Configurer Microsoft Purview Audit (Standard)

Microsoft Purview Audit (Standard) dans Microsoft 365 vous permet de rechercher des enregistrements d’audit pour les activités effectuées dans les différents services Microsoft 365 par les utilisateurs et les administrateurs. Étant donné que l’audit (Standard) est activé par défaut pour la plupart des organisations Microsoft 365 et Office 365, il n’y a que quelques choses que vous devez faire avant que vous, et d’autres membres de votre organisation puissent effectuer des recherches dans le journal d’audit.

Cet article décrit les étapes suivantes nécessaires à la configuration de l’audit (standard).

Étapes de configuration de l’audit (Standard).

Ces étapes incluent la garantie des abonnements organisationnels et des licences utilisateur appropriés nécessaires pour générer et conserver les enregistrements d’audit, et l’attribution d’autorisations aux membres de l’équipe de vos équipes chargées des opérations de sécurité, de l’informatique, de la conformité et des services juridiques afin de pouvoir effectuer des recherches dans le journal d’audit.

Pour plus d’informations, consultez Audit (Standard) dans Microsoft 365.

Conseil

Si vous n’êtes pas un client E5, vous pouvez essayer gratuitement toutes les fonctionnalités Premium de Microsoft Purview. Utilisez la version d’évaluation de 90 jours des solutions Purview pour découvrir comment des fonctionnalités Purview robustes peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Étape 1 : Vérifier l’abonnement de l’organisation et les licences utilisateur

Les licences pour l’audit (Standard) nécessitent l’abonnement d’organisation approprié qui fournit l’accès à l’outil de recherche dans les journaux d’audit et aux licences par utilisateur requises pour enregistrer et conserver les enregistrements d’audit.

Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. Dans Audit (Standard), les enregistrements d’audit sont conservés et peuvent faire l’objet d’une recherche dans le journal d’audit pendant 90 jours.

Pour obtenir la liste des conditions d’abonnement et de licence pour l’audit (Standard), consultez Solutions d’audit Microsoft Purview.

Étape 2 : Attribuer des autorisations pour rechercher dans le journal d’audit

Les administrateurs et les membres des équipes d’investigation doivent se voir attribuer le rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans Exchange Online pour rechercher ou exporter le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Gestion de la conformité et Gestion de l’organisation sur la page Autorisations du Centre d’administration Exchange. Les administrateurs généraux dans Office 365 et Microsoft 365 sont automatiquement ajoutés en tant que membres du groupe de rôles Gestion de l’organisation dans Exchange Online. Pour permettre à un utilisateur de rechercher dans le journal d’audit avec le niveau minimal de privilèges, vous pouvez créer un groupe de rôles personnalisé dans Exchange Online, ajouter le rôle Afficher uniquement les journaux d’audit ou journaux d’audit, puis ajouter l’utilisateur en tant que membre du nouveau groupe de rôles. Pour plus d’informations, voir Gérer les groupes de rôles dans Exchange Online.

La capture d’écran suivante montre les deux rôles liés à l’audit attribués au groupe de rôles Gestion de l’organisation dans le Centre d’administration Exchange.

Auditer les rôles attribués au groupe de rôles dans Exchange Online.

Étape 3 : Rechercher dans le journal d’audit

Vous êtes maintenant prêt à effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview.

  1. Accédez à https://compliance.microsoft.com et connectez-vous à l’aide d’un compte auquel les autorisations d’audit appropriées ont été attribuées.

  2. Dans le volet de navigation gauche du portail de conformité, sélectionnez Afficher tout , puis auditer.

  3. Dans la page Audit , configurez la recherche à l’aide des conditions suivantes sous l’onglet Recherche .

    Paramètres de configuration pour la recherche dans les journaux d’audit.

    1. Plage de dates et d’heures. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période. La date et l’heure sont présentées dans l’heure locale. Les sept derniers jours sont sélectionnés par défaut.

    2. Activités. Sélectionnez les activités à rechercher. Utilisez la zone de recherche pour rechercher des activités à ajouter à la liste. Pour obtenir la liste partielle des activités auditées, consultez Activités auditées. Laissez cette zone vide pour retourner les entrées de toutes les activités auditées.

    3. Utilisateurs. Cochez cette case et commencez à taper le nom des utilisateurs pour qui afficher les résultats de la recherche. Les entrées du journal d’audit pour les activités sélectionnées effectuées par les utilisateurs que vous sélectionnez dans cette zone sont affichées dans la liste des résultats. Laissez cette zone vide pour renvoyer les entrées pour tous les utilisateurs (et les comptes de service) dans votre organisation.

    4. Fichier, dossier ou site. Tapez tout ou partie d’un nom de fichier ou de dossier pour rechercher l’activité liée au fichier de dossier qui contient le mot clé spécifié. Vous pouvez également spécifier l’URL d’un fichier ou d’un dossier. Si vous utilisez l’URL d’un fichier ou d’un dossier, veillez à taper le chemin complet de l’URL ou, si vous tapez une partie de l’URL, n’incluez pas de caractères spéciaux ou d’espaces. Laissez cette zone vide pour renvoyer les entrées correspondant à tous les fichiers et dossiers dans votre organisation.

  4. Sélectionnez Rechercher pour exécuter la recherche.

Une nouvelle page s’affiche et indique que la recherche dans le journal d’audit est en cours d’exécution. Une fois la recherche terminée, les enregistrements d’audit sont affichés sur la page. Sélectionnez un enregistrement pour afficher une page de menu volant avec des propriétés détaillées.

Pour obtenir des instructions plus détaillées, consultez Rechercher dans le journal d’audit dans le portail de conformité.