Événements
Relevez le défi Microsoft Learn
19 nov., 23 h - 10 janv., 23 h
Ignite Edition - Créez des compétences dans les produits de sécurité Microsoft et gagnez un badge numérique d’ici le 10 janvier !
S’inscrire maintenantCe navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Microsoft Purview Audit (Standard) et Audit (Premium) vous permettent de rechercher des enregistrements d’audit pour les activités effectuées dans les différents services Microsoft par les utilisateurs et les administrateurs. Étant donné que l’audit (Standard) est activé par défaut pour la plupart des organisations Microsoft 365, il n’y a que quelques choses que vous devez faire avant de vous, et d’autres dans votre organization peuvent effectuer des recherches dans le journal d’audit. Vous devez effectuer d’autres étapes de configuration pour utiliser les fonctionnalités disponibles uniquement dans Audit (Premium).
Pour plus d’informations sur les fonctionnalités d’audit (Standard) et d’audit (Premium), consultez Solutions d’audit Microsoft Purview.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Les licences pour Audit (Standard) et Audit (Premium) nécessitent l’abonnement organization approprié qui fournit l’accès à l’outil de recherche dans les journaux d’audit et aux licences par utilisateur requises pour journaliser et conserver les enregistrements d’audit.
Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. Dans Audit (Standard) et Audit (Premium), les enregistrements d’audit sont conservés et peuvent faire l’objet d’une recherche dans le journal d’audit pendant 180 jours.
Important
La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.
Pour obtenir la liste des conditions d’abonnement et de licence pour ces solutions d’audit, consultez les conditions d’abonnement pour Audit (Standard) et Audit (Premium).
Les administrateurs et les membres des équipes d’investigation doivent se voir attribuer le rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview pour rechercher ou exporter le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Lecteur d’audit et Gestionnaire d’audit dans la page Groupes de rôles du portail Microsoft Purview et à la page Autorisations dans le portail de conformité.
Notes
L’accès pour activer ou désactiver l’audit et l’accès aux applets de commande d’audit nécessite actuellement des autorisations du Centre d’administration Exchange. Utilisez les rôles Journaux d’audit et Journaux d’audit afficher uniquement dans le Centre d’administration Exchange pour accorder l’accès aux applets de commande d’audit. Utilisez le rôle Journaux d’audit existant dans le Centre d’administration Exchange pour accorder l’accès à l’activation ou à la désactivation de l’audit.
Vous pouvez également créer des groupes de rôles personnalisés avec la possibilité de rechercher dans le journal d’audit en ajoutant les rôles Afficher uniquement journaux d’audit ou Journaux d’audit à un groupe de rôles personnalisé. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.
Notes
L’accès à l’API Graph recherche d’audit nécessite des autorisations supplémentaires pour être configuré dans Microsoft Graph. Pour plus d’informations, consultez Autorisations dans auditer la recherche API Graph.
Pour rechercher ou exporter le journal d’audit, les administrateurs ou les membres des équipes d’investigation doivent être affectés à au moins l’un des groupes de rôles liés à l’audit suivants dans le portail Microsoft Purview ou le portail de conformité :
Vous devez activer explicitement deux événements (SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint) pour la journalisation lorsque les utilisateurs effectuent des recherches dans Exchange Online et SharePoint.
Pour permettre l’audit de ces deux événements pour les utilisateurs, exécutez l’applet de commande suivante (pour chaque utilisateur) dans Exchange Online PowerShell :
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
Dans un environnement multigéographique, vous devez exécuter la commande Set-Mailbox dans la forêt où se trouve la boîte aux lettres de l’utilisateur. Pour identifier l’emplacement de la boîte aux lettres de l’utilisateur, exécutez l’applet de commande suivante :
Get-Mailbox <user identity> | FL MailboxLocations
Si l’applet de commande permettant d’activer l’audit des requêtes de recherche a été précédemment exécutée dans une forêt différente de celle dans laquelle se trouve la boîte aux lettres de l’utilisateur, vous devez supprimer la valeur SearchQueryInitiated de la boîte aux lettres de l’utilisateur. Supprimez la valeur en exécutant Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}
, puis ajoutez-la à la boîte aux lettres de l’utilisateur dans la forêt où se trouve la boîte aux lettres de l’utilisateur.
Conseil
Les organisations qui utilisent Audit (Standard) peuvent ignorer cette étape.
Les fonctionnalités d’audit (Premium), telles que la possibilité de journaliser des insights intelligents, nécessitent l’attribution d’une licence E5 appropriée aux utilisateurs. De plus, l’application/plan de service d’audit avancé doit être activé pour ces utilisateurs.
Pour vérifier que l’application Audit avancé est affectée aux utilisateurs, effectuez les étapes suivantes pour chaque utilisateur :
Dans la Centre d’administration Microsoft 365, accédez à Utilisateurs>Utilisateurs actifs, puis sélectionnez un utilisateur.
Dans la page de menu volant des propriétés utilisateur, sélectionnez Licences et applications.
Dans la section Licences , vérifiez que l’utilisateur dispose d’une licence E5 ou d’une licence de module complémentaire appropriée. Pour obtenir la liste des licences qui prennent en charge l’audit (Premium), consultez Auditer les exigences de licence.
Développez la section Applications et vérifiez que la case à cocher Audit avancé Microsoft 365 est activée.
Si la case à cocher n’est pas cochée, sélectionnez-la, puis sélectionnez Enregistrer les modifications.
La journalisation des insights d’audit (Premium) commence dans les 24 heures.
En outre, si vous avez personnalisé les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, les nouveaux événements Audit (Premium) publiés par Microsoft ne seront pas automatiquement audités sur ces boîtes aux lettres. Pour plus d’informations sur la modification des actions de boîte aux lettres auditées pour chaque type de connexion, consultez la section « Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut » dans Gérer l’audit de boîte aux lettres.
Conseil
Les organisations qui utilisent Audit (Standard) peuvent ignorer cette étape.
En plus de la stratégie par défaut qui conserve les enregistrements d’audit Microsoft Entra ID, Exchange, OneDrive et SharePoint pendant un an, les organisations qui utilisent Audit (Premium) peuvent créer des stratégies de rétention des journaux d’audit pour répondre aux exigences des équipes de sécurité, informatique et conformité de votre organization.
Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.
Maintenant que vous avez configuré Audit (Standard) ou Audit (Premium) pour votre organization, vous êtes prêt à effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview. Pour obtenir des instructions détaillées, consultez Rechercher dans le journal d’audit.
Événements
Relevez le défi Microsoft Learn
19 nov., 23 h - 10 janv., 23 h
Ignite Edition - Créez des compétences dans les produits de sécurité Microsoft et gagnez un badge numérique d’ici le 10 janvier !
S’inscrire maintenantEntrainement
Module
Rechercher et investiguer avec Audit Microsoft Purview - Training
Rechercher et investiguer avec Microsoft Purview Audit.
Certification
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.
Documentation
En savoir plus sur les solutions d’audit dans Microsoft Purview
Découvrez comment auditer les activités des utilisateurs et des administrateurs dans Microsoft Purview.
Gérer les stratégies de rétention du journal d'audit
Les stratégies de rétention du journal d’audit font partie des nouvelles fonctionnalités d’Audit (Premium) de Microsoft Purview. Une stratégie de rétention de journal d’audit vous permet de spécifier la durée de conservation des journaux d’audit dans votre organisation.
Exporter, configurer et afficher des enregistrements du journal d’audit
Dans cet article, vous allez apprendre à exporter, configurer et afficher les enregistrements du journal d’audit Microsoft 365.