Partager via


Comment personnaliser et filtrer les journaux d’activité d’identité

Les journaux de connexion sont un outil couramment utilisé pour résoudre les problèmes d’accès utilisateur et examiner l’activité de connexion risquée. Les journaux d'audit collectent tous les événements enregistrés dans Microsoft Entra ID et peuvent être utilisés pour enquêter sur les modifications apportées à votre environnement. Vous pouvez choisir parmi plus de 30 colonnes pour personnaliser votre affichage des journaux de connexion dans le centre d'administration Microsoft Entra. Les journaux d’audit et les journaux d’approvisionnement peuvent également être personnalisés et filtrés en fonction de vos besoins.

Cet article vous montre comment personnaliser les colonnes, puis filtrer les journaux pour trouver plus efficacement les informations dont vous avez besoin.

Prérequis

Comment accéder aux journaux d’activité dans le centre d’administration Microsoft Entra

Vous pouvez toujours accéder à votre propre historique de connexions sur https://mysignins.microsoft.com. Vous pouvez également accéder aux journaux de connexion à partir d’applications Utilisateurs et Entreprise dans Microsoft Entra ID.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.
  2. Accédez à ID Entra>Surveillance et santé>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.

Grâce aux informations contenues dans les journaux d'audit Microsoft Entra, vous pouvez accéder à tous les enregistrements des activités du système à des fins de conformité. Les journaux d’audit sont accessibles à partir de la section Surveillance et intégrité de Microsoft Entra ID, où vous pouvez trier et filtrer sur chaque catégorie et activité. Vous pouvez également accéder aux journaux d'audit dans la zone du centre d'administration du service sur lequel vous enquêtez.

Capture d’écran de l’option journaux d’audit dans le menu latéral.

Par exemple, si vous examinez les modifications apportées aux groupes Microsoft Entra, vous pouvez accéder aux journaux d'audit à partir de Microsoft Entra ID>Groupes. Lorsque vous accédez aux journaux d’audit à partir du service, le filtre est automatiquement ajusté en fonction du service.

Capture d’écran de l’option journaux d’audit dans le menu Groupes.

Personnaliser la disposition des journaux d’audit

Vous pouvez personnaliser les colonnes des journaux d’audit pour afficher uniquement les informations dont vous avez besoin. Les colonnes Service, Catégorie et Activité sont liées les unes aux autres. Ces colonnes doivent donc toujours être visibles.

Capture d’écran du bouton Colonnes dans les journaux d’audit.

Filtrer les journaux d’audit

Lorsque vous filtrez les journaux de bord par service, les détails de la catégorie et de l’activité changent automatiquement. Dans certains cas, il peut n’y avoir qu’une seule catégorie ou activité. Pour obtenir un tableau détaillé de toutes les combinaisons potentielles de ces détails, consultez les activités d’audit.

Capture d’écran du filtre du journal d’audit avec accès conditionnel en tant que service.

  • Service : valeur par défaut pour tous les services disponibles, mais vous pouvez filtrer la liste sur une ou plusieurs en sélectionnant une option dans la liste déroulante.

  • Catégorie : valeur par défaut pour toutes les catégories, mais peut être filtrée pour afficher la catégorie d’activité, par exemple modifier une stratégie ou activer un rôle Microsoft Entra éligible.

  • Activité : en fonction de la sélection de type de ressource de catégorie et d’activité que vous effectuez. Vous pouvez sélectionner une activité spécifique que vous souhaitez voir ou toutes les choisir.

    Vous pouvez récupérer la liste de toutes les activités d’audit en utilisant l’API Microsoft Graph : https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • État : vous permet d’examiner le résultat en fonction de la réussite ou de l’échec de l’activité.

  • Cible : vous permet de rechercher la cible ou le destinataire d’une activité. Effectuez une recherche par les premières lettres d’un nom ou d’un nom d’utilisateur principal (UPN). Le nom et le nom d'utilisateur principal cibles sont sensibles à la casse.

  • Initié par : vous permet de rechercher par qui a lancé l’activité à l’aide des premières lettres de leur nom ou UPN. Le nom et le nom d'utilisateur principal sont sensibles à la casse.

  • Plage de dates : vous permet de définir une période pour les données retournées. Vous pouvez rechercher sur les 7 derniers jours, 24 heures ou une plage personnalisée. Lorsque vous sélectionnez une plage personnalisée, vous pouvez configurer une heure de début et une heure de fin.