Comment accéder aux journaux d’activité dans Microsoft Entra ID

Les données collectées dans vos journaux Microsoft Entra vous permettent d’évaluer de nombreux aspects de votre client Microsoft Entra. Pour couvrir un large éventail de scénarios, Microsoft Entra ID vous propose plusieurs options pour accéder aux données de votre journal d’activité. En tant qu’administrateur informatique, vous devez comprendre les cas d’utilisation prévus pour ces options, afin de pouvoir sélectionner la méthode d’accès adaptée à votre scénario.

Vous pouvez accéder aux journaux et rapports d’activité Microsoft Entra à l’aide des méthodes suivantes :

• Diffuser en continu les journaux d’activité vers un Event Hub pour l’intégrer à d’autres outils
• Accéder aux journaux d’activité via l’API Microsoft Graph
• Intégrer les journaux d’activité aux journaux d’activité Azure Monitor
• Superviser l’activité en temps réel avec Microsoft Sentinel
• Afficher les journaux d’activité et les rapports dans le Portail Azure
• Exporter les journaux d’activité pour le stockage et les requêtes

Chacune de ces méthodes vous offre des fonctionnalités qui peuvent correspondre à certains scénarios. Le présent article décrit ces scénarios, y compris des recommandations et des détails sur les rapports associés qui utilisent les données dans les journaux d’activité. Explorez les options de cet article pour en savoir plus sur ces scénarios afin de pouvoir choisir la bonne méthode.

Prérequis

Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro. Pour obtenir la liste complète des rôles, consultez Rôles avec privilèges minimum par tâche.

Journal / Rapport	Rôles	Licences
Journaux d’audit	Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité	Toutes les éditions de Microsoft Entra ID
Journaux de connexion	Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité	Toutes les éditions de Microsoft Entra ID
Journaux de mise en service	Lecteur de rapports Lecteur de sécurité Administrateur d’application Administrateur d’application cloud	Microsoft Entra ID P1 ou P2
Journaux d’audit des attributs de sécurité personnalisés*	Administrateur de journal d’attributs Lecteur de journal d’attributs	Toutes les éditions de Microsoft Entra ID
Intégrité	Lecteur de rapports Lecteur de sécurité Administrateur du support technique	Microsoft Entra ID P1 ou P2
Protection des ID Microsoft Entra **	Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général	Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2
Journaux d’activité Microsoft Graph	Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante	Microsoft Entra ID P1 ou P2
Utilisation et insights	Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité	Microsoft Entra ID P1 ou P2

*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.

** Le niveau d’accès et les fonctionnalités de protection de Protection des ID Microsoft Entra varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les Exigences de licence pour la protection d’identité.

Les journaux d’audit sont disponibles pour les caractéristiques que vous avez sous licence. Pour accéder aux journaux de connexion à l’aide de l’API Microsoft Graph, votre client doit disposer d’une licence Microsoft Entra ID P1 ou P2 qui lui est associée.

Afficher les journaux via le Centre d’administration Microsoft Entra

Pour les enquêtes ponctuelles de portée limitée, le Centre d’administration Microsoft Entra constitue souvent le moyen le plus simple de trouver les données dont vous avez besoin. L’interface utilisateur vous offre des options de filtre qui vous permettent de trouver les entrées dont vous avez besoin pour résoudre votre scénario.

Les données capturées dans les journaux d’activité Microsoft Entra sont utilisées dans de nombreux rapports et services. Vous pouvez consulter les journaux de connexion, d’audit et d’approvisionnement pour des scénarios ponctuels, ou utiliser les rapports pour identifier les schémas et les tendances. Les données des journaux d’activité aident à alimenter les rapports de protection de l’identité, qui fournissent des détections de risques liés à la sécurité des informations que Microsoft Entra ID peut détecter et générer des rapports. Les journaux d’activité Microsoft Entra alimentent également les rapports d’utilisation et d’informations, qui fournissent des détails sur l’utilisation des applications de votre client.

Utilisations recommandées

Les rapports disponibles dans le portail Azure fournissent un large éventail de fonctionnalités pour superviser les activités et l’utilisation dans votre client. La liste suivante d’utilisations et de scénarios n’est pas exhaustive. Explorez donc les rapports correspondant à vos besoins.

• Effectuez des recherches sur l’activité de connexion d’un utilisateur ou suivez l’utilisation d’une application.
• Passez en revue les détails des modifications de nom de groupe, des inscriptions d’appareils et des réinitialisations de mot de passe avec les journaux d’audit.
• Utilisez les rapports de protection d’identité pour surveiller les utilisateurs à risque, les identités de charge de travail à risque et les connexions risquées.
• Consultez le taux de réussite de connexion dans le rapport d’activité de l’application Microsoft Entra (préversion) à partir de Utilisation et informations pour garantir que vos utilisateurs peuvent accéder aux applications utilisées dans votre client.
• Comparez les différentes méthodes d’authentification que vos utilisateurs préfèrent avec le rapport Méthodes d’authentification d’Utilisation et insights.

Étapes rapides

Suivez les étapes de base suivantes pour accéder aux rapports dans le Centre d’administration Microsoft Entra.

