Partage via


Comment personnaliser et filtrer les journaux d’activité d’identité

Les journaux de connexion sont un outil couramment utilisé pour résoudre les problèmes d’accès utilisateur et examiner l’activité de connexion risquée. Les journaux d’audit collectent tous les événements enregistrés dans Microsoft Entra ID et peuvent être utilisés pour enquêter sur les modifications apportées à votre environnement. Vous pouvez choisir parmi plus de 30 colonnes pour personnaliser votre affichage des journaux de connexion dans le centre d’administration Microsoft Entra. Les journaux d’audit et les journaux d’approvisionnement peuvent également être personnalisés et filtrés en fonction de vos besoins.

Cet article vous montre comment personnaliser les colonnes, puis filtrer les journaux pour trouver plus efficacement les informations dont vous avez besoin.

Prérequis

Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro. Pour obtenir la liste complète des rôles, consultez Rôles avec privilèges minimum par tâche.

Journal / Rapport Rôles Licences
Journaux d’audit Lecteur de rapports
Lecteur de sécurité
Administrateur de la sécurité
Toutes les éditions de Microsoft Entra ID
Journaux de connexion Lecteur de rapports
Lecteur de sécurité
Administrateur de la sécurité
Toutes les éditions de Microsoft Entra ID
Journaux de mise en service Lecteur de rapports
Lecteur de sécurité
Administrateur d’application
Administrateur d’application cloud
Microsoft Entra ID P1 ou P2
Journaux d’audit des attributs de sécurité personnalisés* Administrateur de journal d’attributs
Lecteur de journal d’attributs
Toutes les éditions de Microsoft Entra ID
Intégrité Lecteur de rapports
Lecteur de sécurité
Administrateur du support technique
Microsoft Entra ID P1 ou P2
Microsoft Entra ID Protection** Administrateur de la sécurité
Opérateur de sécurité
Lecteur de sécurité
Lecteur général
Microsoft Entra ID Gratuit
Microsoft 365 Apps
Microsoft Entra ID P1 ou P2
Journaux d’activité Microsoft Graph Administrateur de la sécurité
Autorisations d’accès aux données dans la destination de journal correspondante
Microsoft Entra ID P1 ou P2
Utilisation et insights Lecteur de rapports
Lecteur de sécurité
Administrateur de la sécurité
Microsoft Entra ID P1 ou P2

*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.

**Le niveau d’accès et les fonctionnalités de Microsoft Entra ID Protection varient en fonction du rôle et de la licence. Pour plus d’informations, consultez Exigences de licence pour ID Protection.

Comment accéder aux journaux d’activité dans le centre d’administration Microsoft Entra

Vous pouvez toujours accéder à votre propre historique de connexions sur https://mysignins.microsoft.com. Vous pouvez également accéder aux journaux de connexion à partir des applications Utilisateurs et applications d’Entreprise dans Microsoft Entra ID.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant que Lecteur de rapports.
  2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.

Grâce aux informations contenues dans les journaux d’audit Microsoft Entra, vous pouvez accéder à tous les enregistrements des activités du système à des fins de conformité. Les journaux d’audit sont accessibles à partir de la section Surveillance et santé de Microsoft Entra ID, où vous pouvez trier et filtrer chaque catégorie et activité. Vous pouvez également accéder aux journaux d’audit dans la zone du centre d’administration du service sur lequel vous enquêtez.

Capture d’écran de l’option Journaux d’audit dans le menu latéral.

Par exemple, si vous recherchez des modifications apportées aux groupes Microsoft Entra, vous pouvez accéder aux journaux d’audit à partir des groupes>de Microsoft Entra ID. Lorsque vous accédez aux journaux d’audit à partir du service, le filtre est automatiquement ajusté en fonction du service.

Capture d’écran de l’option Journaux d’audit à partir du menu Groupes.

Personnaliser la disposition des journaux d’audit

Vous pouvez personnaliser les colonnes des journaux d’audit pour afficher uniquement les informations dont vous avez besoin. Les colonnes Service, Catégorie et Activité étant liées les unes aux autres, ces colonnes doivent toujours être visibles.

Capture d’écran du bouton Colonnes sur les journaux d’audit.

Filtrer les journaux d’audit

Lorsque vous filtrez les journaux par Service, les détails de Catégorie et Activité changent automatiquement. Dans certains cas, il peut n’y avoir qu’une seule catégorie ou activité. Pour obtenir un tableau détaillé de toutes les combinaisons potentielles de ces détails, consultez Activités d’audit.

Capture d’écran du filtre du journal d’audit avec l’accès conditionnel en tant que service.

  • Service : pour tous les services disponibles par défaut, mais vous pouvez filtrer la liste sur un ou plusieurs services en sélectionnant une option dans la liste déroulante.

  • Catégorie : par défaut, toutes les catégories, mais peut être filtrée pour afficher la catégorie d’activité, comme la modification d’une stratégie ou l’activation d’un rôle Microsoft Entra éligible.

  • Activité : basé sur la catégorie et le type de ressource d’activité que vous choisissez. Vous pouvez sélectionner une activité spécifique que vous souhaitez voir ou toutes les choisir.

    Vous pouvez récupérer la liste de toutes les activités d’audit en utilisant l’API Microsoft Graph : https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • État : vous permet d’examiner le résultat en fonction de la réussite ou de l’échec de l’activité.

  • Cible : vous permet de rechercher la cible ou le destinataire d’une activité. Effectuez une recherche par les premières lettres d’un nom ou d’un nom d’utilisateur principal (UPN). Le nom et le nom d’utilisateur principal cibles sont sensibles à la casse.

  • Initié par : vous permet de rechercher en fonction de qui a initié l’activité à l’aide des premières lettres de son nom ou UPN. Le nom et l’UPN sont sensibles à la casse.

  • Plage de dates : vous permet de définir un intervalle de temps pour les données renvoyées. Vous pouvez rechercher sur les 7 derniers jours, sur les dernières 24 heures ou sur une plage personnalisée. Lorsque vous sélectionnez une plage personnalisée, vous pouvez configurer une heure de début et une heure de fin.

Étapes suivantes