Partage via


Que sont les journaux d’audit Microsoft Entra ?

Les journaux d’activité Microsoft Entra incluent des journaux d’audit qui sont un rapport complet sur chaque événement journalisé dans Microsoft Entra ID. Les modifications apportées aux applications, aux groupes, aux utilisateurs et aux licences sont toutes capturées dans les journaux d’audit Microsoft Entra.

Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre client :

  • Connexions – Informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
  • Approvisionnement : Activités réalisées par le service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

Cet article vous donne un aperçu des journaux d’audit, y compris ce qui est requis pour y accéder et les informations qu’ils fournissent.

Licences et rôles requis

Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.

Journal / Rapport Rôles Licences
Journaux d’audit Lecteur de rapports
Lecteur de sécurité
Administrateur de la sécurité
Toutes les éditions de Microsoft Entra ID
Journaux de connexion Lecteur de rapports
Lecteur de sécurité
Administrateur de la sécurité
Toutes les éditions de Microsoft Entra ID
Journaux de mise en service Lecteur de rapports
Lecteur de sécurité
Administrateur d’application
Administrateur d’application cloud
Microsoft Entra ID P1 ou P2
Journaux d’audit des attributs de sécurité personnalisés* Administrateur de journal d’attributs
Lecteur de journal d’attributs
Toutes les éditions de Microsoft Entra ID
Intégrité Lecteur de rapports
Lecteur de sécurité
Administrateur du support technique
Microsoft Entra ID P1 ou P2
Microsoft Entra ID Protection** Administrateur de la sécurité
Opérateur de sécurité
Lecteur de sécurité
Lecteur général
Microsoft Entra ID Gratuit
Microsoft 365 Apps
Microsoft Entra ID P1 ou P2
Journaux d’activité Microsoft Graph Administrateur de la sécurité
Autorisations d’accès aux données dans la destination de journal correspondante
Microsoft Entra ID P1 ou P2
Utilisation et insights Lecteur de rapports
Lecteur de sécurité
Administrateur de la sécurité
Microsoft Entra ID P1 ou P2

*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.

**Le niveau d’accès et les fonctionnalités de Protection des ID Microsoft Entra varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour ID Protection.

Que pouvez-vous faire avec les journaux d’audit ?

Les journaux d’audit dans Microsoft Entra ID fournissent l’accès aux enregistrements d’activité système, souvent nécessaires à la conformité. Vous pouvez obtenir des réponses aux questions relatives aux utilisateurs, aux groupes et aux applications.

Utilisateurs :

  • Quels types de modifications ont été récemment appliquées aux utilisateurs ?
  • Combien d’utilisateurs ont été modifiés ?
  • Combien de mots de passe ont été modifiés ?

Groupes :

  • Quels groupes ont été récemment ajoutés ?
  • Les propriétaires du groupe ont-ils changé ?
  • Quelles licences sont attribuées à un groupe ou à un utilisateur ?

Applications :

  • Quelles applications ont été mises à jour ou supprimées ?
  • Le principal de service d’une application a-t-il été modifié ?
  • Les noms des applications ont-ils été modifiés ?

Attributs de sécurité personnalisés :

  • Quelles modifications ont été apportées aux définitions d’attribut de sécurité personnalisé ou aux affectations ?
  • Quelles mises à jour ont été apportées aux ensembles d’attribut ?
  • Quelles valeurs d’attribut personnalisé ont été affectées à un utilisateur ?

Remarque

Les entrées des journaux d’audit sont générées par le système et ne peuvent être ni changées ni supprimées.

Que montrent les journaux ?

Les journaux d’audit ont par défaut la valeur d’onglet Annuaire qui affiche les informations suivantes :

  • Date et heure de l’événement
  • Service qui a enregistré l’occurrence
  • Catégorie et nom de l’activité (laquelle)
  • État de l’activité (réussite ou échec)

Un deuxième onglet pour Sécurité personnalisée affiche des journaux d’audit pour les attributs de sécurité personnalisés. Pour afficher des données sur cet onglet, vous devez avoir le rôle Administrateur du journal d’attributs ou Lecteur du journal d’attributs. Ce journal d’audit affiche toutes les activités liées aux attributs de sécurité personnalisés. Pour obtenir plus d’informations, consultez Que sont les attributs de sécurité personnalisés.

Capture d’écran des journaux d’audit, avec les onglets Annuaire et Sécurité personnalisée mis en surbrillance.

Journaux d’activité Microsoft 365

Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Bien que les journaux d’activité Microsoft 365 et Microsoft Entra partagent une grande partie des ressources de l’annuaire, seul le centre d’administration Microsoft 365 offre une vue complète des journaux d’activité Microsoft 365.

Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.

La plupart des abonnements Microsoft 365 autonomes ou regroupés ont des dépendances de serveur principal sur certains sous-systèmes au sein de la limite du datacenter Microsoft 365. Les dépendances requièrent une écriture différée des informations pour assurer la synchronisation des annuaires et permettre une intégration sans soucis dans un abonnement pour Exchange Online. Pour ces écritures différées, les entrées du journal d’audit affichent les actions prises par la « Gestion du substrat Microsoft ». Ces entrées du journal d’audit font référence aux opérations de création/mise à jour/suppression exécutées par Exchange Online pour Microsoft Entra ID. Les entrées sont fournies à titre d’information et ne nécessitent aucune action.