Audit de solutions dans Microsoft 365Auditing solutions in Microsoft 365

Les solutions d'audit de Microsoft 365 fournissent une solution intégrée pour aider les organisations à répondre efficacement aux événements de sécurité, aux enquêtes d’audit, aux enquêtes internes et aux obligations de conformité.Microsoft 365 auditing solutions provide an integrated solution to help organizations effectively respond to security events, forensic investigations, internal investigations, and compliance obligations. Des milliers d’opérations utilisateur et administrateur effectuées dans des dizaines de services et solutions Microsoft 365 sont capturées, enregistrées et conservées dans le journal d’audit unifié de votre organisation.Thousands of user and admin operations performed in dozens of Microsoft 365 services and solutions are captured, recorded, and retained in your organization's unified audit log. Les enregistrements d'audit de ces événements peuvent être utilisables dans une recherchepar les responsables de la sécurité, les administrateurs informatiques, les équipes chargées de la lutte contre le risque interne et les enquêteurs chargés de la conformité et de la législation au sein de votre organisation.Audit records for these events are searchable by security ops, IT admins, insider risk teams, and compliance and legal investigators in your organization. Cette fonctionnalité permet de gagner en visibilité sur les activités effectuées au sein de votre organisation Microsoft 365.This capability provides visibility into the activities performed across your Microsoft 365 organization.

Solutions d’audit Microsoft 365Microsoft 365 auditing solutions

Microsoft 365 propose deux solutions d’audit : l’audit de base et l’audit avancé.Microsoft 365 provides two auditing solutions: Basic Audit and Advanced Audit.

Principales fonctionnalités de l’audit de base et de l’audit avancé

Audit de baseBasic Audit

L’audit de base vous offre la possibilité de journaliser et de rechercher des activités auditées, et de mettre en place les enquêtes d’audit, informatiques, de conformité et juridiques.Basic Audit provides with you with the ability to log and search for audited activities and power your forensic, IT, compliance, and legal investigations.

  • Activé par défaut.Enabled by default. L’audit de base est désactivé par défaut pour toutes les organisations ayant l’abonnement approprié.Basic Audit is turned on by default for all organizations with the appropriate subscription. Cela signifie que les enregistrements des activités auditées seront capturés et peuvent faire l’objet de recherches.That means records for audited activities will be captured and searchable. La seule configuration requise consiste à attribuer les autorisations nécessaires pour accéder à l'outil de recherche des journaux d'audit (et à la cmdlet correspondante) et à s'assurer que les utilisateurs disposent de la bonne licence pour les fonctionnalités d'audit avancé.The only setup that required is to assign the necessary permissions to access the audit log search tool (and the corresponding cmdlet) and make sure that user's are assigned the right license for Advanced Audit features.

  • Des milliers d’événements d’audit peuvent faire l’objet de recherches.Thousands of searchable audit events. Vous pouvez rechercher un large éventail d'activités auditées qui se produisent dans la plupart des services Microsoft 365 au sein de votre organisation.You can search for a wide-range of audited activities that occur is most of the Microsoft 365 services in your organization. Pour obtenir une liste partielle des activités que vous pouvez rechercher, consultez Activités auditées.For a partial list of the activities you can search for, see Audited activities. Pour obtenir la liste des services et fonctionnalités qui prennent en charge les activités auditées, consultezType d’enregistrement du journal d’audit.For a list of the services and features that support audited activities, see Audit log record type.

  • Outil de recherche d’audit dans le Centre de conformité Microsoft 365.Audit search tool in the Microsoft 365 compliance center. Utilisez l’outil de recherche dans le journal d’audit dans le Centre de conformité Microsoft 365 pour rechercher des enregistrements d’audit.Use the Audit log search tool in the Microsoft 365 compliance center to search for audit records. Vous pouvez rechercher des activités spécifiques, des activités effectuées par des utilisateurs spécifiques et des activités effectuées avec une plage de dates.You can search for specific activities, for activities performed by specific users, and activities that occurred with a date range. Voici une capture d’écran de l’Outil de recherche d’audit dans le Centre de conformité.Here's a screenshot of the Audit search tool in the compliance center.

