Audit avancé de Microsoft 365Advanced Audit in Microsoft 365

La fonctionnalité d'audit unifiée de Microsoft 365 offre aux organisations une visibilité dans de nombreux types d’activités auditées dans différents services de Microsoft 365.The unified auditing functionality in Microsoft 365 provides organizations with visibility into many types of audited activities across many different services in Microsoft 365. L’audit avancé permet aux organisations d’effectuer des investigations de conformité et d’audit en augmentant la rétention du journal d’audit nécessaire pour mener une investigation, en fournissant l’accès à des événements importants qui permettent de déterminer l’étendue de la compromission et un accès plus rapide à l’API de l’Activité de Gestion d’Office 365.Advanced Audit helps organizations to conduct forensic and compliance investigations by increasing audit log retention required to conduct an investigation, providing access to crucial events that help determine scope of compromise, and faster access to Office 365 Management Activity API.

Notes

L’Audit avancé est à la disposition des organisations disposant d’un abonnement Office 365 E5/G5 ou Microsoft 365 Entreprise E5/G5.Advanced Audit is available for organizations with an Office 365 E5/G5 or Microsoft 365 Enterprise E5/G5 subscription. De plus, une Conformité Microsoft 365 E5 ou E5 eDiscovery et une licence de complément d’audit peuvent être attribuées aux utilisateurs lorsqu'une licence par utilisateur est requise pour des fonctionnalités d’audit avancées, comme dans le cas de la rétention à long terme de journaux d’audit et l’accès à des évènements essentiels pour enquêtes.Additionally, a Microsoft 365 E5 Compliance or E5 eDiscovery and Audit add-on license can be assigned to users when per-user licensing is required for Advanced Audit features as is the case for long-term retention of audit logs and access to crucial events for investigations. Pour plus d’informations sur les licences, voir instructions relatives aux licences Microsoft 365 pour la sécurité et la conformité.For more information about licensing, see Microsoft 365 licensing guidance for security & compliance.

Cet article fournit une vue d’ensemble des fonctionnalités Audit avancé et décrit la configuration des utilisateurs pour l’audit avancé.This article provides an overview of Advanced Audit capabilities and shows you how to set up users for Advanced Audit.

Conservation à long terme des journaux d’auditLong-term retention of audit logs

L’audit avancé conserve tous les enregistrements d’audit Exchange, SharePoint et Azure Active Directory pendant une durée d'un an.Advanced Audit retains all Exchange, SharePoint, and Azure Active Directory audit records for one year. Ceci est réalisé par une stratégie de rétention du journal d’audit par défaut qui conserve tout enregistrement d’audit contenant la valeur Exchange, SharePoint ou AzureActiveDirectory pour la propriété Charge de travail (indiquant le service dans lequel l’activité s’est produite) pendant un an.This is accomplished by a default audit log retention policy that retains any audit record that contains the value of Exchange, SharePoint, or AzureActiveDirectory for the Workload property (which indicates the service in which the activity occurred) for one year. La rétention d’enregistrements d’audit sur des périodes plus longues peut vous aider à effectuer des investigations de conformité ou de vérification en cours.Retaining audit records for longer periods can help with on-going forensic or compliance investigations. Pour plus d’informations, voir la section « Stratégie de rétention du journal d’audit par défaut » dans Gérer les stratégies de rétention du journal d’audit.For more information, see the "Default audit log retention policy" section in Manage audit log retention policies.

Nous publions également la fonctionnalité pour retenir les journaux d’audit pendant 10 ans.We're also releasing the capability to retain audit logs for 10 years. La rétention de 10 ans des journaux d’audit permet de faciliter les investigations de longue durée et de répondre aux obligations réglementaires, légales et internes.The 10-year retention of audit logs helps support long running investigations and respond to regulatory, legal, and internal obligations.

Notes

La rétention des journaux d’audit pendant 10 ans nécessite une licence supplémentaire de complément. Retaining audit logs for 10 years will require an additional add-on license. Pour plus d’informations, voir la section Questions Courantes sur l’Audit Avancé de cet article.For more information, see the FAQs for Advanced Audit section in this article.

