Utiliser les journaux d’audit pour suivre et surveiller les événements dans Microsoft Intune

Les journaux d’audit incluent un enregistrement des activités qui génèrent une modification dans Microsoft Intune. Les actions Créer, mettre à jour (modifier), supprimer, attribuer et à distance créent des événements d’audit que les administrateurs peuvent examiner pour la plupart des charges de travail Intune. Par défaut, l’audit est activé pour tous les clients. Elle ne peut pas être désactivée.

Qui peut accéder aux données ?

Les utilisateurs disposant des autorisations suivantes peuvent consulter les journaux d’audit :

  • Administrateur général
  • Administrateur du service Intune
  • Administrateurs affectés à un rôle Intune avec les autorisationsde lecturedes données - d’audit

Journaux d’audit pour les charges de travail Intune

Vous pouvez consulter les journaux d’audit dans le groupe de surveillance pour chaque charge de travail Intune :

  1. Connectez-vous au centre d’administration Microsoft Intune.
  2. Sélectionnez Administration> du locataireJournaux d’audit.
  3. Pour filtrer les résultats, sélectionnez Filtrer et affinez les résultats à l’aide des options suivantes.
    • Catégorie : telle que Conformité, Appareil et Rôle.
    • Activité : les options répertoriées ici sont limitées par l’option choisie sous Catégorie.
    • Plage de dates : vous pouvez choisir les journaux du mois, de la semaine ou du jour précédents.
  4. Sélectionnez Appliquer.
  5. Sélectionnez un élément dans la liste pour afficher les détails de l’activité.

Pour plus d’informations sur les journaux d’audit, consultez Informations supplémentaires.

Acheminer les journaux vers Azure Monitor

Les journaux d’audit et les journaux opérationnels peuvent également être routés vers Azure Monitor. Dans Administration du locataire>Journaux d’audit, sélectionnez Exporter :

Exportez des données de journal vers Azure Monitor en sélectionnant Exporter les paramètres de données dans Microsoft Intune et le centre d’administration Intune.

Remarque

  • Pour plus d’informations sur cette fonctionnalité et pour passer en revue les conditions préalables à son utilisation, consultez Envoyer des données de journal à un stockage, à Event Hubs ou à Log Analytics.

  • Initié par (acteur) inclut des informations sur qui a exécuté la tâche et où elle a été exécutée.

    Par exemple, si vous exécutez l’activité dans Intune dans le Portail Azure, Application répertorie toujours Microsoft Intune’extension du portail, et l’ID d’application utilise toujours le même GUID.

  • La section Cible(s) répertorie plusieurs cibles et les propriétés qui ont été modifiées.

Utiliser API Graph pour récupérer des événements d’audit

Pour plus d’informations sur l’utilisation de l’API de graphe pour obtenir jusqu’à un an d’événements d’audit, consultez Répertorier les événements d’audit.

Prochaines étapes

Informations supplémentaires