Quels journaux d'identité pouvez-vous diffuser vers un point de terminaison ?

À l'aide des paramètres de diagnostic Microsoft Entra, vous pouvez acheminer les journaux d'activité vers plusieurs points de terminaison pour une rétention à long terme et des informations sur les données. Sélectionnez les journaux que vous souhaitez router, puis sélectionnez le point de terminaison.

Cet article décrit les journaux que vous pouvez acheminer vers un point de terminaison avec les paramètres de diagnostic Microsoft Entra.

Exigences et options de streaming de journaux

La configuration d'un point de terminaison, tel qu'un hub d'événements ou un compte de stockage, peut nécessiter différents rôles et licences. Pour créer ou modifier un nouveau paramètre de diagnostic, vous avez besoin d’un utilisateur qui est un Administrateur de sécurité pour le locataire Microsoft Entra.

Pour vous aider à déterminer l’option de routage des journaux qui vous convient le mieux, consultez Guide pratique pour accéder aux journaux d’activité. Le processus global et les exigences pour chaque type de point de terminaison sont traités dans les articles suivants :

• Envoyer des journaux à un espace de travail Log Analytics pour les intégrer aux journaux Azure Monitor
• Archiver les journaux dans un compte de stockage
• Transmettre en continu des journaux d’activité vers un hub d’événements
• Envoyer à une solution de partenaire

Options des journaux d’activité

Les journaux suivants peuvent être acheminés vers un point de terminaison à des fins de stockage, d'analyse ou de surveillance.

Journaux d’audit

Le rapport AuditLogs capture les modifications apportées aux applications, groupes, utilisateurs et licences de votre tenant Microsoft Entra. Une fois que vous avez acheminé vos journaux d'audit, vous pouvez filtrer ou analyser par date/heure, le service qui a enregistré l'événement et qui a effectué la modification. Pour plus d’informations, consultez Journaux d’audit.

Journaux d’activité de connexion

Les journaux SignInLogs envoient les journaux de connexion interactive, qui sont des journaux générés par la connexion de vos utilisateurs. Les journaux de connexion sont générés lorsque les utilisateurs fournissent leur nom d'utilisateur et leur mot de passe sur un écran de connexion Microsoft Entra ou lorsqu'ils réussissent un défi MFA. Pour plus d’informations, consultez Connexions utilisateur interactives.

Journaux de connexion non interactive

Les journaux NonInteractiveUserSIgnInLogs listent les connexions établies pour le compte d’un utilisateur, tel qu’une application cliente. L’appareil ou le client utilise un jeton ou du code pour s’authentifier ou accéder à une ressource pour le compte d’un utilisateur. Pour plus d’informations, consultez Connexions utilisateur non interactives.

Journaux de connexion de principal de service

Si vous devez examiner l’activité de connexion pour les applications ou les principaux de service, ServicePrincipalSignInLogs peut être une bonne option. Dans ces scénarios, des certificats ou des clés secrètes client sont utilisés pour l’authentification. Pour plus d’informations, consultez Connexions de principal de service.

Journaux de connexion d’identité managée

Les journaux ManagedIdentitySignInLogs fournissent des insights similaires à ceux des journaux de connexion de principal de service, mais pour les identités managées, dans la mesure où Azure gère les secrets. Pour plus d’informations, consultez Connexions d’identités managées.

Journaux d’approvisionnement

Si votre organisation approvisionne les utilisateurs via une application non-Microsoft, telle que Workday ou ServiceNow, vous pouvez exporter les rapports ProvisioningLogs. Pour plus d’informations, consultez Journaux de provisionnement.

Journaux de connexion AD FS

L’activité de connexion pour les applications AD FS (Active Directory Federated Services) est capturée dans ces rapports d’utilisation et d’insights. Vous pouvez exporter le rapport ADFSSignInLogs pour superviser l’activité de connexion pour les applications AD FS. Pour plus d'informations, consultez Journaux de connexion AD FS.

Utilisateurs à risque

Les journaux RiskyUsers identifient les utilisateurs à risque en fonction de leur activité de connexion. Ce rapport fait partie de la Protection de Microsoft Entra ID et utilise les données de connexion de Microsoft Entra ID. Pour plus d’informations, consultez Qu’est-ce que la Protection de Microsoft Entra ID ?.

