtes Azure Monitor personnalisées à l’aide du centre d’administration Microsoft Entra

Vous pouvez créer vos propres requêtes sur les événements d’audit Microsoft Entra, y compris les événements de gestion des droits d’utilisation.

1. Dans la section Identité du centre d'administration Microsoft Entra, sélectionnez Journaux sous la section Surveillance dans le menu de navigation de gauche afin de créer une nouvelle page de requête.

2. Votre espace de travail doit être affiché dans l’angle supérieur gauche de la page de requête. Si vous avez plusieurs espaces de travail Azure Monitor et que l’espace de travail que vous utilisez pour stocker les événements d’audit Microsoft Entra n’est pas affiché, sélectionnez Sélectionner l’étendue. Sélectionnez alors l’abonnement et l’espace de travail appropriés.

3. Ensuite, dans la zone de texte de requête, supprimez la chaîne « search * » et remplacez-la par la requête suivante :

   AuditLogs | where Category == "EntitlementManagement"
   

4. Sélectionnez Ensuite Exécuter.

   

Le tableau affiche par défaut les événements du journal d’audit pour la gestion des droits d’utilisation au cours de la dernière heure. Vous pouvez changer le paramètre « Plage horaire » pour voir des événements plus anciens. Toutefois, le changement de ce paramètre entraîne uniquement l’affichage des événements qui se sont produits après la configuration de Microsoft Entra ID pour l’envoi des événements à Azure Monitor.

Si vous souhaitez connaître les événements d’audit les plus anciens et les plus récents conservés dans Azure Monitor, utilisez la requête suivante :

AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type

Pour plus d’informations sur les colonnes stockées pour les événements d’audit dans Azure Monitor, consultez Interpréter le schéma des journaux d’audit Microsoft Entra dans Azure Monitor.

Créer des requêtes Azure Monitor personnalisées à l’aide d’Azure PowerShell

Vous pouvez accéder aux journaux au travers de PowerShell après avoir configuré Microsoft Entra ID pour envoyer les journaux à Azure Monitor. Ensuite, envoyez des requêtes à partir de scripts ou de la ligne de commande PowerShell, sans avoir besoin d’être Administrateur global du locataire.

S’assurer que l’utilisateur ou le principal de service dispose de l’attribution de rôle appropriée

Assurez-vous que vous, l’utilisateur ou le principal de service s’authentifiant auprès de Microsoft Entra ID, détenez le rôle Azure approprié dans l’espace de travail Log Analytics. Les options de rôle sont Lecteur Log Analytics et Contributeur Log Analytics. Si vous êtes déjà dans l’un de ces rôles, passez à Récupérer l’ID Log Analytics avec un abonnement Azure.

Pour définir l’attribution de rôle et créer une requête, effectuez les étapes suivantes :

1. Dans le Centre d’administration Microsoft Entra, recherchez l’espace de travail Log Analytics.

2. Sélectionnez Contrôle d’accès (IAM).

3. Sélectionnez Ensuite Ajouter pour ajouter une attribution de rôle.

   

Installer le module Azure PowerShell

Une fois que vous avez l’attribution de rôle appropriée, lancez PowerShell et installez le module Azure PowerShell (si ce n’est déjà fait), en tapant :

install-module -Name az -allowClobber -Scope CurrentUser

Vous êtes maintenant prêt à vous authentifier sur Microsoft Entra ID et à récupérer l’ID de l’espace de travail Log Analytics que vous interrogez.

Récupérer l’ID Log Analytics avec un abonnement Azure

Si vous avez un seul abonnement Azure et un seul espace de travail Log Analytics, tapez la commande suivante pour vous authentifier auprès de Microsoft Entra ID, vous connecter à cet abonnement et récupérer cet espace de travail :

Connect-AzAccount
$wks = Get-AzOperationalInsightsWorkspace

Récupérer l’ID Log Analytics avec plusieurs abonnements Azure

Get-AzOperationalInsightsWorkspace opère dans un abonnement à la fois. Par conséquent, si vous avez plusieurs abonnements Azure, vous devez vous assurer de vous connecter à celui qui dispose de l’espace de travail Log Analytics avec les journaux Microsoft Entra.