    Outil de recherche dans le journal d’audit dans le Centre de conformité Microsoft 365

  • Cmdlet Search-UnifiedAuditLog.Search-UnifiedAuditLog cmdlet. Vous pouvez également utiliser la cmdlet Search-UnifiedAuditLog dans Exchange Online PowerShell (cmdlet sous-jacente pour l’outil de recherche) pour rechercher des événements d’audit ou les utiliser dans un script.You can also use the Search-UnifiedAuditLog cmdlet in Exchange Online PowerShell (the underlying cmdlet for the search tool) to search for audit events or to use in a script. Pour plus d'informations, voir :For more information, see:

  • Exporter des enregistrements d’audit dans un fichier CSV.Export audit records to a CSV file. Après avoir exécuté l’outil de recherche dans le journal d’audit dans le Centre de conformité, vous pouvez exporter les enregistrements d’audit renvoyés par la recherche dans un fichier CSV.After running the Audit log search tool in the compliance center, you can export the audit records returned by the search to a CSV file. Vous pouvez ainsi trier et filtrer des fichiers Microsoft Excel sur différentes propriétés d’enregistrement d’audit.This lets you use Microsoft Excel sort and filter on different audit record properties. Vous pouvez également utiliser la fonctionnalité de transformation de Power Query d’Excel pour diviser chaque propriété de l’objet JSON AuditData dans sa propre colonne.You can also use Excel Power Query transform functionality to split each property in the AuditData JSON object into its own column. Cela vous permet d’afficher et de comparer efficacement des données similaires pour différents événements.This lets you effectively view and compare similar data for different events. Pour plus d’informations, consultez Exporter, configurer et afficher des enregistrements du journal d’audit.For more information, see Export, configure, and view audit log records.

  • Accès aux journaux d’audit via l’API Activité de gestion d’Office 365.Access to audit logs via Office 365 Management Activity API. Une troisième méthode pour accéder et récupérer des enregistrements d’audit consiste à utiliser l’API Activité de gestion d’Office 365.A third method for accessing and retrieving audit records is to use the Office 365 Management Activity API. Cela permet aux organisations de conserver les données d’audit pendant des périodes plus longues que les 90 jours par défaut, et de les importer dans une solution SIEM.This lets organizations retain auditing data for longer periods than the default 90 days and lets them import their auditing data to a SIEM solution. Pour plus d’informations, consultez Référence de l’API Activité de gestion Office 365.For more information, see Office 365 Management Activity API reference.

  • Rétention du journal d’audit de 90.90-day audit log retention. Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation.When an audited activity is performed by a user or admin, an audit record is generated and stored in the audit log for your organization. Dans le cadre de l’audit de base, les enregistrements sont conservés pendant 90 jours, ce qui signifie que vous pouvez rechercher des activités qui se sont produites au cours des trois derniers mois.In Basic Audit, records are retained for 90 days, which means you can search for activities that occurred within the past three months.

Audit avancéAdvanced Audit

L’Audit avancé s’appuie sur les fonctionnalités de l’audit de base en fournissant des stratégies de rétention du journal d’audit, une rétention plus longue des enregistrements d’audit, des événements essentiels à forte valeur ajoutée et un accès plus large à l’API Activité de gestion Office 365.Advanced Audit builds on the capabilities of Basic Audit by providing audit log retention policies, longer retention of audit records, high-value crucial events, and higher bandwidth access to the Office 365 Management Activity API.

  • Stratégies de rétention du journal d'audit.Audit log retention policies. Vous pouvez créer des stratégies de rétention personnalisées pour conserver les enregistrements d’audit pendant une durée maximale d’un an (et jusqu’à 10 ans pour les utilisateurs titulaires d’une licence de module complémentaire requise).You can create customized audit log retention policies to retain audit records for longer periods of time up to one year (and up to 10 years for users with required add-on license). Vous pouvez créer une stratégie de rétention des enregistrements d’audit en fonction du service sur lequel se produisent les activités auditées, des activités d’audit spécifiques ou de l’utilisateur qui effectue une activité auditée.You can create a policy to retain audit records based the service where the audited activities occur, specific audited activities, or the user who performs an audited activity.