Stratégies de rétention du journal d'auditAudit log retention policies

Tous les enregistrements d’audit générés dans d’autres services qui ne sont pas couverts par la stratégie de rétention par défaut du journal d’audit (décrits dans la section précédente) sont conservés pendant une durée de 90 jours.All audit records generated in other services that aren't covered by the default audit log retention policy (described in the previous section) are retained for 90 days. Toutefois, vous pouvez créer des stratégies de rétention de journal d’audit personnalisées pour retenir d'autres enregistrements d’audit pendant 10 ans.But you can create customized audit log retention policies to retain other audit records for longer periods of time up to 10 years. Vous pouvez créer une stratégie pour conserver les enregistrements d’audit basés sur un ou plusieurs critères énumérés ci-après :You can create a policy to retain audit records based on one or more of the following criteria:

  • Service Microsoft 365 dans lequel les activités auditées ont lieu.The Microsoft 365 service where the audited activities occur.

  • Activités auditées spécifiques.Specific audited activities.

  • L’utilisateur effectuant une activité auditée.The user who performs an audited activity.

Vous pouvez également spécifier la durée de conservation des enregistrements d’audit qui correspondent à une stratégie et à un niveau de priorité pour que les stratégies spécifiques soient prioritaires sur les autres stratégies.You can also specify how long to retain audit records that match the policy and a priority level so that specific policies will take priority over other policies. Veuillez noter également que toute stratégie de rétention de journal d’audit personnalisée sera prioritaire sur la stratégie de rétention d’audit par défaut si vous devez retenir des enregistrements d’audit Exchange, SharePoint ou Azure Active Directory pendant moins d’un an (ou pendant 10 ans) pour certains ou tous les utilisateurs de votre organisation.Also note that any custom audit log retention policy will take precedence over the default audit retention policy in case you need retain Exchange, SharePoint, or Azure Active Directory audit records for less than a year (or for 10 years) for some or all users in your organization. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.For more information, see Manage audit log retention policies.

Accès aux événements essentiels lors d'enquêtesAccess to crucial events for investigations

L’audit avancé permet aux organisations de mener des investigations de conformité et d’audit en fournissant l’accès aux événements importants, tels que l’accès à des éléments de courrier, l’envoi de réponses à des éléments de courrier et leur transfert, ainsi que le moment et la recherche d’un utilisateur dans Exchange Online et SharePoint Online.Advanced Audit helps organizations to conduct forensic and compliance investigations by providing access to crucial events such as when mail items were accessed, or when mail items were replied to and forwarded, and when and what a user searched for in Exchange Online and SharePoint Online. Ces événements importants peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission.These crucial events can help you investigate possible breaches and determine the scope of compromise. L’ Audit Avancé fournit les événements importants suivants:Advanced Auditing provides the following crucial events:

Notes

* Pour l’instant, cet événement n’est pas disponible dans les environnements de secteur public Office 365 et Microsoft 365.* At this time, this event isn't available in Office 365 and Microsoft 365 Government environments. Cela inclut les environnements GCC, GCC High (Cloud de la communauté du secteur public) et DoD (Département de la Défense américain).This includes GCC, GCC High, and DoD environments.

MailItemsAccessedMailItemsAccessed

L’événement MailItemsAccessed est une action d’audit de boîte aux lettres qui est déclenchée lorsque les données de courrier sont consultées par les protocoles de messagerie et les clients de messagerie.The MailItemsAccessed event is a mailbox auditing action and is triggered when mail data is accessed by mail protocols and mail clients. L’action MailItemsAccessed peut aider les enquêteurs à identifier les violations de données et à mesurer l’étendue des messages susceptibles d’être compromis.The MailItemsAccessed action can help investigators identify data breaches and determine the scope of messages that may have been compromised. Si une personne malveillante a accès aux e-mails, l’action MailItemsAccessed se déclenche même s’il n’y a pas de signal explicite indiquant qu'un message a été réellement lu (en d’autres termes, le type d’accès comme BIND ou synchrone, par exemple, est sauvegardé dans l’enregistrement d’audit).If an attacker gained access to email messages, the MailItemsAccessed action will be triggered even if there is no explicit signal that messages were actually read (in other words, the type of access such as a bind or sync is recorded in the audit record).