Événements à risque utilisateur

Les journaux UserRiskEvents font partie de la Protection de Microsoft Entra ID. Ces journaux capturent des détails sur les événements de connexion à risque. Pour plus d’informations, consultez Guide pratique pour examiner les risques.

Journaux de trafic d’accès réseau

Le NetworkAccessTrafficLogs est associé à Accès Internet Microsoft Entra et à Accès privé Microsoft Entra. Les journaux sont visibles dans Microsoft Entra ID, mais le fait de sélectionner cette option n’a pas pour effet d’ajouter de nouveaux journaux à votre espace de travail, sauf si votre organisation utilise l’Accès Internet Microsoft Entra et l’Accès privé Microsoft Entra pour sécuriser l’accès à vos ressources d’entreprise. Pour plus d’informations, consultez Qu’est-ce que l’Accès global sécurisé ?.

Principaux de service à risque

Les journaux RiskyServicePrincipals fournissent des informations sur les principaux de service détectés par la Protection de Microsoft Entra ID comme étant à risque. Le risque de principal de service représente la probabilité qu'une identité ou un compte est compromis. Ces risques sont calculés de manière asynchrone en utilisant des données et des modèles issus des sources d’informations sur les menaces internes et externes de Microsoft. Ces sources peuvent inclure des chercheurs en sécurité, des professionnels de l’application des lois et des équipes de sécurité de Microsoft. Pour plus d’informations, consultez Sécurisation des identités de charge de travail.

Événements à risque des principaux de service

LeServicePrincipalRiskEvents fournit des détails sur les événements de connexion à risque pour les principaux de service. Ces journaux peuvent inclure tous les événements suspects identifiés liés aux comptes principaux de service. Pour plus d’informations, consultez Sécurisation des identités de charge de travail.

Journaux d’audit Microsoft 365 enrichis

Le EnrichedOffice365AuditLogs est associé aux journaux enrichis que vous pouvez activer pour Accès Internet Microsoft Entra. Le fait de sélectionner cette option n’a pas pour effet d’ajouter de nouveaux journaux à votre espace de travail, sauf si votre organisation utilise Accès Internet Microsoft Entra pour sécuriser l’accès à votre trafic Microsoft 365 et que vous avez activé les journaux enrichis. Pour plus d’informations, consultez Guide pratique pour utiliser les journaux enrichis Microsoft 365 enrichis de l’Accès global sécurisé.

Journaux d’activité Microsoft Graph

Les MicrosoftGraphActivityLogs fournissent aux administrateurs une visibilité complète sur toutes les requêtes HTTP qui accèdent aux ressources de votre locataire via l’API Microsoft Graph. Vous pouvez utiliser ces journaux pour identifier les activités effectuées par un compte d’utilisateur compromis dans votre locataire ou pour examiner les comportements problématiques ou inattendus pour les applications clientes, tels que les volumes d’appels extrêmes. Routez ces journaux vers le même espace de travail Log Analytics avec SignInLogs pour référencer les détails des demandes de jeton pour les journaux de connexion. Pour plus d’informations, consultez Accéder aux journaux d’activité Microsoft Graph (préversion).

Journaux d’intégrité du réseau distant

Les journaux RemoteNetworkHealthLogs fournissent des informations sur l’intégrité de votre réseau distant configuré via Global Secure Access. Sélectionner cette option n’ajoute pas de nouveaux journaux à votre espace de travail, sauf si votre organisation utilise Accès Internet Microsoft Entra et Accès privé Microsoft Entra pour sécuriser l’accès à vos ressources d’entreprise. Pour plus d’informations, consultez Journaux d’intégrité de réseau distant.

Journaux d'audit des attributs de sécurité personnalisés

Les journaux CustomSecurityAttributeAuditLogs sont configurés dans la section Attributs de sécurité personnalisés des paramètres de diagnostic. Ces journaux capturent les modifications apportées aux attributs de sécurité personnalisés dans votre locataire Microsoft Entra. Pour afficher ces journaux dans les journaux d’audit Microsoft Entra, vous avez besoin du rôle Lecteur du journal des attributs. Pour router ces journaux vers un point de terminaison, vous avez besoin du rôle Administrateur du journal d’attributs et de l’administrateur de sécurité.