Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La journalisation d’audit est activée par défaut pour les organisations Microsoft 365. Toutefois, lorsque vous configurez une nouvelle organization Microsoft 365, vérifiez les status d’audit de votre organization. Pour obtenir des instructions, consultez la section Vérifier l’status d’audit de votre organization dans cet article.
Lorsque vous activez l’audit dans le portail Microsoft Purview, le journal d’audit enregistre l’activité des utilisateurs et des administrateurs à partir de votre organization et la conserve automatiquement pendant 180 jours. La conservation (durée de vie) des données d’audit commence lorsqu’elles sont ajoutées au journal d’audit et sont conservées en fonction des stratégies de rétention du journal d’audit et de la licence attribuée aux utilisateurs.
Importante
L’audit n’est pas activé par défaut pour les licences SMB (Small and Medium Business), notamment Microsoft 365 Business Basic, Business Standard et Business Premium. En outre, l’audit n’est pas activé par défaut pour les locataires non gérés qui utilisent des essais gratuits de licences d’entreprise. Dans ces deux cas, vous devez activer manuellement l’audit pour votre organization.
Les modifications apportées aux stratégies de gestion des licences utilisateur ou de rétention modifient également la date d’expiration des données d’audit.
Votre organization peut avoir des raisons de ne pas vouloir enregistrer et conserver les données du journal d’audit. Dans ce cas, un administrateur général peut désactiver l’audit dans Microsoft 365 pour votre organization. Pour obtenir des instructions, consultez la section Désactiver l’audit de cet article.
Importante
Si vous désactivez l’audit dans Microsoft 365, vous ne pouvez pas utiliser l’API activité de gestion Office 365 ou Microsoft Sentinel pour accéder aux données ou aux journaux d’audit de votre organization. Lorsque vous désactivez l’audit, les recherches dans le journal d’audit dans Microsoft Purview ne retournent aucun résultat. L’exécution de l’applet de commande Search-UnifiedAuditLog dans Exchange Online PowerShell ne retourne également aucun résultat.
Avant d’activer ou de désactiver l’audit
Le rôle Journaux d’audit doit vous être attribué dans Exchange Online pour activer ou désactiver l’audit. Par défaut, les groupes de rôles Gestion de la conformité et Gestion de l’organisation dans la page Autorisations du Centre d’administration Exchange ont ce rôle.
- Pour obtenir des instructions pas à pas sur la recherche dans le journal d’audit, consultez Rechercher dans le journal d’audit.
- Pour plus d’informations sur l’API d’activité de gestion Microsoft 365, consultez Prise en main des API de gestion Microsoft 365.
Vérifiez les status d’audit de votre organization
Pour vérifier que l’audit est activé pour votre organization, exécutez la commande suivante dans Exchange Online PowerShell :
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
La valeur de True pour la propriété UnifiedAuditLogIngestionEnabled indique que l’audit est activé. La valeur indique que l’audit False n’est pas activé.
Importante
Veillez à exécuter la commande précédente dans Exchange Online PowerShell. Bien que l’applet de commande Get-AdminAuditLogConfig soit également disponible dans Security & Compliance PowerShell, la propriété UnifiedAuditLogIngestionEnabled a toujours Falsela valeur , même lorsque l’audit est activé.
Activer l’audit
Si l’audit n’est pas activé pour votre organization, activez-le dans le portail Microsoft Purview ou à l’aide de Exchange Online PowerShell. L’activation de l’audit peut prendre plusieurs heures avant de pouvoir retourner des résultats lorsque vous effectuez une recherche dans le journal d’audit.
Effectuez les étapes suivantes pour activer l’audit :
- Connectez-vous au portail Microsoft Purview.
- Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.
- Si l’audit n’est pas activé pour votre organization, une bannière s’affiche vous invitant à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur.
- Sélectionnez la bannière Démarrer l’enregistrement de l’activité de l’utilisateur et de l’administrateur .
L’application de la modification peut prendre jusqu’à 60 minutes.
Utiliser PowerShell pour activer l’audit
Exécutez la commande PowerShell suivante pour activer l’audit.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $trueUn message s’affiche indiquant que l’application de la modification peut prendre jusqu’à 60 minutes.
Désactiver l’audit
Utilisez Exchange Online PowerShell pour désactiver l’audit.
Exécutez la commande PowerShell suivante pour désactiver l’audit.
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $falseAprès un certain temps, vérifiez que l’audit est désactivé. Deux méthodes s’offrent à vous pour effectuer cette action :
Dans Exchange Online PowerShell, exécutez la commande suivante :
Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabledLa valeur de
Falsepour la propriété UnifiedAuditLogIngestionEnabled indique que l’audit est désactivé.Accédez à la page Audit dans le portail Microsoft Purview.
Si l’audit n’est pas activé pour votre organization, une bannière vous invite à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur.
Enregistrements d’audit lorsque l’status d’audit est modifié
Votre organization audite les modifications apportées à l’status d’audit. Ce processus audite les modifications apportées au status d’audit. Les enregistrements d’audit sont enregistrés lorsque l’audit est activé ou désactivé. Vous pouvez rechercher ces enregistrements d’audit dans le journal d’audit de l’administrateur Exchange.
Pour rechercher dans le journal d’audit de l’administrateur Exchange les enregistrements d’audit générés lors de l’activation ou de la désactivation de l’audit, exécutez la commande suivante dans Exchange Online PowerShell :
Search-UnifiedAuditLog -Operations Set-AdminAuditLogConfig
Les enregistrements d’audit de ces événements contiennent des informations sur le moment où l’status d’audit a été modifié, l’administrateur qui l’a modifiée et l’adresse IP de l’ordinateur utilisé pour effectuer la modification. Les captures d’écran suivantes montrent les enregistrements d’audit qui correspondent à la modification de la status d’audit dans votre organization.
Enregistrement d’audit pour Set-AdminAuditLogConfig
Recherchez la valeur de résultat de UnifiedAuditLogIngestionEnabled dans la propriété AuditData . Cette valeur indique si la journalisation d’audit unifiée a été activée ou désactivée dans le portail Microsoft Purview ou en exécutant l’applet de commande Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true/false .
Pour plus d’informations sur la recherche dans le journal d’audit de l’administrateur Exchange, consultez Search-UnifiedAuditLog.