L’action de la boite aux lettres MailItemsAccessed remplace MessageBind dans la journalisation d’audit des boîtes aux lettres dans Exchange Online et offre ces améliorations:The MailItemsAccessed mailbox action replaces MessageBind in mailbox auditing logging in Exchange Online and provides these improvements:

  • MessageBind était seulement configurable pour une ouverture de session utilisateur de type AuditAdmin et ne s’appliquait pas aux actions de propriétaires ou de délégués.MessageBind was only configurable for AuditAdmin user logon type; it did not apply to delegate or owner actions. MailItemsAccessed s’applique à tout type d’ouverture de session.MailItemsAccessed applies to all logon types.

  • MessageBind ne prenait en charge que l'accès à un client de messagerie.MessageBind only covered access by a mail client. Il ne s’appliquait pas aux activités synchrones.It didn't apply to sync activities. Les événements MailItemsAccessed sont déclenchés par les types d’accès BIND et synchrone.MailItemsAccessed events are triggered by both bind and sync access types.

  • Les actions MessageBind déclencheraient la création de plusieurs enregistrements d’audit lors de l’accès au même e-mail, ce qui entraînerait un audit « retentissant ».MessageBind actions would trigger the creation of multiple audit records when the same email message was accessed, which resulted in auditing "noise". En revanche, les événements MailItemsAccessed sont regroupés dans un nombre réduit d’enregistrements d’audit.In contrast, MailItemsAccessed events are aggregated into fewer audit records.

Si vous souhaitez en savoir plus sur les enregistrements d’audit pour les activités MailItemsAccessed, consultez Utiliser l’audit avancé pour enquêter sur les comptes compromis.For information about audit records for MailItemsAccessed activities, see Use Advanced Audit to investigate compromised accounts.

Pour rechercher des enregistrements d’audit MailItemsAccessed, vous pouvez rechercher l’activité Eléments de la boîte aux lettres consultés dans la liste déroulante des Activités de la boîte aux lettres Exchange dans l’outil de recherche du journal d’audit dans le centre de conformité de Microsoft 365.To search for MailItemsAccessed audit records, you can search for the Accessed mailbox items activity in the Exchange mailbox activities drop-down list in the audit log search tool in the Microsoft 365 compliance center.

Recherche d’actions MailItemsAccessed dans l’outil de recherche du journal d’audit

Vous pouvez également exécuter la commande Search-UnifiedAuditLog -Operations MailItemsAccessed ou Search-MailboxAuditLog -Operations MailItemsAccessed dans Exchange Online PowerShell.You can also run the Search-UnifiedAuditLog -Operations MailItemsAccessed or Search-MailboxAuditLog -Operations MailItemsAccessed commands in Exchange Online PowerShell.

EnvoyerSend

L’événement Envoi est également une action d’audit de boîte aux lettres qui est déclenchée lorsqu’un utilisateur effectue l’une des actions suivantes:The Send event is also a mailbox auditing action and is triggered when a user performs one of the following actions:

