Démarrage avec des solutions d’audit

Microsoft Purview Audit (Standard) et Audit (Premium) vous permettent de rechercher des enregistrements d’audit pour les activités effectuées dans les différents services Microsoft par les utilisateurs et les administrateurs. Étant donné que l’audit (Standard) est activé par défaut pour la plupart des organisations Microsoft 365, il n’y a que quelques choses que vous devez faire avant de vous, et d’autres dans votre organization peuvent effectuer des recherches dans le journal d’audit. Vous devez effectuer d’autres étapes de configuration pour utiliser les fonctionnalités disponibles uniquement dans Audit (Premium).

Pour plus d’informations sur les fonctionnalités d’audit (Standard) et d’audit (Premium), consultez Solutions d’audit Microsoft Purview.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Étape 1 : Vérifier l’abonnement de l’organisation et les licences utilisateur

Les licences pour Audit (Standard) et Audit (Premium) nécessitent l’abonnement organization approprié qui fournit l’accès à l’outil de recherche dans les journaux d’audit et aux licences par utilisateur requises pour journaliser et conserver les enregistrements d’audit.

Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. Dans Audit (Standard) et Audit (Premium), les enregistrements d’audit sont conservés et peuvent faire l’objet d’une recherche dans le journal d’audit pendant 180 jours.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Pour obtenir la liste des conditions d’abonnement et de licence pour ces solutions d’audit, consultez les conditions d’abonnement pour Audit (Standard) et Audit (Premium).

Étape 2 : Attribuer des autorisations pour rechercher dans le journal d’audit

Les administrateurs et les membres des équipes d’investigation doivent se voir attribuer le rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview pour rechercher ou exporter le journal d’audit. Par défaut, ces rôles sont attribués aux groupes de rôles Lecteur d’audit et Gestionnaire d’audit dans la page Groupes de rôles du portail Microsoft Purview et à la page Autorisations dans le portail de conformité.

Remarque

L’accès pour activer ou désactiver l’audit et l’accès aux applets de commande d’audit nécessite actuellement des autorisations du Centre d’administration Exchange. Utilisez les rôles Journaux d’audit et Journaux d’audit afficher uniquement dans le Centre d’administration Exchange pour accorder l’accès aux applets de commande d’audit. Utilisez le rôle Journaux d’audit existant dans le Centre d’administration Exchange pour accorder l’accès à l’activation ou à la désactivation de l’audit.

Vous pouvez également créer des groupes de rôles personnalisés avec la possibilité de rechercher dans le journal d’audit en ajoutant les rôles Afficher uniquement journaux d’audit ou Journaux d’audit à un groupe de rôles personnalisé. Pour plus d’informations, consultez la rubrique Autorisations dans le portail de conformité Microsoft Purview.

Remarque

L’accès à l’API Graph recherche d’audit nécessite des autorisations supplémentaires pour être configuré dans Microsoft Graph. Pour plus d’informations, consultez Autorisations dans auditer la recherche API Graph.

Attribuer des autorisations aux journaux d’audit d’étendue

Pour rechercher ou exporter le journal d’audit, les administrateurs ou les membres des équipes d’investigation doivent être affectés à au moins l’un des groupes de rôles liés à l’audit suivants dans le portail Microsoft Purview ou le portail de conformité :

  • Gestionnaire d’audit : un utilisateur affecté au groupe de rôles Gestionnaire d’audit peut rechercher et exporter le journal d’audit et gérer les paramètres d’audit pour le locataire (comme l’activation ou la désactivation de la journalisation d’audit). Ce groupe de rôles accorde les rôles Journaux d’audit d’affichage uniquement et Journaux d’audit à l’utilisateur.
  • Lecteur d’audit : un utilisateur affecté au groupe de rôles Lecteur d’audit peut uniquement rechercher et exporter le journal d’audit. Ils ne peuvent pas activer ou désactiver la journalisation d’audit. Ce groupe de rôles accorde le rôle Afficher uniquement les journaux d’audit à l’utilisateur.

