Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Les journaux d’activité Microsoft Entra incluent des journaux d’audit, qui constituent un rapport complet sur tous les événements enregistrés dans Microsoft Entra ID. Les modifications apportées aux applications, aux groupes, aux utilisateurs et aux licences sont toutes capturées dans les journaux d’audit Microsoft Entra.
Trois autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre locataire :
- Connexions : informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
- Inscriptions (préversion) : pour les locataires externes uniquement, des informations sur toutes les tentatives d’inscription en libre-service, y compris les inscriptions réussies et les tentatives ayant échoué.
- Provisionnement : Activités réalisées par le service de provisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.
Cet article vous offre une vue d’ensemble des journaux d’audit, notamment les informations qu’ils fournissent et les types de questions auxquelles ils peuvent répondre.
À quoi servent les journaux d’audit ?
Les journaux d’audit dans Microsoft Entra ID fournissent l’accès aux enregistrements d’activité système, souvent nécessaires à la conformité. Vous pouvez obtenir des réponses à des questions relatives aux utilisateurs, aux groupes et aux applications.
Utilisateurs :
- Quels types de modifications ont récemment été appliqués aux utilisateurs ?
- Combien d’utilisateurs ont été modifiés ?
- Combien de mots de passe ont été modifiés ?
Groupes :
- Quels groupes ont été récemment ajoutés ?
- Les propriétaires de groupe ont-ils été modifiés ?
- Que représentent les licences pour un groupe ou un utilisateur ?
Applications :
- Quelles applications ont été mises à jour ou supprimées ?
- Le principal de service d’une application a-t-il été modifié ?
- Les noms des applications ont-ils été modifiés ?
Attributs de sécurité personnalisés :
- Quelles modifications ont été apportées aux définitions ou aux attributions des attributs de sécurité personnalisés ?
- Quelles mises à jour ont été apportées aux ensembles d’attributs ?
- Quelles valeurs d’attribut personnalisées ont été attribuées à un utilisateur ?
Agents:
- Quelles opérations ont été effectuées par un agent spécifique ?
- Quelles modifications ont été apportées à un agent principal de service ?
- Quels détails d’un ID d’agent ont été modifiés ?
Note
Les entrées des journaux d’audit sont générées par le système et ne peuvent être ni modifiées, ni supprimées.
Que montrent les journaux ?
Les journaux d’audit affichent plusieurs détails précieux sur les activités de votre locataire. Les détails clés sont visibles en un clin d’œil dans le tableau, avec plus de détails disponibles en sélectionnant une entrée de journal spécifique. Le Centre d’administration Microsoft Entra est par défaut sur l’onglet du répertoire, qui affiche les informations suivantes :
- Date et heure de l’événement
- Service qui a enregistré l’occurrence
- Catégorie et nom de l’activité
- État de l’activité
En sélectionnant une entrée de journal spécifique, vous obtenez encore plus de détails, tels que :
- ID de corrélation pour la résolution des problèmes
- Détails sur l’acteur ou la ressource cible associée à l’activité
- Le cas échéant, les anciennes et nouvelles valeurs des propriétés modifiées
Note
Dans les détails du journal d’audit, l’adresse IP reflète l’adresse IP du client OAuth. L’adresse IP est l’homologue TCP du point de terminaison du service.
Un deuxième onglet intitulé Sécurité personnalisée affiche les journaux d’audit pour les attributs de sécurité personnalisés. Pour afficher les données de cet onglet, vous devez disposer du rôle Administrateur du journal des attributs ou Lecteur du journal des attributs. Ce journal d’audit affiche toutes les activités liées aux attributs de sécurité personnalisés. Pour plus d’informations, consultez En quoi consistent les attributs de sécurité personnalisés.
Pour obtenir la liste complète des activités d’audit disponibles, consultez informations de référence sur les activités d’audit.
Journaux d’activité Microsoft 365
Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Bien que les journaux d’activité Microsoft 365 et Microsoft Entra partagent une grande partie des ressources du répertoire, seul le centre d’administration Microsoft 365 offre une vue complète des journaux d’activité Microsoft 365.
Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.
La plupart des abonnements Microsoft 365 autonomes ou regroupés ont des dépendances de serveur principal sur certains sous-systèmes au sein de la limite du datacenter Microsoft 365. Les dépendances requièrent une écriture différée des informations pour assurer la synchronisation des répertoires et permettre une intégration sans soucis dans un abonnement pour Exchange Online. Pour ces écritures différées, les entrées du journal d’audit affichent les actions effectuées par « Microsoft Substrate Management ». Ces entrées de journal d’audit font référence aux opérations de création/mise à jour/suppression exécutées par Exchange Online vers l’ID Microsoft Entra. Les entrées sont fournies à titre d’information et ne nécessitent aucune action.
Contenu connexe
- informations de référence sur l’activité d’audit
- Accéder aux journaux d’activité
- Personnaliser et filtrer les journaux d’activité