  • Envoie un message électroniqueSends an email message

  • Répond à un message électroniqueReplies to an email message

  • Transfert un message électroniqueForwards an email message

Les investigateurs peuvent utiliser l’événement Envoi pour identifier les messages envoyés à partir d’un compte compromis.Investigators can use the Send event to identify email sent from a compromised account. L’enregistrement d’audit d’un événement Envoi contient des informations sur le message, par exemple, la date d’envoi du message, l’ID InternetMessage, la ligne d’objet et si le message contient des pièces jointes.The audit record for a Send event contains information about the message, such as when the message was sent, the InternetMessage ID, the subject line, and if the message contained attachments. Ces informations d’audit peuvent aider les investigateurs à identifier les informations relatives aux messages électroniques envoyés à partir d’un compte compromis ou envoyés par un intrus.This auditing information can help investigators identify information about email messages sent from a compromised account or sent by an attacker. De plus, les investigateurs peuvent utiliser un outil eDiscovery Microsoft 365 pour rechercher le message (à l’aide de la ligne d’objet ou de l’ID de message) pour identifier les destinataires du message et le contenu réel du message envoyé.Additionally, investigators can use a Microsoft 365 eDiscovery tool to search for the message (by using the subject line or message ID) to identify the recipients the message was sent to and the actual contents of the sent message.

Pour rechercher des enregistrements d’audit d’Envoi, vous pouvez rechercher l’activité Message envoyé dans la liste déroulante des Activités de la boîte aux lettres Exchange dans l’outil de recherche du journal d’audit dans le centre de conformité de Microsoft 365.To search for Send audit records, you can search for the Sent message activity in the Exchange mailbox activities drop-down list in the audit log search tool in the Microsoft 365 compliance center.

Recherche d’actions de Message envoyé dans l’outil de recherche du journal d’audit

Vous pouvez également exécuter les commandes Search-UnifiedAuditLog -Operations Send ou Search-MailboxAuditLog -Operations Send dans Exchange Online PowerShell.You can also run the Search-UnifiedAuditLog -Operations Send or Search-MailboxAuditLog -Operations Send commands in Exchange Online PowerShell.

SearchQueryInitiatedExchangeSearchQueryInitiatedExchange

L’événement SearchQueryInitiatedExchange se déclenche lorsqu’une personne utilise Outlook pour rechercher des éléments dans une boîte aux lettres.The SearchQueryInitiatedExchange event is triggered when a person uses Outlook to search for items in a mailbox. Des événements se déclenchent lorsque vous effectuez des recherches dans les environnements Outlook suivants :Events are triggered when searches are performed in the following Outlook environments:

  • Outlook (client de bureau)Outlook (desktop client)

  • Outlook sur le web (OWA)Outlook on the web (OWA)

  • Outlook pour iOSOutlook for iOS

  • Outlook pour AndroidOutlook for Android

  • Application Courrier pour Windows 10Mail app for Windows 10

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedExchange pour déterminer si un intrus qui a compromis un compte a recherché ou essayé d’accéder à des informations sensibles dans la boîte aux lettres.Investigators can use the SearchQueryInitiatedExchange event to determine if an attacker who may have compromised an account looked for or tried to access sensitive information in the mailbox. L’enregistrement d’audit d’un événement SearchQueryInitiatedExchange contient des informations telles que le texte de la requête de recherche. The audit record for a SearchQueryInitiatedExchange event contains information such as the actual text of the search query. L’enregistrement d’audit indique également l’environnement Outlook où vous avez effectué la recherche.The audit record also indicates the Outlook environment the search was performed in. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif des données de messagerie qui ont été recherchées.By looking at the search queries that an attacker may have performed, an investigator can better understand the intent of the email data that was searched for.

Pour rechercher les enregistrements d’audit de SearchQueryInitiatedExchange, vous pouvez rechercher l’activité Recherche d’émail effectuée dans la liste déroulante des activités de recherche dans l’outil de recherche du journal d’audit dans le centre de conformité.To search for SearchQueryInitiatedExchange audit records, you can search for the Performed email search activity in the Search activities drop-down list in the audit log search tool in the compliance center.

La recherche d’actions de recherche d’email effectuée  dans l’outil de recherche du journal d’audit

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedExchange dans Exchange Online PowerShell.You can also run the Search-UnifiedAuditLog -Operations SearchQueryInitiatedExchange in Exchange Online PowerShell.

