Intégrez les journaux Microsoft Entra aux journaux Azure Monitor

  • Procédures

À l’aide des paramètres de diagnostic dans Microsoft Entra ID, vous pouvez intégrer les journaux à Azure Monitor afin que votre activité de connexion et la piste d’audit des modifications au sein de votre locataire puissent être analysées avec d’autres données Azure.

Cet article fournit les étapes dans cet article pour intégrer des journaux d’activité Microsoft Entra à Azure Monitor.

Utilisez l’intégration des journaux d’activité de Microsoft Entra et d’Azure Monitor pour effectuer les tâches suivantes :

  • Comparez vos journaux de connexion Microsoft Entra aux journaux de sécurité publiés par Microsoft Defender pour le cloud.
  • Résoudre les goulots d’étranglement de performances sur la page de connexion de votre application en mettant en corrélation les données de performances d’application à partir d’Azure Application Insights.
  • Analyser les utilisateur à risque en matière de protection d’identité et les journaux d'activité de détection de risque pour détecter les menaces dans votre environnement.
  • Identifiez les connexions à partir d’applications qui utilisent encore la Bibliothèque d’authentification Active Directory (ADAL) pour l’authentification. Découvrez le plan de fin de support ADAL.

Remarque

L’intégration des journaux Microsoft Entra à Azure Monitor active automatiquement le connecteur de données Microsoft Entra au sein de Microsoft Sentinel.

Prérequis

Pour utiliser cette fonctionnalité, vous avez besoin des éléments suivants :

  • Un abonnement Azure. Si vous n’en avez pas, vous pouvez demander un essai gratuit.

  • Un locataire Microsoft Entra ID P1 ou P2.

  • Au moins le rôle Administrateur de la sécurité dans le locataire Microsoft Entra.

Créer un espace de travail Log Analytics

Un espace de travail Log Analytics vous permet de collecter des données en fonction de diverses exigences, telles que l'emplacement géographique des données, les limites d'abonnement ou l'accès aux ressources. Découvrez comment créer un espace de travail Log Analytics.

Vous cherchez comment configurer un espace de travail Log Analytics pour les ressources Azure en dehors de Microsoft Entra ID ? Consultez l’article Collecter et afficher les journaux de ressources pour Azure Monitor .

Envoyer des journaux à Azure Monitor

Suivez les étapes suivantes pour envoyer les journaux de Microsoft Entra ID vers les journaux Azure Monitor. Vous cherchez comment configurer l’espace de travail Log Analytics pour les ressources Azure en dehors de Microsoft Entra ID ? Consultez l’article Collecter et afficher les journaux de ressources pour Azure Monitor .

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Surveillance et intégrité>Paramètres de diagnostic. Vous pouvez également sélectionner Exporter les paramètres à partir de la page Journaux d’audit ou Connexion.

  3. Sélectionnez + Ajouter un paramètre de diagnostic pour créer une intégration ou sélectionnez Modifier le paramètre pour une intégration existante.

  4. Entrez un nom dans Nom du paramètre de diagnostic. Si vous modifiez une intégration existante, vous ne pouvez pas modifier le nom.

  5. Sélectionnez les catégories de journaux que vous souhaitez diffuser en continu. Pour obtenir une description de chaque catégorie de journal, consultez Les journaux d’activité d’identité que vous pouvez diffuser en continu vers un point de terminaison.

  6. Sous Détails de la destination, cochez la case Envoyer à l’espace de travail Log Analytics.

  7. Sélectionnez l’abonnement et l’espace de travail Log Analytics appropriés dans les menus.

  8. Sélectionnez le bouton Enregistrer.

    Capture d’écran des paramètres de diagnostic avec des détails de destination affichés.

    Si vous ne voyez pas les journaux apparaître dans la destination sélectionnée après 15 minutes, déconnectez-vous et reconnectez-vous à Azure pour actualiser les journaux.

Contenu connexe