Affichez l’activité et l’historique d’audit des rôles de ressources Azure dans Privileged Identity Management

  • Article

Privileged Identity Management (PIM) dans Microsoft Entra ID vous permet de voir l’activité, les activations et l’historique d’audit des rôles des ressources Azure au sein de votre organisation. Cela inclut les abonnements, les groupes de ressources et même les machines virtuelles. Toutes les ressources du centre d’administration Microsoft Entra qui utilisent la fonctionnalité de contrôle d’accès en fonction du rôle d’Azure peuvent tirer parti des capacités de gestion de la sécurité et du cycle de vie proposées par Privileged Identity Management. Si vous souhaitez conserver les données d’audit plus longtemps que la période de conservation par défaut, utilisez Azure Monitor pour les transférer vers un compte de stockage Azure. Pour plus d’informations, consultez Archiver des journaux Microsoft Entra dans un compte de stockage Azure.

Remarque

Si votre organisation externalise des fonctions de gestion à un fournisseur de services qui utiliseAzure Lighthouse, les attributions de rôles autorisées par ce fournisseur de services ne s’afficheront pas ici.

Afficher l’activité et les activations

Pour connaître les actions qu’un utilisateur en particulier a effectuées dans différentes ressources, vous pouvez voir l’activité des ressources Azure qui est associée à une période d’activation donnée.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Ressources Azure.

  3. Sélectionnez la ressource pour laquelle vous souhaitez voir l’activité et les activations.

  4. Sélectionnez Rôles ou Membres.

  5. Sélectionnez un utilisateur.

    Vous voyez un résumé des actions de l’utilisateur dans les ressources Azure par date. Il montre également les dernières activations de rôle sur cette même période.

    Capture d’écran des détails de l’utilisateur avec un résumé des activités des ressources et activations de rôle.

  6. Sélectionnez une activation de rôle spécifique pour afficher les détails et l’activité de ressource Azure correspondante qui s’est produite pendant que cet utilisateur était actif.

    Capture d’écran d’une activation de rôle sélectionnée et des détails de l’activité.

Exporter les attributions de rôle ayant des enfants

Vous pouvez avoir une exigence de conformité selon laquelle vous devez fournir une liste complète des attributions de rôle à des auditeurs. Privileged Identity Management permet d’interroger les attributions de rôle sur une ressource particulière, ce qui inclut les attributions de rôle de toutes les ressources enfants. Avant, il était difficile pour les administrateurs d’obtenir une liste complète des attributions de rôle d’un abonnement, car ils devaient les exporter pour chaque ressource spécifique. Avec Privileged Identity Management, vous pouvez interroger toutes les attributions de rôle actives et éligibles d’un abonnement, notamment les attributions de rôle des ressources et de tous les groupes de ressources.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Ressources Azure.

  3. Sélectionnez la ressource pour laquelle vous souhaitez exporter des attributions de rôle, par exemple un abonnement.

  4. Sélectionnez Affectations.

  5. Sélectionnez Exporter pour ouvrir le volet Exporter l’appartenance.

    Capture d’écran illustrant le volet d’exportation des appartenances permettant d’exporter tous les membres.

  6. Sélectionnez Exporter tous les membres pour exporter toutes les attributions de rôles dans un fichier CSV.

    Capture d’écran illustrant des attributions de rôle exportées dans un fichier CSV comme affiché dans Excel.

Afficher l’historique d’audit des ressources

L’audit des ressources vous donne une vue d’ensemble de l’activité des rôles d’une ressource.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Ressources Azure.

  3. Sélectionnez la ressource pour laquelle vous souhaitez consulter l’historique d’audit.

  4. Sélectionnez un audit de ressources.

  5. Filtrez l’historique à l’aide d’une date prédéfinie ou d’une plage personnalisée.

    Capture d’écran illustrant une liste d’audits de ressources avec des filtres.

  6. Pour Type d’audit, sélectionnez Activer (Attribué + Activé).

    Capture d’écran illustrant une liste d’audits de ressources filtrée par type d’audit Activé.

  7. Sous Action, sélectionnez (activité) pour qu’un utilisateur voie les détails de l’activité de cet utilisateur dans les ressources Azure.

    Capture d’écran illustrant les détails de l’activité utilisateur pour une action particulière.

Afficher mon audit

Mon audit vous permet d’afficher votre activité personnelle de rôle.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Ressources Azure.

  3. Sélectionnez la ressource pour laquelle vous souhaitez consulter l’historique d’audit.

  4. Sélectionnez Mon audit.

  5. Filtrez l’historique en choisissant une date prédéfinie ou une plage personnalisée.

    Capture d’écran illustrant une liste d’audits pour l’utilisateur actuel.

Remarque

Pour accéder à l’historique d’audit, vous devez avoir un rôle Administrateur général ou Administrateur de rôle privilégié.

Obtenir la raison, l’approbateur et le numéro de ticket pour les événements d’approbation

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit.

  3. Utilisez le filtre Service pour afficher uniquement les événements d’audit qui concernent le service Privileged Identity Management. Sur la page Journaux d’audit, vous pouvez :

    • Consulter la raison d’un événement d’audit dans la colonne Motif du statut.
    • Consulter l’approbateur dans la colonne Initié par (acteur) pour l’événement « Demande d’ajout de membre au rôle approuvée ».

    Capture d’écran illustrant le filtrage du journal d’audit pour le service PIM.

  4. Sélectionnez un événement de journal d’audit pour afficher le numéro de ticket sous l’onglet Activité du volet Détails.

    Capture d’écran illustrant le numéro de ticket pour l’événement d’audit.

  5. Vous pouvez afficher le demandeur (personne qui active le rôle) sous l’onglet Cibles du volet Détails d’un événement d’audit. Il existe trois types de cibles pour les rôles de ressources Azure :

    • Le rôle (Type = Rôle)
    • Le demandeur (Type = Autre)
    • L’approbateur (Type = Utilisateur)

    Capture d’écran illustrant comment vérifier le type de cible.

En règle générale, l’événement de journal situé juste au-dessus de l’événement d’approbation est un événement « Ajout de membre au rôle terminé » où Initié par (acteur) est le demandeur. Dans la plupart des cas, vous n’aurez pas besoin de rechercher le demandeur dans la demande d’approbation du point de vue de l’audit.

Étapes suivantes