Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Purview Audit (Standard) et Audit (Premium) vous permettent de rechercher des enregistrements d’audit des activités effectuées par les utilisateurs et les administrateurs dans différents services Microsoft. Étant donné que l’audit (Standard) est activé par défaut pour la plupart des organisations Microsoft 365, il vous suffit d’effectuer quelques étapes avant que vous et les autres membres de votre organization puissiez effectuer des recherches dans le journal d’audit. Pour utiliser les fonctionnalités disponibles uniquement dans Audit (Premium), vous devez effectuer quelques étapes de configuration supplémentaires.
Pour plus d’informations sur les fonctionnalités d’audit (Standard) et d’audit (Premium), consultez Solutions d’audit Microsoft Purview.
Étape 1 : Vérifier organization abonnement et facturation
Les licences pour l’audit (Standard) et l’audit (Premium) nécessitent l’abonnement organization approprié qui fournit l’accès à l’outil de recherche dans les journaux d’audit et aux licences par utilisateur requises pour journaliser et conserver les enregistrements d’audit.
Lorsqu’un utilisateur ou un administrateur effectue une activité auditée, le système génère un enregistrement d’audit et le stocke dans le journal d’audit pour votre organization. Dans Audit (Standard) et Audit (Premium), vous pouvez conserver et rechercher des enregistrements d’audit dans le journal d’audit pendant 180 jours.
Importante
La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.
Pour obtenir la liste des conditions d’abonnement et de licence pour ces solutions d’audit, consultez les conditions d’abonnement pour Audit (Standard) et Audit (Premium).
Pour auditer les interactions des utilisateurs avec des données IA non-Microsoft 365, qui incluent des informations provenant d’autres applications d’IA génératives de Microsoft et d’applications IA externes connectées, vous devez activer la facturation du paiement à l’utilisation pour vos organization. Ce type de données inclut Copilot dans Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio et toute application IA connectée ou cloud.
Étape 2 : Attribuer des autorisations pour rechercher dans le journal d’audit
Les administrateurs et les membres des équipes d’investigation doivent se voir attribuer le rôle Afficher uniquement les journaux d’audit ou journaux d’audit dans le portail Microsoft Purview pour rechercher ou exporter le journal d’audit. Par défaut, la page Groupes de rôles du portail Microsoft Purview attribue ces rôles aux groupes de rôles Lecteur d’audit et Gestionnaire d’audit .
Remarque
Actuellement, les autorisations du Centre d’administration Exchange sont requises pour activer ou désactiver l’audit et accéder aux applets de commande d’audit. Utilisez les rôles Journaux d’audit et Journaux d’audit afficher uniquement dans le Centre d’administration Exchange pour accorder l’accès aux applets de commande d’audit. Utilisez le rôle Journaux d’audit existant dans le Centre d’administration Exchange pour accorder l’accès afin d’activer ou de désactiver l’audit.
Vous pouvez également créer des groupes de rôles personnalisés avec la possibilité de rechercher dans le journal d’audit en ajoutant les rôles Afficher uniquement journaux d’audit ou Journaux d’audit à un groupe de rôles personnalisé. Pour plus d’informations, consultez Autorisations dans le portail Microsoft Purview.
Remarque
L’accès à l’API Graph recherche d’audit nécessite des autorisations supplémentaires pour être configuré dans Microsoft Graph. Pour plus d’informations, consultez Autorisations dans auditer la recherche API Graph.
Attribuer des autorisations aux journaux d’audit d’étendue
Pour rechercher ou exporter le journal d’audit, les administrateurs ou les membres des équipes d’investigation doivent être affectés à au moins l’un des groupes de rôles liés à l’audit suivants dans le portail Microsoft Purview :
- Gestionnaire d’audit : un utilisateur affecté au groupe de rôles Gestionnaire d’audit peut rechercher et exporter le journal d’audit et gérer les paramètres d’audit pour le locataire (comme l’activation ou la désactivation de la journalisation d’audit). Ce groupe de rôles accorde les rôles Journaux d’audit d’affichage uniquement et Journaux d’audit à l’utilisateur.