Notes

Vous devez exécuter la commande suivante dans Exchange Online PowerShell de sorte que les événements SearchQueryInitiatedExchange (effectués par l’utilisateur E5 spécifié) soient inclus dans les résultats de la recherche dans le journal d’audit: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}.You must run the following command in Exchange Online PowerShell so that SearchQueryInitiatedExchange events (performed by the specified E5 user) are included in audit log search results: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}.

Dans un environnement multigéographique, vous devez exécuter la commande Set-Mailbox dans la forêt où se trouve la boîte aux lettres de l’utilisateur.In a multi-geo environment, you must run the Set-Mailbox command in the forest where the user's mailbox is located. Pour identifier l’emplacement de boîte aux lettres de l’utilisateur, exécutez la commande suivante : Get-Mailbox <user identity> | FL MailboxLocations.To identify the user's mailbox location, run the following command: Get-Mailbox <user identity> | FL MailboxLocations. Si vous avez déjà exécuté la commande Set-Mailbox -AuditOwner @{Add="SearchQueryInitiated"} dans une forêt différente de celle où se trouve la boîte aux lettres de l’utilisateur, vous devez supprimer la valeur SearchQueryInitiated de la boîte aux lettres de l’utilisateur (en exécutant Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}), puis l’ajouter à la boîte aux lettres de l’utilisateur dans la forêt où elle se trouve.If the Set-Mailbox -AuditOwner @{Add="SearchQueryInitiated"} command was previously run in the forest that's different than the one the user's mailbox is located in, then you must remove the SearchQueryInitiated value from the user's mailbox (by running Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}) and then add it to the user's mailbox in the forest where the user's mailbox is located.

SearchQueryInitiatedSharePointSearchQueryInitiatedSharePoint

À l’instar de la recherche d’éléments de boîte aux lettres, l’événement SearchQueryInitiatedSharePoint se déclenche lorsqu’une personne recherche des éléments dans SharePoint.Similar to searching for mailbox items, the SearchQueryInitiatedSharePoint event is triggered when a person searches for items in SharePoint. Des événements se déclenchent lorsque vous effectuez des recherches dans les types suivants de sites SharePoint :Events are triggered when searches are performed in the following types of SharePoint sites:

  • Sites d’accueilHome sites

  • Sites de communicationCommunication sites

  • Sites concentrateursHub sites

  • Sites associés à Microsoft TeamsSites associated with Microsoft Teams

Les investigateurs peuvent utiliser l’événement SearchQueryInitiatedSharePoint pour déterminer si un intrus a essayé de rechercher des informations sensibles (et éventuellement y a accédé) dans SharePoint.Investigators can use the SearchQueryInitiatedSharePoint event to determine if an attacker tried to find (and possibly accessed) sensitive information in SharePoint. L’enregistrement d’audit d’un événement SearchQueryInitiatedSharePoint contient également le texte de la requête de recherche.The audit record for a SearchQueryInitiatedSharePoint event contains also contains the actual text of the search query. L’enregistrement d’audit indique également le type de site SharePoint où vous avez effectué la recherche.The audit record also indicates the type of SharePoint site that was searched. En examinant les requêtes de recherche qu’un intrus peut avoir effectué, un investigateur peut mieux comprendre l’objectif et l’étendue des données de fichiers qui ont été recherchées.By looking at the search queries that an attacker may have performed, an investigator can better understand the intent and scope of the file data being searched for.

Pour rechercher les enregistrements d’audit SearchQueryInitiatedSharePoint, vous pouvez rechercher l’activité Recherche SharePoint effectuée dans la liste déroulante des activités de recherche dans l’outil de recherche du journal d’audit dans le centre de conformité.To search for SearchQueryInitiatedSharePoint audit records, you can search for the Performed SharePoint search activity in the Search activities drop-down list in the audit log search tool in the compliance center.

La recherche d’actions de recherche SharePoint effectuée  dans l’outil de recherche du journal d’audit

Vous pouvez également exécuter le Search-UnifiedAuditLog-Operations SearchQueryInitiatedSharePoint dans Exchange Online PowerShell.You can also run the Search-UnifiedAuditLog -Operations SearchQueryInitiatedSharePoint in Exchange Online PowerShell.