Journaux d’activité Microsoft Entra

1. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.
2. Ajustez le filtre en fonction de vos besoins.
   • Découvrir comment filtrer les journaux d’activité
   • Explorez les catégories et activités du journal d’audit Microsoft Entra
   • En savoir plus sur les informations de base dans les journaux de connexion Microsoft Entra

Il est possible d’accéder aux journaux d’audit directement depuis la zone du Centre d’administration Microsoft Entra dans laquelle vous travaillez. Par exemple, si vous êtes dans la section Groupes ou Licences de Microsoft Entra ID, vous pouvez accéder aux journaux d’audit pour ces activités spécifiques directement à partir de cette zone. Lorsque vous accédez aux journaux d’audit de cette façon, les catégories de filtre sont automatiquement définies. Si vous êtes dans des groupes, la catégorie de filtre de journal d’audit est définie sur GroupManagement.

Rapports de Protection des ID Microsoft Entra

1. Accédez à Protection>Protection des identités.
2. Explorez les rapports disponibles.
   • En savoir plus sur Protection des identités
   • Découvrir comment examiner les risques

Rapports d’utilisation et insights

1. Accédez à Identité>Surveillance et intégrité>Utilisation et insights.
2. Explorez les rapports disponibles.
   • En savoir plus sur le rapport Utilisation et insights

Diffuser les journaux vers un Event Hub pour l’intégrer aux outils SIEM

La diffusion en continu de vos journaux d’activité vers un Event Hub est nécessaire pour intégrer vos journaux d’activité aux outils SIEM (Security Information and Event Management), tels que Splunk et SumoLogic. Avant de pouvoir diffuser des journaux vers un Event Hub, vous devez configurer un espace de noms Event Hubs et un Event Hub dans votre abonnement Azure.

Utilisations recommandées

Les outils SIEM que vous pouvez intégrer à votre Event Hub peuvent fournir des fonctionnalités d’analyse et de surveillance. Si vous utilisez déjà ces outils pour ingérer des données provenant d’autres sources, vous pouvez diffuser en continu vos données d’identité pour une analyse et une surveillance plus complètes. Nous vous recommandons de diffuser en continu vos journaux d’activité vers un Event Hub pour les types de scénarios suivants :

• Vous avez besoin d’une plateforme de streaming big data et d’un service d’ingestion d’événements pour recevoir et traiter des millions d’événements par seconde.
• Si vous souhaitez transformer et stocker des données à l’aide d’un fournisseur d’analytique en temps réel ou adaptateur de stockage/traitement par lot.

Étapes rapides

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de la sécurité.
2. Créez un espace de noms Event Hubs et un hub d’événements.
3. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
4. Choisissez les journaux que vous souhaitez diffuser en continu, sélectionnez l’option Diffuser vers un hub d’événements, puis renseignez les champs.
   • Configurer un espace de noms Event Hubs et un Event Hub
   • En savoir plus sur la diffusion en continu des journaux d’activité vers un Event Hub

Votre fournisseur de sécurité indépendant doit vous fournir des instructions sur la façon d’ingérer des données à partir d’Azure Event Hubs dans leur outil.

Accédez aux journaux avec l’API Microsoft Graph

L’API Microsoft Graph fournit un modèle de programmabilité unifié que vous pouvez utiliser pour accéder aux données de vos clients Microsoft Entra ID P1 ou P2. Elle n’a pas besoin d’un administrateur ni d’un développeur pour configurer une infrastructure supplémentaire afin de prendre en charge votre script ou votre application.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Utilisations recommandées

À l’aide de l’Afficheur Microsoft Graph, vous pouvez exécuter des requêtes pour vous aider dans les types de scénarios suivants :

• Affichez les activités du client comme l’utilisateur qui a apporté une modification à un groupe et quand.
• Marquez un événement de connexion Microsoft Entra comme sûr ou confirmé compromis.
• Récupérer la liste des connexions d’application au cours des 30 derniers jours.

Remarque

Microsoft Graph vous permet d’accéder aux données de plusieurs services qui imposent leurs propres limites de limitation. Pour plus d’informations sur la limitation des journaux d’activité, consultez Limites de limitation spécifiques au service Microsoft Graph.

Étapes rapides

1. Configurez les préréquis.
2. Connectez-vous à l’Explorateur graphique.
3. Définissez la méthode HTTP et la version de l’API.
4. Ajoutez une requête, puis sélectionnez le bouton Exécuter la requête.
   • Se familiariser avec les propriétés Microsoft Graph pour les audits d’annuaire
   • Suivre le guide de démarrage rapide MS Graph

Intégrer des journaux aux journaux Azure Monitor

Avec l’intégration des journaux Azure Monitor, vous pouvez activer des visualisations enrichies, la supervision et des alertes sur les données connectées. L’analytique des journaux d’activité offre des fonctionnalités améliorées de requête et d’analyse pour les journaux d’activité Microsoft Entra. Pour intégrer les journaux d’activité Microsoft Entra aux journaux Azure Monitor, vous avez besoin d’un espace de travail Log Analytics. À partir de là, vous pouvez exécuter des requêtes via l’analytique des journaux d’activité.

