Configurer les paramètres de diagnostic Microsoft Entra pour les journaux d’activité

  • Article

Les paramètres de diagnostic dans Microsoft Entra ID vous permettent d’intégrer des journaux à Azure Monitor, de diffuser des journaux vers un hub d’événements, ou d’archiver des journaux dans un compte de stockage. Vous pouvez créer plusieurs paramètres de diagnostic pour envoyer des journaux d’activité à différentes destinations.

Cet article décrit les étapes de configuration des paramètres de diagnostic Microsoft Entra pour les journaux d’activité.

Prérequis

Pour configurer les paramètres de diagnostic, il vous faut ce qui suit :

  • Un abonnement Azure. Si vous n’en avez pas, vous pouvez demander un essai gratuit.
  • Un locataire Microsoft Entra ID P1 ou P2.
  • Administrateur de sécurité accès pour créer des paramètres de diagnostic général pour le locataire Microsoft Entra.
  • Administrateur de journaux d'attributs pour créer des paramètres de diagnostic pour les journaux d'attributs de sécurité personnalisés.
  • Une destination déjà configurée. Par exemple, si vous souhaitez diffuser des journaux vers un hub d’événements, vous devez créer le hub d’événements avant de pouvoir configurer les paramètres de diagnostic.

Comment faire pour accéder aux paramètres de diagnostic

Cet article décrit les étapes permettant d’accéder aux paramètres de diagnostic pour les journaux Microsoft Entra. Si vous devez configurer les paramètres de diagnostic pour Azure Monitor ou pour des ressources Azure en dehors de Microsoft Entra ID, consultez Paramètres de diagnostic dans Azure Monitor.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic. Les paramètres Général apparaissent par défaut.

  3. Tous les paramètres de diagnostic existants apparaissent dans le tableau. Sélectionnez Modifier les paramètres pour modifier un paramètre existant, ou sélectionnez Ajouter un paramètre de diagnostic pour créer un paramètre.

    Screenshot of the Microsoft Entra diagnostic settings page.

Attributs de sécurité personnalisés

Les journaux d’activité des attributs de sécurité personnalisés sont un sous-ensemble des journaux d’audit standard. Vous devez avoir un rôle Administrateur du journal des attributs actif pour configurer les paramètres de diagnostic pour les attributs de sécurité personnalisés. Pour plus d’informations, consultez Présentation des attributs de sécurité personnalisés.

Pour configurer les paramètres de diagnostic pour les journaux d'audit des attributs de sécurité personnalisés, sélectionnez Attributs de sécurité personnalisés. Le processus de configuration des paramètres de diagnostic est le même pour les deux catégories de journaux.

Screenshot of the custom security attributes page for diagnostic settings.

Conseil

Microsoft vous recommande de séparer les journaux d’audit des attributs de sécurité personnalisés de vos journaux d’audit d’annuaire afin que les affectations d’attributs ne soient pas révélées par inadvertance.

Sélectionner les journaux d’activité et la destination

Lorsque vous créez ou modifiez un paramètre de diagnostic, vous pouvez choisir les journaux d’activité à inclure et où les envoyer.

Catégories de journal

Vous pouvez sélectionner un, plusieurs ou tous les journaux disponibles. Certains journaux d’activité peuvent faire partie d’une fonctionnalité d’évaluation. Même si vous sélectionnez une catégorie de journal, il se peut que vous ne voyiez pas de données tant que la fonctionnalité n’est pas en disponibilité générale. Pour obtenir une description des journaux disponibles, consultez Options de journal pour le streaming vers des points de terminaison

Screenshot of the log categories in diagnostic settings.

Détails de la destination

Vous pouvez envoyer des journaux à un espace de travail Log Analytics, diffuser des journaux vers un hub d’événements, ou archiver des journaux vers un compte de stockage. À l’heure actuelle, la seule solution partenaire prise en charge sont les services Azure Native ISV. Pour plus d’informations, consultez Vue d’ensemble des services Azure Native ISV.

Pour envoyer vos journaux d’activité à l’une des destinations, vous devez avoir configuré cette destination.

Lorsque vous sélectionnez une destination, d’autres champs s’affichent. Sélectionnez l’abonnement et la destination appropriés dans les champs qui s’affichent.

Screenshot of the destination options in diagnostic settings.

Pour plus d’informations sur la configuration des paramètres de diagnostic pour une destination spécifique, consultez les articles suivants :

Processus De base

Les étapes de base de la configuration des paramètres de diagnostic sont les suivantes :

  1. Pour créer un paramètre de diagnostic, sélectionnez Ajouter un paramètre de diagnostic.

  2. Donnez-lui un nom.

  3. Sélectionnez les journaux à inclure.

  4. Sélectionnez les destinations auxquelles vous souhaitez envoyer les journaux.

  5. Sélectionnez l’abonnement et la destination dans les menus déroulants qui s’affichent.

  6. Cliquez sur le bouton Enregistrer.

    Screenshot of the create diagnostic settings page, with several logs selected to go to a Log Analytics workspace.

Remarque

L’affichage des journaux d'activité dans la destination peut prendre jusqu’à trois jours.