Activer ou désactiver la fonctionnalité d’audit

  • Article

Nous activons par défaut la journalisation d’audit pour les organisations d’entreprise Microsoft 365 et Office 365. Toutefois, lors de la configuration d’une nouvelle organisation Microsoft 365 ou Office 365, vous devez vérifier l’état d’audit de votre organisation. Pour obtenir des instructions, consultez la section Vérifier l’état d’audit de votre organisation dans cet article.

Lorsque l’audit dans le portail de conformité Microsoft Purview est activé, l’activité des utilisateurs et des administrateurs de votre organisation est enregistrée dans le journal d’audit et conservée pendant 90 jours, et jusqu’à un an en fonction de la licence attribuée aux utilisateurs. Toutefois, votre organisation peut avoir des raisons de ne pas vouloir enregistrer et conserver les données du journal d’audit. Dans ce cas, un administrateur général peut décider de désactiver l’audit dans Microsoft 365.

Importante

Si vous désactivez l’audit dans Microsoft 365, vous ne pouvez pas utiliser l’API d’activité de gestion Office 365 ou Microsoft Sentinel pour accéder aux données d’audit de votre organisation. La désactivation de l’audit en suivant les étapes décrites dans cet article signifie qu’aucun résultat ne sera retourné lorsque vous effectuez une recherche dans le journal d’audit à l’aide du portail de conformité ou lorsque vous exécutez l’applet de commande Search-UnifiedAuditLog dans Exchange Online PowerShell. Cela signifie également que les journaux d’audit ne seront pas disponibles via l’API d’activité de gestion Office 365 ou Microsoft Sentinel.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant d’activer ou de désactiver l’audit

  • Le rôle Journaux d’audit doit vous être attribué dans Exchange Online pour activer ou désactiver l’audit dans votre organisation Microsoft 365. Par défaut, ce rôle est attribué aux groupes de rôles Gestion de la conformité et Gestion de l’organisation sur la page Autorisations du Centre d’administration Exchange. Les administrateurs généraux dans Microsoft 365 sont membres du groupe de rôles *Gestion de l’organisation dans Exchange Online.

    Remarque

    Les utilisateurs doivent disposer d’autorisations dans Exchange Online pour activer ou désactiver l’audit. Si vous attribuez aux utilisateurs le rôle Journaux d’audit dans la page Autorisations du portail de conformité, ils ne pourront pas activer ou désactiver l’audit. Cela est dû au fait que l’applet de commande sous-jacente est une applet de commande PowerShell Exchange Online.

  • Pour obtenir des instructions pas à pas sur la recherche dans le journal d’audit, consultez Rechercher dans le journal d’audit.

  • Pour plus d’informations sur l’API d’activité de gestion Microsoft 365, consultez Prise en main des API de gestion Microsoft 365.

Vérifier l’état d’audit de votre organisation

Pour vérifier que l’audit est activé pour votre organisation, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

La valeur de True pour la propriété UnifiedAuditLogIngestionEnabled indique que l’audit est activé. La valeur indique que l’audit False n’est pas activé.

Importante

Veillez à exécuter la commande précédente dans Exchange Online PowerShell. Bien que l’applet de commande Get-AdminAuditLogConfig soit également disponible dans PowerShell conformité de la sécurité & , la propriété UnifiedAuditLogIngestionEnabled a toujours Falsela valeur , même lorsque l’audit est activé.

Activer l’audit

Si l’audit n’est pas activé pour votre organisation, vous pouvez l’activer dans le portail de conformité ou en utilisant Exchange Online PowerShell. L’activation de l’audit peut prendre plusieurs heures avant de pouvoir retourner les résultats lorsque vous effectuez une recherche dans le journal d’audit.

Utiliser le portail de conformité pour activer l’audit

  1. Dans le portail de conformité Microsoft Purview à https://compliance.microsoft.com, accédez à Audit des solutions>. Ou pour accéder directement à la page Audit , utilisez https://compliance.microsoft.com/auditlogsearch.

  2. Si l’audit n’est pas activé pour votre organisation, une bannière s’affiche pour vous inviter à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur.

    Bannière sur la page Audit.

  3. Sélectionnez la bannière Démarrer l’enregistrement de l’activité de l’utilisateur et de l’administrateur .

    L’application de la modification peut prendre jusqu’à 60 minutes.

Utiliser PowerShell pour activer l’audit

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exécutez la commande PowerShell suivante pour activer l’audit.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Un message s’affiche indiquant que l’application de la modification peut prendre jusqu’à 60 minutes.

Désactiver l’audit

Vous devez utiliser Exchange Online PowerShell pour désactiver l’audit.

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exécutez la commande PowerShell suivante pour désactiver l’audit.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. Après un certain temps, vérifiez que l’audit est désactivé. Il existe deux méthodes pour y parvenir :

    • Dans Exchange Online PowerShell, exécutez la commande suivante :

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      La valeur de False pour la propriété UnifiedAuditLogIngestionEnabled indique que l’audit est désactivé.

    • Accédez à la page Audit dans le portail de conformité.

      Si l’audit n’est pas activé pour votre organisation, une bannière s’affiche pour vous inviter à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur.

Enregistrements d’audit lorsque l’état d’audit est modifié

Les modifications apportées à l’état d’audit dans votre organisation sont elles-mêmes auditées. Cela signifie que les enregistrements d’audit sont enregistrés lorsque l’audit est activé ou désactivé. Vous pouvez rechercher ces enregistrements d’audit dans le journal d’audit de l’administrateur Exchange.

Pour rechercher dans le journal d’audit de l’administrateur Exchange les enregistrements d’audit générés lors de l’activation ou de la désactivation de l’audit, exécutez la commande suivante dans Exchange Online PowerShell :

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Les enregistrements d’audit de ces événements contiennent des informations sur le moment où l’état d’audit a été modifié, l’administrateur qui l’a modifié et l’adresse IP de l’ordinateur utilisé pour effectuer la modification. Les captures d’écran suivantes montrent les enregistrements d’audit qui correspondent à la modification de l’état d’audit dans votre organisation.

Enregistrement d’audit pour activer l’audit

Enregistrement d’audit pour activer l’audit

La valeur de Confirm dans la propriété CmdletParameters indique que la journalisation d’audit unifiée a été activée dans le portail de conformité ou en exécutant l’applet de commande Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Enregistrement d’audit pour désactiver l’audit

Enregistrement d’audit pour désactiver l’audit

La valeur de Confirm n’est pas incluse dans la propriété CmdletParameters . Cela indique que la journalisation d’audit unifiée a été désactivée en exécutant la commande Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Pour plus d’informations sur la recherche dans le journal d’audit de l’administrateur Exchange, consultez Search-AdminAuditLog.