- Lecteur d’audit : un utilisateur affecté au groupe de rôles Lecteur d’audit peut uniquement rechercher et exporter le journal d’audit. Ils ne peuvent pas activer ou désactiver la journalisation d’audit. Ce groupe de rôles accorde le rôle Afficher uniquement les journaux d’audit à l’utilisateur.
Étape 3 : Activer les événements SearchQueryInitiated
Vous devez activer explicitement deux événements (SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint) pour la journalisation lorsque les utilisateurs effectuent des recherches dans Exchange Online et SharePoint.
Pour permettre l’audit de ces deux événements pour les utilisateurs, exécutez l’applet de commande suivante (pour chaque utilisateur) dans Exchange Online PowerShell :
Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}
Dans un environnement multigéographique, vous devez exécuter la commande Set-Mailbox dans la forêt où se trouve la boîte aux lettres de l’utilisateur. Pour identifier l’emplacement de la boîte aux lettres de l’utilisateur, exécutez l’applet de commande suivante :
Get-Mailbox <user identity> | FL MailboxLocations
Si vous avez précédemment exécuté l’applet de commande pour activer l’audit des requêtes de recherche dans une forêt différente de celle où se trouve la boîte aux lettres de l’utilisateur, supprimez la valeur SearchQueryInitiated de la boîte aux lettres de l’utilisateur. Pour supprimer la valeur, exécutez Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}. Ensuite, ajoutez-le à la boîte aux lettres de l’utilisateur dans la forêt où se trouve la boîte aux lettres de l’utilisateur.
Remarque
Ces applets de commande PowerShell sont valides uniquement pour les événements SearchQueryInitiated et ne s’appliquent pas aux autres événements du journal d’audit.
Étape 4 : Configurer l’audit (Premium) pour les utilisateurs
Conseil
Les organisations qui utilisent Audit (Standard) peuvent ignorer cette étape.
Les fonctionnalités d’audit (Premium), telles que la possibilité de journaliser des insights intelligents, nécessitent une licence E5 appropriée attribuée aux utilisateurs. En outre, vous devez activer le plan d’application/service Audit avancé pour ces utilisateurs.
Pour activer le plan de service d’audit avancé pour les utilisateurs, effectuez les étapes suivantes pour chaque utilisateur :
- Dans la Centre d’administration Microsoft 365, accédez à Utilisateurs>Utilisateurs actifs, puis sélectionnez un utilisateur.
- Dans la page de menu volant des propriétés utilisateur, sélectionnez Licences et applications.
- Dans la section Licences , vérifiez que l’utilisateur dispose d’une licence E5 ou d’une licence de module complémentaire appropriée. Pour obtenir la liste des licences qui prennent en charge l’audit (Premium), consultez Auditer les exigences de licence.
- Développez la section Applications et cochez la case Audit avancé Microsoft 365 .
- Sélectionnez Enregistrer les modifications. La journalisation des insights d’audit (Premium) commence dans les 24 heures.
Si vous personnalisez les actions de boîte aux lettres qui sont connectées aux boîtes aux lettres utilisateur ou aux boîtes aux lettres partagées, les nouveaux événements Audit (Premium) publiés par Microsoft ne sont pas automatiquement audités sur ces boîtes aux lettres. Pour plus d’informations sur la modification des actions de boîte aux lettres auditées pour chaque type de connexion, consultez la section « Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut » dans Gérer l’audit des boîtes aux lettres.
Étape 5 : Configurer des stratégies de rétention d’audit dans Audit (Premium)
Conseil
Les organisations qui utilisent Audit (Standard) peuvent ignorer cette étape.
En plus de la stratégie par défaut qui conserve les enregistrements d’audit Microsoft Entra ID, Exchange, OneDrive et SharePoint pendant un an, les organisations qui utilisent Audit (Premium) peuvent créer des stratégies de rétention des journaux d’audit pour répondre aux exigences des équipes des opérations de sécurité, de l’informatique et de la conformité de votre organization.
Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.
Étape 6 : Rechercher des événements audités
Maintenant que vous avez configuré Audit (Standard) ou Audit (Premium) pour votre organization, vous êtes prêt à effectuer une recherche dans le journal d’audit dans le portail Microsoft Purview. Pour obtenir des instructions détaillées, consultez Rechercher dans le journal d’audit.