Notes

Vous devez exécuter la commande suivante dans Exchange Online PowerShell de sorte que les événements SearchQueryInitiatedSharePoint (effectués par l’utilisateur E5 spécifié) soient inclus dans les résultats de la recherche dans le journal d’audit: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}.You must run the following command in Exchange Online PowerShell so that SearchQueryInitiatedSharePoint events (performed by the specified E5 user) are included in audit log search results: Set-Mailbox <user identity> -AuditOwner @{Add="SearchQueryInitiated"}.

Dans un environnement multigéographique, vous devez exécuter la commande Set-Mailbox dans la forêt où se trouve la boîte aux lettres de l’utilisateur.In a multi-geo environment, you must run the Set-Mailbox command in the forest where the user's mailbox is located. Pour identifier l’emplacement de boîte aux lettres de l’utilisateur, exécutez la commande suivante : Get-Mailbox <user identity> | FL MailboxLocations.To identify the user's mailbox location, run the following command: Get-Mailbox <user identity> | FL MailboxLocations. Si vous avez déjà exécuté la commande Set-Mailbox -AuditOwner @{Add="SearchQueryInitiated"} dans une forêt différente de celle où se trouve la boîte aux lettres de l’utilisateur, vous devez supprimer la valeur SearchQueryInitiated de la boîte aux lettres de l’utilisateur (en exécutant Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}), puis l’ajouter à la boîte aux lettres de l’utilisateur dans la forêt où elle se trouve.If the Set-Mailbox -AuditOwner @{Add="SearchQueryInitiated"} command was previously run in the forest that's different than the one the user's mailbox is located in, then you must remove the SearchQueryInitiated value from the user's mailbox (by running Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"}) and then add it to the user's mailbox in the forest where the user's mailbox is located.

Accès haut débit à l’API Activité de gestion Office 365High-bandwidth access to the Office 365 Management Activity API

Les organisations ayant accès à des journaux d’audit via l’API Activité de gestion Office 365 étaient restreintes par des seuils de limitation au niveau de l’éditeur.Organizations that access auditing logs through the Office 365 Management Activity API were restricted by throttling limits at the publisher level. Cela signifie que pour un éditeur faisant une extraction de données pour le compte de plusieurs clients, la limite était partagée par tous les clients.This means that for a publisher pulling data on behalf of multiple customers, the limit was shared by all those customers.

Grâce à la publication de l'audit avancé, nous allons passer d’une limite au niveau éditeur à une limite au niveau du client.With the release of Advanced Audit, we're moving from a publisher-level limit to a tenant-level limit. Chaque organisation obtient ainsi son propre quota de bande passante entièrement allouée pour accéder à ses données d’audit.The result is that each organization will get their own fully allocated bandwidth quota to access their auditing data. La bande passante n'est pas une limite statique prédéfinie. Elle est modelée sur une combinaison de facteurs, tels que le nombre de sièges au sein de l’organisation, et les organisations E5 obtiennent une bande passante plus importante que les organisations non E5.The bandwidth is not a static, predefined limit but is modeled on a combination of factors including the number of seats in the organization and that E5 organizations will get more bandwidth than non-E5 organizations.

Les organisations reçoivent une ligne de base de 2 000 demandes par minute.All organizations are initially allocated a baseline of 2,000 requests per minute. Cette limite augmentera de façon dynamique en fonction du nombre de sièges d’une organisation et du nombre de licences dans son abonnement.This limit will dynamically increase depending on an organization's seat count and their licensing subscription. Les organisations E5 disposeront d’environ deux fois plus de bande passante que les organisations non-E5.E5 organizations will get about twice as much bandwidth as non-E5 organizations. La bande passante aura également un plafond maximal pour protéger l’état d’intégrité du service.There will also be cap on the maximum bandwidth to protect the health of the service.

Pour plus d’informations, consultez la rubrique « Limitation de l'API » dans la Référence de l’API Activité de gestion Office 365.For more information, see the "API throttling" section in Office 365 Management Activity API reference.

