Journaux d’audit dans Azure Active Directory

Les journaux d’activité Azure Active Directory (Azure AD) incluent des journaux d’audit, qui sont un rapport complet sur chaque événement journalisé dans Azure AD. Les modifications apportées aux applications, aux groupes, aux utilisateurs et aux licences sont toutes capturées dans les journaux d’audit Azure AD.

Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre locataire :

  • Connexions : Informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
  • Approvisionnement : Activités réalisées par le service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

Cet article présente une vue d’ensemble des journaux d’audit.

Qu’est-ce que c’est ?

Les journaux d’audit dans Azure AD fournissent l’accès aux enregistrements d’activité système, souvent nécessaires à la conformité. Ce journal est classé par utilisateur, groupe et gestion des applications.

L’affichage centré sur l’utilisateur vous permet d’obtenir des réponses à des questions, telles que :

  • Quels types de mises à jour ont été appliqués aux utilisateurs ?

  • Combien d’utilisateurs ont été modifiés ?

  • Combien de mots de passe ont été modifiés ?

  • Qu’a fait un administrateur dans un répertoire ?

L’affichage centré sur les groupes vous permet d’obtenir des réponses à des questions, telles que :

  • Quels sont les groupes qui ont été ajoutés ?

  • Existe-t-il des groupes comportant des modifications d’adhésion ?

  • Les propriétaires de groupe ont-ils été modifiés ?

  • Quelles licences ont été attribuées à un groupe ou un utilisateur ?

L’affichage basé sur les applications vous permet d’obtenir des réponses à des questions telles que :

  • Quelles applications ont été ajoutées ou mises à jour ?

  • Quelles applications ont été supprimées ?

  • Le principal de service d’une application a-t-il été modifié ?

  • Les noms des applications ont-ils été modifiés ?

  • Qui a donné son consentement à une application ?

Comment y accéder ?

Le rapport d’activité d’audit est disponible dans toutes les éditions d’Azure AD. Pour accéder aux journaux d’audit, vous devez disposer d’un des rôles suivants :

  • Lecteur de rapport
  • Lecteur de sécurité
  • Security Administrator
  • Lecteur général
  • Administrateur général

Connectez-vous au portail Azure et accédez à Azure AD, puis sélectionnez Journal d’audit dans la section Surveillance.

Vous pouvez également accéder au journal d’audit par le biais de l’API Microsoft Graph.

Que montrent les journaux ?

Les journaux d’audit ont un affichage de liste par défaut qui présente :

  • Date et heure de l’événement
  • Service qui a enregistré l’occurrence
  • Catégorie et nom de l’activité (laquelle)
  • État de l’activité (réussite ou échec)
  • Cible
  • L’initiateur/acteur d’une activité (qui)

Vous pouvez personnaliser et filtrer la vue en liste en cliquant sur le bouton Colonnes de la barre d’outils. La modification des colonnes vous permet d’ajouter ou de supprimer des champs de votre vue.

Capture d’écran des champs disponibles.

Filtrage des journaux d’audit

Vous pouvez filtrer les données d’audit à l’aide des options visibles dans votre liste, comme la plage de dates, le service, la catégorie et l’activité.

Capture d’écran du filtre de service.

  • Service : pour tous les services disponibles par défaut, mais vous pouvez filtrer la liste sur un ou plusieurs services en sélectionnant une option dans la liste déroulante.

  • Catégorie : la liste affiche toutes les catégories par défaut, mais peut être filtrée pour afficher la catégorie d’activité, comme la modification d’une stratégie ou l’activation d’un rôle Azure AD éligible.

  • Activité : basé sur la catégorie et le type de ressource d’activité que vous choisissez. Vous pouvez sélectionner une activité spécifique que vous souhaitez voir ou toutes les choisir.

    Vous pouvez récupérer la liste de toutes les activités d’audit en utilisant l’API Graph : https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • État : vous permet d’examiner le résultat en fonction de la réussite ou de l’échec de l’activité.

  • Cible : vous permet de rechercher la cible ou le destinataire d’une activité. Effectuez une recherche par les premières lettres d’un nom ou d’un nom d’utilisateur principal (UPN). Le nom et le nom d'utilisateur principal cibles sont sensibles à la casse.

  • Initié par : vous permet de rechercher en fonction de qui a initié l’activité à l’aide des premières lettres de son nom ou UPN. Le nom et le nom d'utilisateur principal sont sensibles à la casse.

  • Plage de dates : vous permet de définir un intervalle de temps pour les données renvoyées. Vous pouvez rechercher sur les 7 derniers jours, 24 heures ou une plage personnalisée. Lorsque vous sélectionnez une plage personnalisée, vous pouvez configurer une heure de début et une heure de fin.

    Vous pouvez également télécharger les données filtrées, jusqu’à 250 000 enregistrements, en sélectionnant le bouton Télécharger. Vous pouvez télécharger les journaux d’activité au format CSV ou JSON. Le nombre d’enregistrements que vous pouvez télécharger est limité par les stratégies de rétention de rapport Azure Active Directory.

    Capture d’écran de l’option de téléchargement de données.

Journaux d’activité Microsoft 365

Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Bien que les journaux d’activité Microsoft 365 et Azure AD partagent une grande partie des ressources du répertoire, seul le centre d’administration Microsoft 365 offre une vue complète des journaux d’activité Microsoft 365.

Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.

Notes

La plupart des abonnements Microsoft 365 autonomes ou regroupés ont des dépendances de serveur principal sur certains sous-systèmes au sein de la limite du datacenter Microsoft 365. Les dépendances requièrent une écriture différée des informations pour assurer la synchronisation des répertoires et permettre une intégration sans soucis dans un abonnement pour Exchange Online. Pour ces écritures différées, les entrées du journal d’audit affichent les actions prises par la « Gestion du substrat Microsoft ». Ces entrées du journal d’audit font référence aux opérations de création/mise à jour/suppression exécutées par Exchange Online pour Azure AD. Les entrées sont fournies à titre d’information et ne nécessitent aucune action.

Étapes suivantes