Configurer Microsoft Purview Audit (Standard)

Microsoft Purview Audit (Standard) dans Microsoft 365 vous permet de rechercher des enregistrements d’audit pour les activités effectuées dans les différents services Microsoft 365 par les utilisateurs et les administrateurs. Étant donné que l’audit (Standard) est activé par défaut pour la plupart des organisations Microsoft 365 et Office 365, il n’y a que quelques choses que vous devez faire avant que vous, et d’autres dans votre organization puissent effectuer des recherches dans le journal d’audit.

Cet article décrit les étapes suivantes nécessaires à la configuration de l’audit (standard).

Étapes de configuration de l’audit (Standard).

Ces étapes incluent la garantie des abonnements organisationnels et des licences utilisateur nécessaires pour générer et conserver les enregistrements d’audit, et l’attribution d’autorisations aux membres de l’équipe de vos équipes chargées des opérations de sécurité, de l’informatique, de la conformité et des services juridiques afin qu’elles puissent effectuer des recherches dans le journal d’audit.

Pour plus d’informations, consultez Audit (Standard) dans Microsoft 365.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Étape 1 : Vérifier l’abonnement de l’organisation et les licences utilisateur

La gestion des licences pour l’audit (Standard) nécessite l’abonnement organization approprié qui fournit l’accès à l’outil de recherche dans les journaux d’audit et aux licences par utilisateur requises pour journaliser et conserver les enregistrements d’audit.

Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. Dans Audit (Standard), les enregistrements d’audit sont conservés et peuvent faire l’objet d’une recherche dans le journal d’audit pendant 180 jours.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Pour obtenir la liste des conditions d’abonnement et de licence pour l’audit (Standard), consultez Solutions d’audit Microsoft Purview.

Étape 2 : Attribuer des autorisations pour rechercher dans le journal d’audit

Importante

La gestion des autorisations d’audit à partir du Centre d’administration Exchange sera abandonnée à partir du 2 février 2024. Vous devez commencer à utiliser le portail de conformité dès maintenant pour gérer les autorisations d’audit et vous familiariser avec les nouveaux contrôles d’autorisations. Pour réduire l’impact sur vos organization, toutes les autorisations d’audit existantes actuellement attribuées dans le Centre d’administration Exchange seront automatiquement configurées dans le portail de conformité le 2 février 2024.

Les administrateurs et les membres des équipes d’investigation doivent se voir attribuer le rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans le portail de conformité pour rechercher ou exporter le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Lecteur d’audit et Gestionnaire d’audit sur la page Autorisations du portail complance.

Vous pouvez également créer des groupes de rôles personnalisés avec la possibilité de rechercher dans le journal d’audit en ajoutant les rôles Afficher uniquement journaux d’audit ou Journaux d’audit à un groupe de rôles personnalisé. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.

La capture d’écran suivante montre les deux groupes de rôles liés à l’audit dans le portail de conformité.

Groupes de rôles liés à l’audit dans le portail de conformité.

Attribuer des autorisations à partir du portail de conformité pour l’étendue des journaux d’audit (préversion)

Pour rechercher ou exporter le journal d’audit, les administrateurs ou les membres des équipes d’investigation doivent être affectés à au moins l’un des groupes de rôles liés à l’audit suivants dans le portail de conformité :

  • Gestionnaire d’audit : un utilisateur affecté au groupe de rôles Gestionnaire d’audit peut rechercher et exporter le journal d’audit et gérer les paramètres d’audit pour le locataire (comme l’activation ou la désactivation de la journalisation d’audit). Ce groupe de rôles accorde les rôles Journaux d’audit d’affichage uniquement et Journaux d’audit à l’utilisateur.
  • Lecteur d’audit : un utilisateur affecté au groupe de rôles Lecteur d’audit peut uniquement rechercher et exporter le journal d’audit. Ils ne peuvent pas activer ou désactiver la journalisation d’audit. Ce groupe de rôles accorde le rôle Afficher uniquement les journaux d’audit à l’utilisateur.

Étape 3 : Rechercher dans le journal d’audit

Vous êtes maintenant prêt à effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview.

  1. Accédez à https://compliance.microsoft.com et connectez-vous à l’aide d’un compte auquel les autorisations d’audit appropriées ont été attribuées.

  2. Dans le volet de navigation gauche du portail de conformité, sélectionnez Afficher tout , puis auditer.

  3. Dans la page Audit , configurez la recherche à l’aide des conditions suivantes sous l’onglet Recherche classique .

    Importante

    À compter du 30 novembre 2023, La recherche classique sera mise hors service à la place de la nouvelle recherche. La nouvelle recherche inclut des améliorations telles que des temps de recherche plus rapides, des options de recherche supplémentaires, la possibilité d’enregistrer des recherches, etc.

    1. Plage de dates et d’heures. Sélectionnez une plage de dates et d’heures pour afficher les événements survenus pendant cette période. La date et l’heure sont présentées en temps universel coordonné (UTC). Les sept derniers jours sont sélectionnés par défaut.

    2. Activités. Sélectionnez les activités à rechercher. Utilisez la zone de recherche pour rechercher des activités à ajouter à la liste. Pour obtenir une liste partielle des activités auditées, consultez activités auditées. Laissez cette zone vide pour renvoyer des entrées pour toutes les activités auditées.

    3. Utilisateurs. Sélectionnez dans cette zone et commencez à taper le nom des utilisateurs pour lequel afficher les résultats de recherche. Les entrées du journal d’audit pour les activités sélectionnées effectuées par les utilisateurs que vous sélectionnez dans cette zone s’affichent dans la liste des résultats. Laissez cette zone vide pour renvoyer les entrées pour tous les utilisateurs (et les comptes de service) dans votre organisation.

    4. fichier, dossier ou site. Tapez tout ou partie d'un nom de fichier ou de dossier pour rechercher une activité liée au fichier de dossier qui contient le mot-clé spécifié. Vous pouvez également spécifier l’URL d’un fichier ou d’un dossier. Si vous utilisez une URL d’un fichier ou d’un dossier, assurez-vous que le type est le chemin complet de l’URL ou si vous tapez une partie de l’URL, n’incluez pas de caractères ou d’espaces spéciaux. Laissez cette zone vide pour renvoyer les entrées correspondant à tous les fichiers et dossiers dans votre organisation.

  4. Sélectionnez Rechercher pour exécuter la recherche.

Une nouvelle page s’affiche et indique que la recherche dans le journal d’audit est en cours d’exécution. Une fois la recherche terminée, les enregistrements d’audit s’affichent sur la page. Sélectionnez un enregistrement pour afficher une page de menu volant avec des propriétés détaillées.

Pour obtenir des instructions plus détaillées, consultez Rechercher dans le journal d’audit dans le portail de conformité.