Configurer l’audit avancé pour les utilisateursSet up Advanced Audit for users

Les fonctionnalités d’audit avancées telles que la possibilité d’enregistrer des événements importants tels que MailItemsAccessed et envoyer nécessitent une licence E5 appropriée attribuée aux utilisateurs.Advanced Audit features such as the ability to log crucial events such as MailItemsAccessed and Send require an appropriate E5 license assigned to users. De plus, l’application/plan de service d’audit avancé doit être activé pour ces utilisateurs.Additionally, the Advanced Auditing app/service plan must be enabled for those users. Pour vérifier que l’application d’audit avancée est attribuée aux utilisateurs, procédez comme suit pour chaque utilisateur :To verify that the Advanced Auditing app is assigned to users, perform the following steps for each user:

  1. Dans le Centre d’administration Microsoft 365, accédez à Utilisateurs > Utilisateurs actifs, puis sélectionnez un utilisateur.In the Microsoft 365 admin center, go to Users > Active users, and select a user.

  2. Dans la page déroulante des propriétés de l’utilisateur, cliquez sur Licences et applications.On the user properties flyout page, click Licenses and apps.

  3. Dans la section Licences , vérifiez qu’une licence E5 est attribuée à l’utilisateur.In the Licenses section, verify that the user is assigned an E5 license.

  4. Développez la section Applications et vérifiez que la case à cocher Audit avancé Microsoft 365 est activée.Expand the Apps section, and verify that the Microsoft 365 Advanced Auditing checkbox is selected.

  5. Si la case à cocher n’est pas activée, sélectionnez-la, puis cliquez sur Enregistrer les modifications.If the checkbox isn’t selected, select it, and then click Save changes.

    La journalisation des enregistrements d’audit pour MailItemsAccessed, Envoyer et d’autres événements importants pour l’utilisateur commence dans les 24 heures.The logging of audit records for MailItemsAccessed, Send, and other crucial events for the user will begin within 24 hours.

Pour les organisations qui attribuent des licences à des groupes d’utilisateurs à l’aide d’une gestion de licences basée sur les groupes, vous devez désactiver l’attribution des licences pour Microsoft 365 audit avancé pour le groupe.For organizations that assign licenses to groups of users by using group-based licensing, you have to turn off the licensing assignment for Microsoft 365 Advanced Auditing for the group. Une fois que vous avez enregistré vos modifications, vérifiez que l’audit avancé Microsoft 365 est désactivé pour le groupe.After you save your changes, verify that Microsoft 365 Advanced Auditing is turned off for the group. Réactivez ensuite l’attribution des licences pour le groupe.Then turn the licensing assignment for the group back on. Pour obtenir des instructions sur la gestion des licences basée sur les groupes, voir Attribuer des licences aux utilisateurs par appartenance aux groupes dans Azure Active Directory.For instructions about group-based licensing, see Assign licenses to users by group membership in Azure Active Directory.

De plus, si vous avez personnalisé les actions de boîte aux lettres qui sont enregistrées sur les boîtes aux lettres d’utilisateur ou les boîtes aux lettres partagées, les nouvelles actions de boîte aux lettres par défaut, telles que MailItemsAccessed, ne sont pas automatiquement auditées sur ces boîtes aux lettres.Also, if you have customized the mailbox actions that are logged on user mailboxes or shared mailboxes, new default mailbox actions such as MailItemsAccessed will not be automatically audited on those mailboxes. Pour plus d’informations sur la modification des actions de boîte aux lettres auditées pour chaque type de connexion, consultez la section « Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut » dans Gérer l’audit de boîte aux lettres.For information about changing the mailbox actions that are audited for each logon type, see the "Change or restore mailbox actions logged by default" section in Manage mailbox auditing.

FAQ pour l’audit avancéFAQs for Advanced Audit

Est-ce que chaque utilisateur a besoin d'une licence E5 pour bénéficier de l'Audit avancé ?Does every user need an E5 license to benefit from Advanced Audit?