Les applets de commande suivantes affichent la liste des abonnements et recherchent l’ID de l’abonnement qui dispose de l’espace de travail Log Analytics :

Connect-AzAccount
$subs = Get-AzSubscription
$subs | ft

Vous pouvez réauthentifier votre session PowerShell et l’associer à cet abonnement à l’aide d’une commande telle que Connect-AzAccount –Subscription $subs[0].id. Pour en savoir plus sur l’authentification auprès d’Azure à partir de PowerShell, notamment de manière non interactive, consultez Se connecter avec Azure PowerShell.

Si vous avez plusieurs espaces de travail Log Analytics dans cet abonnement, l’applet de commande Get-AzOperationalInsightsWorkspace retourne la liste des espaces de travail. Vous trouverez ensuite celui qui contient les journaux d’activité Microsoft Entra. Le champ CustomerId retourné par cette cmdlet est identique à la valeur de l’« ID d’espace de travail » affichée dans le Centre d’administration Microsoft Entra, dans la vue d’ensemble de l’espace de travail Log Analytics.

$wks = Get-AzOperationalInsightsWorkspace
$wks | ft CustomerId, Name

Envoyer la requête à l’espace de travail Log Analytics

Enfin, une fois que vous avez identifié un espace de travail, vous pouvez utiliser Invoke-AzOperationalInsightsQuery pour envoyer une requête Kusto à cet espace de travail. Ces requêtes sont écrites dans le langage de requête Kusto.

Par exemple, vous pouvez récupérer la plage de dates des enregistrements d’événements d’audit à partir de l’espace de travail Log Analytics, avec les applets de commande PowerShell pour envoyer une requête comme suit :

$aQuery = "AuditLogs | where TimeGenerated > ago(3653d) | summarize OldestAuditEvent=min(TimeGenerated), NewestAuditEvent=max(TimeGenerated) by Type"
$aResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $aQuery
$aResponse.Results |ft

Vous pouvez également récupérer des événements de gestion des droits d’utilisation à l’aide d’une requête telle que :

$bQuery = 'AuditLogs | where Category == "EntitlementManagement"'
$bResponse = Invoke-AzOperationalInsightsQuery -WorkspaceId $wks[0].CustomerId -Query $Query
$bResponse.Results |ft 

Utilisation de filtres de requête

Vous pouvez inclure le champ TimeGenerated pour étendre une requête à un intervalle de temps particulier. Par exemple, si vous souhaitez récupérer les événements du journal d’audit pour des stratégies d’attribution de package d’accès de gestion des droits d’utilisation créées ou mises à jour au cours des 90 derniers jours, vous pouvez fournir une requête qui inclut ce champ ainsi que la catégorie et le type d’opération.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
project ActivityDateTime,OperationName, InitiatedBy, AdditionalDetails, TargetResources

Pour les événements d’audit de certains services tels que la gestion des droits d’utilisation, vous pouvez également développer et filtrer les propriétés affectées des ressources en cours de modification. Par exemple, vous pouvez afficher uniquement ces enregistrements du journal d’audit pour des stratégies d’attribution de package d’accès (en cours de création ou de mise à jour) qui ne nécessitent pas d’approbation pour l’ajout d’une affectation à des utilisateurs.

AuditLogs | 
where TimeGenerated > ago(90d) and Category == "EntitlementManagement" and Result == "success" and (AADOperationType == "CreateEntitlementGrantPolicy" or AADOperationType == "UpdateEntitlementGrantPolicy") | 
mv-expand TargetResources | 
where TargetResources.type == "AccessPackageAssignmentPolicy" | 
project ActivityDateTime,OperationName,InitiatedBy,PolicyId=TargetResources.id,PolicyDisplayName=TargetResources.displayName,MP1=TargetResources.modifiedProperties | 
mv-expand MP1 | 
where (MP1.displayName == "IsApprovalRequiredForAdd" and MP1.newValue == "\"False\"") |
order by ActivityDateTime desc 

Étapes suivantes

• Créer des rapports interactifs avec des classeurs Azure Monitor
• Créer des alertes personnalisées pour microsoft Entra ID Governance
• Rapports personnalisés dans Azure Data Explorer (ADX) à l’aide de données de Microsoft Entra ID