Examiner les journaux d’audit dans Microsoft 365 Lighthouse
Microsoft 365 Lighthouse journaux d’audit enregistrent les actions qui génèrent une modification dans Lighthouse ou d’autres services Microsoft 365. Les actions Créer, modifier, supprimer, attribuer et distantes créent des événements d’audit que vous pouvez examiner. Par défaut, l’audit est activé pour tous les clients. Elle ne peut pas être désactivée.
Avant de commencer
Pour afficher les journaux d’audit, vous devez disposer de l’une des autorisations suivantes :
Rôle Azure Active Directory (Azure AD) - Administrateur général du locataire partenaire
Rôle Espace partenaires Microsoft - Agent Administration
Consulter les journaux d’audit
Dans le volet de navigation gauche de Lighthouse, sélectionnez Journaux d’audit.
Remarque
Les nouveaux journaux peuvent prendre jusqu’à 1 heure. Accédez au service respectif pour voir les modifications les plus récentes.
Filtrez les journaux, si nécessaire, à l’aide des options suivantes :
- Plage de dates : mois, semaine ou jour précédents.
- Locataires : étiquettes de locataire ou noms de locataires clients.
- Activité : type d’activité Microsoft 365 qui correspond à l’action effectuée. Pour plus d’informations, consultez la table Activités .
- Initié par : qui a initié l’action.
Sélectionnez un journal dans la liste pour afficher les détails complets, y compris le corps de la demande .
Pour exporter des données de journal vers un fichier de valeurs séparées par des virgules (.csv), sélectionnez Exporter.
Activités
Le tableau suivant répertorie les activités capturées dans les journaux d’audit Lighthouse. La liste est susceptible d’être modifiée à mesure que de nouvelles actions sont créées. Vous pouvez utiliser l’activité répertoriée dans le journal d’audit pour voir quelle action a été lancée.
| Nom de l’activité | Zone dans Lighthouse | Action lancée | Service impacté |
|---|---|---|---|
| appliquer ou déployer | Clients | Appliquer un plan de déploiement | Azure AD, Microsoft Endpoint Manager (MEM) |
| assignTag | Clients | Appliquer une étiquette à partir d’un client | Phare |
| changeDeploymentStatus ou assign | Clients | Mettre à jour l’état du plan d’action pour le plan de déploiement | Phare |
| offboardTenant | Clients | Désactiver un client | Phare |
| resetTenantOnboardingStatus | Clients | Réactiver un client | Phare |
| tenantTags | Clients | Créer ou supprimer une balise | Phare |
| tenantCustomizedInformation | Clients | Créer, mettre à jour ou supprimer un site web ou des informations de contact d’un client | Phare |
| unassignTag | Clients | Supprimer une étiquette d’un client | Phare |
| Valider | Clients | Tester un plan de déploiement | Azure AD |
| blockUserSignin | Utilisateurs | Bloquer la connexion | Azure AD |
| confirmUsersCompromised | Utilisateurs | Confirmer qu’un utilisateur est compromis | Azure AD |
| dismissUsersRisk | Utilisateurs | Ignorer le risque de l’utilisateur | Azure AD |
| resetUserPassword | Utilisateurs | Réinitialiser le mot de passe | Azure AD |
| setCustomerSecurityDefaultsEnabledStatus | Utilisateurs | Activer l’authentification multifacteur (MFA) avec les paramètres de sécurité par défaut | Azure AD |
| restartDevice | Appareils | Redémarrer | MEM |
| syncDevice | Appareils | Synchronisation | MEM |
| rebootNow | Gestion des menaces | Redémarrer | MEM |
| reprovisionner | Windows 365 | Nouvelle tentative d’approvisionnement | Windows 365 |
| windowsDefenderScanFull | Gestion des menaces | Analyse complète | MEM |
| windowsDefenderScan | Gestion des menaces | Analyse rapide | MEM |
| windowsDefenderUpdateSignatures | Gestion des menaces | Mettre à jour l’antivirus | MEM |
Prochaines étapes
Utilisez Microsoft API Graph pour accéder à d’autres événements d’audit, si nécessaire. Pour plus d’informations, consultez Vue d’ensemble de la gestion multilocataire à l’aide de l’API Microsoft 365 Lighthouse.
Contenu connexe
FAQ Microsoft 365 Lighthouse (article)
Afficher vos rôles Azure Active Directory dans Microsoft 365 Lighthouse (article)