Étape 3 : Activer les événements SearchQueryInitiated

Vous devez activer explicitement deux événements (SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint) pour la journalisation lorsque les utilisateurs effectuent des recherches dans Exchange Online et SharePoint.

Pour permettre l’audit de ces deux événements pour les utilisateurs, exécutez l’applet de commande suivante (pour chaque utilisateur) dans Exchange Online PowerShell :

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Dans un environnement multigéographique, vous devez exécuter la commande Set-Mailbox dans la forêt où se trouve la boîte aux lettres de l’utilisateur. Pour identifier l’emplacement de la boîte aux lettres de l’utilisateur, exécutez l’applet de commande suivante :

Get-Mailbox <user identity> | FL MailboxLocations

Si l’applet de commande permettant d’activer l’audit des requêtes de recherche a été précédemment exécutée dans une forêt différente de celle dans laquelle se trouve la boîte aux lettres de l’utilisateur, vous devez supprimer la valeur SearchQueryInitiated de la boîte aux lettres de l’utilisateur. Supprimez la valeur en exécutant Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} , puis ajoutez-la à la boîte aux lettres de l’utilisateur dans la forêt où se trouve la boîte aux lettres de l’utilisateur.

Étape 4 : Configurer l’audit (Premium) pour les utilisateurs

Conseil

Les organisations qui utilisent Audit (Standard) peuvent ignorer cette étape.

Les fonctionnalités d’audit (Premium), telles que la possibilité de journaliser des insights intelligents, nécessitent l’attribution d’une licence E5 appropriée aux utilisateurs. De plus, l’application/plan de service d’audit avancé doit être activé pour ces utilisateurs.

Pour vérifier que l’application Audit avancé est affectée aux utilisateurs, effectuez les étapes suivantes pour chaque utilisateur :

  1. Dans la Centre d’administration Microsoft 365, accédez à Utilisateurs>Utilisateurs actifs, puis sélectionnez un utilisateur.

  2. Dans la page de menu volant des propriétés utilisateur, sélectionnez Licences et applications.

  3. Dans la section Licences , vérifiez que l’utilisateur dispose d’une licence E5 ou d’une licence de module complémentaire appropriée. Pour obtenir la liste des licences qui prennent en charge l’audit (Premium), consultez Auditer les exigences de licence.

  4. Développez la section Applications et vérifiez que la case à cocher Audit avancé Microsoft 365 est activée.

  5. Si la case à cocher n’est pas cochée, sélectionnez-la, puis sélectionnez Enregistrer les modifications.

    La journalisation des insights d’audit (Premium) commence dans les 24 heures.

En outre, si vous avez personnalisé les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, les nouveaux événements Audit (Premium) publiés par Microsoft ne seront pas automatiquement audités sur ces boîtes aux lettres. Pour plus d’informations sur la modification des actions de boîte aux lettres auditées pour chaque type de connexion, consultez la section « Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut » dans Gérer l’audit de boîte aux lettres.

Étape 5 : Configurer des stratégies de rétention d’audit dans Audit (Premium)

Conseil

Les organisations qui utilisent Audit (Standard) peuvent ignorer cette étape.

En plus de la stratégie par défaut qui conserve les enregistrements d’audit Microsoft Entra ID, Exchange, OneDrive et SharePoint pendant un an, les organisations qui utilisent Audit (Premium) peuvent créer des stratégies de rétention des journaux d’audit pour répondre aux exigences des équipes de sécurité, informatique et conformité de votre organization.

Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Étape 6 : Rechercher des événements audités

Maintenant que vous avez configuré Audit (Standard) ou Audit (Premium) pour votre organization, vous êtes prêt à effectuer une recherche dans le journal d’audit dans le portail de conformité Microsoft Purview. Pour obtenir des instructions détaillées, consultez Rechercher dans le journal d’audit.