Utilisations recommandées

L’intégration des journaux Microsoft Entra aux journaux Azure Monitor fournit un emplacement centralisé pour interroger les journaux. Nous vous recommandons d’intégrer les journaux à Azure Monitor pour les types de scénarios suivants :

• Comparez les journaux de connexion Microsoft Entra avec les journaux publiés par d’autres services Azure.
• Mettez en corrélation les journaux de connexion avec Azure Application Insights
• Interrogez les journaux à l’aide de paramètres de recherche spécifiques.

Étapes rapides

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de la sécurité.
2. Créez un espace de travail Log Analytics.
3. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
4. Choisissez les journaux que vous souhaitez diffuser, sélectionnez l’option Envoyer à l’espace de travail Log Analytics et renseignez les champs.
5. Accédez à Identité>Surveillance et intégrité>Analytique des journaux d’activité et commencez à interroger les données.
   • Intégrer les journaux Microsoft Entra aux journaux Azure Monitor
   • Découvrir comment effectuer des requêtes à l’aide d’analytique des journaux d’activité

Superviser les événements avec Microsoft Sentinel

L’envoi de journaux de connexion et d’audit à Microsoft Sentinel fournit à votre centre des opérations de sécurité le repérage des menaces et la détection de sécurité en quasi-temps réel. L’expression repérage des menaces fait référence à une approche proactive visant à améliorer la sécurité de votre environnement. Contrairement à une protection classique, le repérage des menaces tente d’identifier de manière proactive des menaces potentielles susceptibles de nuire à votre système. Les données de votre journal d’activité peuvent faire partie de votre solution de repérage des menaces.

Utilisations recommandées

Nous vous recommandons d’utiliser les fonctionnalités de détection de sécurité en temps réel de Microsoft Sentinel si votre organisation a besoin d’analytique de sécurité et de veille des menaces. Utilisez Microsoft Sentinel si vous devez :

• Collectez des données de sécurité au sein de votre entreprise.
• Détectez les menaces avec une veille des menaces élargie.
• Examinez les incidents critiques à l’aide de l’IA.
• Réagissez rapidement et automatisez la protection.

Étapes rapides

1. Découvrez les prérequis, les rôles et les autorisations.
2. Estimez les coûts potentiels.
3. Intégrez à Microsoft Sentinel.
4. Collectez les données Microsoft Entra.
5. Commencez à repérer les menaces.

Exporter des journaux pour le stockage et les requêtes

La solution appropriée pour votre stockage à long terme dépend de votre budget et de ce que vous prévoyez de faire avec les données. Vous avez trois options :

• Archiver les journaux dans le stockage Azure
• Télécharger les journaux pour stockage manuel
• Intégrer des journaux aux journaux Azure Monitor

Stockage Azure est la solution qui vous convient si vous n’envisagez pas d’interroger vos données souvent. Pour plus d’informations, consultez Archiver des journaux d’annuaire dans un compte de stockage.

Si vous envisagez d’interroger fréquemment les journaux afin de générer des rapports ou des analyses sur les journaux stockés, vous devez intégrer vos données aux journaux Azure Monitor.

Si votre budget est réduit et que vous avez besoin d’une méthode peu coûteuse pour créer une sauvegarde à long terme de vos journaux d’activité, vous pouvez télécharger manuellement vos journaux. L’interface utilisateur des journaux d’activité dans le portail vous offre la possibilité de télécharger les données au format JSON ou CSV. Un inconvénient du téléchargement manuel est qu’il nécessite davantage d’interaction manuelle. Si vous recherchez une solution plus professionnelle, utilisez Stockage Azure ou Azure Monitor.

Utilisations recommandées

Nous vous recommandons de configurer un compte de stockage pour archiver vos journaux d’activité pour les scénarios de gouvernance et de conformité dans lesquels un stockage à long terme est nécessaire.

Si vous souhaitez un stockage à long terme et que vous souhaitez exécuter des requêtes sur les données, consultez la section sur l’intégration de vos journaux d’activité aux journaux Azure Monitor.

Nous vous recommandons de télécharger et de stocker manuellement vos journaux d’activité en cas de contraintes budgétaires.

Étapes rapides

Utilisez les étapes de base suivantes pour archiver ou télécharger vos journaux d’activité.

Archiver les journaux d’activité dans un compte de stockage

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de la sécurité.
2. Créez un compte de stockage.
3. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic.
4. Choisissez les journaux que vous souhaitez diffuser, sélectionnez l’option Archiver dans un compte de stockage, puis renseignez les champs.
   • Passer en revue les stratégies de conservation des données

Télécharger manuellement des journaux d’activité

1. Connectez-vous au centre d’administration Microsoft Entra en tant queLecteur de rapports.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux de provisionnement dans le menu Surveillance.
3. Sélectionnez Télécharger.
   • En savoir plus sur le téléchargement des journaux.

Étapes suivantes

• Transmettre en continu des journaux d’activité vers un hub d’événements
• Archiver les journaux dans un compte de stockage
• Intégrer des journaux aux journaux Azure Monitor