Que sont les journaux d’audit Microsoft Entra ?

Les journaux d’activité Microsoft Entra incluent des journaux d’audit qui sont un rapport complet sur chaque événement journalisé dans Microsoft Entra ID. Les modifications apportées aux applications, aux groupes, aux utilisateurs et aux licences sont toutes capturées dans les journaux d’audit Microsoft Entra.

Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre locataire :

• Connexions : Informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
• Approvisionnement : Activités réalisées par le service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

Cet article vous donne une vue d’ensemble des journaux d’audit, tels que les informations qu’ils fournissent et les types de questions auxquelles ils peuvent répondre.

Que pouvez-vous faire avec les journaux d’audit ?

Les journaux d’audit dans Microsoft Entra ID fournissent l’accès aux enregistrements d’activité système, souvent nécessaires à la conformité. Vous pouvez obtenir des réponses aux questions relatives aux utilisateurs, aux groupes et aux applications.

Utilisateurs :

• Quels types de modifications ont été récemment appliquées aux utilisateurs ?
• Combien d’utilisateurs ont été modifiés ?
• Combien de mots de passe ont été modifiés ?

Groupes :

• Quels groupes ont été récemment ajoutés ?
• Les propriétaires du groupe ont-ils changé ?
• Quelles licences sont attribuées à un groupe ou à un utilisateur ?

Applications :

• Quelles applications ont été mises à jour ou supprimées ?
• Le principal de service d’une application a-t-il été modifié ?
• Les noms des applications ont-ils été modifiés ?

Attributs de sécurité personnalisés :

• Quelles modifications ont été apportées aux définitions d’attribut de sécurité personnalisé ou aux affectations ?
• Quelles mises à jour ont été apportées aux ensembles d’attribut ?
• Quelles valeurs d’attribut personnalisé ont été affectées à un utilisateur ?

Que montrent les journaux ?

Les journaux d’audit ont par défaut la valeur d’onglet Répertoire qui affiche les informations suivantes :

• Date et heure de l’événement
• Service qui a enregistré l’occurrence
• Catégorie et nom de l’activité (laquelle)
• État de l’activité (réussite ou échec)

Un deuxième onglet pour Sécurité personnalisée affiche des journaux d’audit pour les attributs de sécurité personnalisés. Pour afficher des données sur cet onglet, vous devez avoir le rôle Administrateur du journal d’attributs ou Lecteur du journal d’attributs. Ce journal d’audit affiche toutes les activités liées aux attributs de sécurité personnalisés. Pour obtenir plus d’informations, consultez Que sont les attributs de sécurité personnalisés.

Journaux d’activité Microsoft 365

Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Bien que les journaux d’activité Microsoft 365 et Microsoft Entra partagent une grande partie des ressources du répertoire, seul le centre d’administration Microsoft 365 offre une vue complète des journaux d’activité Microsoft 365.

Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.

La plupart des abonnements Microsoft 365 autonomes ou regroupés ont des dépendances de serveur principal sur certains sous-systèmes au sein de la limite du datacenter Microsoft 365. Les dépendances requièrent une écriture différée des informations pour assurer la synchronisation des répertoires et permettre une intégration sans soucis dans un abonnement pour Exchange Online. Pour ces écritures différées, les entrées du journal d’audit affichent les actions prises par la « Gestion du substrat Microsoft ». Ces entrées du journal d’audit font référence aux opérations de création/mise à jour/suppression exécutées par Exchange Online pour Microsoft Entra ID. Les entrées sont fournies à titre d’information et ne nécessitent aucune action.