Pour bénéficier des fonctionnalités d’audit avancées de niveau utilisateur, ce dernier doit se voir attribuer une licence E5.To benefit from user-level Advanced Audit capabilities, a user needs to be assigned an E5 license. Certaines fonctionnalités vous permettront de vérifier la présence de la licence appropriée pour exposer la fonctionnalité à l’utilisateur.There are some capabilities that will check for the appropriate license to expose the feature for the user. Par exemple, si vous essayez de conserver les enregistrements d’audit pour un utilisateur ne disposant pas d’une licence E5 pendant plus de 90 jours, le système renvoie un message d’erreur.For example, if you're trying to retain the audit records for a user who isn't assigned an E5 license for longer than 90 days, the system will return an error message.

Mon organisation dispose d'un abonnement E5. Dois-je faire quelque chose pour accéder aux enregistrements d'audit des événements importants?My organization has an E5 subscription, do I need to do anything to get access to audit records for crucial events?

Pour les clients éligibles et les utilisateurs disposants de la licence appropriée, aucune action n’est requise pour accéder aux événements d’audit cruciaux.For eligible customers and users that are assigned the appropriate license, there is no action to get access to crucial auditing events.

Qu’arrive-t-il aux données du journal d’audit de mon organisation si je crée une stratégie de rétention du journal d’audit de 10 ans lorsque la fonctionnalité est publiée pour la disponibilité générale, mais avant que la licence de composant additionnel requise ne soit disponible ?What happens to my organization's audit log data if I created a 10-year audit log retention policy when the feature was released to general availability but before the required add-on license was made available?

Toutes les données de journal d’audit couvertes par une stratégie de rétention du journal d’audit de 10 ans que vous créez après la mise à disposition générale de la fonctionnalité au dernier trimestre de 2020 sont conservées pendant 10 ans.Any audit log data covered by a 10-year audit log retention policy that you created after the feature was released to general availability in the last quarter of 2020 will be retained for 10 years. Cela inclut les stratégies de rétention du journal d’audit de 10 ans qui ont été créées avant que la licence de composant additionnel requise ne soit disponible à l’achat.This includes 10-yr audit log retention policies that were created before the required add-on license was released for purchase. Toutefois, étant donné que la licence de composant additionnel de rétention du journal d’audit de 10 ans est désormais disponible, vous devez acheter ces licences de composant additionnel et les attribuer à tous les utilisateurs dont les données d’audit sont couvertes par une stratégie de rétention d’audit de 10 ans.However, since the 10-Year Audit Log Retention Add On license is now available, you'll need to purchase and assign those add-on licenses for any users whose audit data is covered by a 10-year audit retention policy.

Les nouveaux événements dans l’audit avancé sont-ils disponibles dans l’API Activité de gestion Office 365 ?Are the new events in Advanced Audit available in the Office 365 Management Activity API?

Oui. Tant que les enregistrements d’audit sont générés pour les utilisateurs disposant de la licence appropriée, vous pourrez accéder à ces enregistrements via l’API Activité de gestion Office 365.Yes. As long as audit records are generated for users with the appropriate license, you'll be able to access these records via the Office 365 Management Activity API.

Une bande passante élevée est-elle synonyme d’une meilleure latence ou d’un SLA supérieur ?Does higher bandwidth mean better latency or higher SLA?

Pour le moment, lune bande passante élevée offre un meilleur pipeline, en particulier pour les organisations présentant un grand nombre de signaux d’audit et de modèles de consommation significatifs.At this time, high bandwidth provides a better pipeline, especially for organizations with a high volume of auditing signals and significant consumption patterns. Plus de bande passante peut entraîner une meilleure latence.More bandwidth can lead to better latency. Cependant, il n’y a pas de SLA associé à une bande passante élevée.But there isn't an SLA associated with high bandwidth. Les latences standard sont documentées et ne changent pas avec la version d’audit avancée.Standard latencies are documented, and these latencies don't change with the release of Advanced Audit.