  • Rétention plus longue des enregistrements d’audit.Longer retention of audit records. Les enregistrements d'audit Exchange, SharePoint et Azure Active Directory sont conservés par défaut pendant un an.Exchange, SharePoint, and Azure Active Directory audit records are retained for one year by default. Par défaut, les enregistrements d’audit pour toutes les autres activités sont conservés pendant 90 jours. Vous pouvez utiliser des stratégies de rétention du journal d’audit pour configurer des périodes de rétention plus longues.Audit records for all other activities are retained for 90 days by default, or you can use audit log retention policies to configure longer retention periods.

  • Événements importants et essentiels.High-value, crucial events. Des enregistrements d’audit pour des événements essentiels peuvent aider votre organisation à mener des recherches de sécurité et de conformité en fournissant une visibilité à des événements tels que le moment où les éléments de courrier ont été accédés, ou les moments où des éléments de courrier ont été répondus et envoyés, ou quand et ce qu’un utilisateur a recherché dans Exchange Online et SharePoint Online.Audit records for crucial events can help your organization conduct forensic and compliance investigations by providing visibility to events such as when mail items were accessed, or when mail items were replied to and forwarded, or when and what a user searched for in Exchange Online and SharePoint Online. Ces événements importants peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission.These crucial events can help you investigate possible breaches and determine the scope of compromise.

  • Bande passante supérieure à l’API Activité de gestion Office 365.Higher bandwidth to the Office 365 Management Activity API. L’audit avancé offre aux organisations davantage de bande passante pour accéder aux journaux d’audit via l’API Activité de gestion Office 365.Advanced Audit provides organizations with more bandwidth to access auditing logs through the Office 365 Management Activity API. Si toutes les organisations (qui disposent d'un audit de base ou d'un audit avancé) se voient initialement attribuer une base de référence de 2 000 demandes par minute, cette limite augmentera de manière dynamique en fonction du nombre de sièges de l'organisation et de son abonnement aux licences.Although all organizations (that have Basic Audit or Advanced Audit) are initially allocated a baseline of 2,000 requests per minute, this limit will dynamically increase depending on an organization's seat count and their licensing subscription. Ainsi, les organisations disposant d'un Audit avancé obtiennent environ deux fois plus de bande passante que les organisations disposant d'un audit de base.This results in organizations with Advanced Audit getting about twice the bandwidth as organizations with Basic Audit.

Pour plus d’informations sur les fonctionnalités d’Audit avancé, consultez Audit avancé dans Microsoft 365.For more detailed information about Advanced Audit features, see Advanced Audit in Microsoft 365.

Comparaison des principales fonctionnalitésComparison of key capabilities

Le tableau suivant compare les principales fonctionnalités disponibles dans les fonctionnalités d’Audit de base et d’Audit avancé.The following table compares the key capabilities available in Basic Audit and Advanced Audit. Toutes les fonctionnalités d’Audit de base sont incluses dans Audit avancé.All Basic Audit functionality is included in Advanced Audit.

FonctionnalitéCapability Audit de baseBasic Audit Audit avancéAdvanced Audit
Activé par défautEnabled by default Pris en charge Pris en charge
Des milliers d’événements d’audit peuvent faire l’objet de recherches.Thousands of searchable audit events Pris en charge Pris en charge
Outil de recherche d’audit dans le Centre de conformité Microsoft 365.Audit search tool in the Microsoft 365 compliance center Pris en charge Pris en charge
Cmdlet Search-UnifiedAuditLog.Search-UnifiedAuditLog cmdlet Pris en charge Pris en charge
Exporter des enregistrements d’audit dans un fichier CSV.Export audit records to CSV file Pris en charge Pris en charge
Accès aux journaux d’audit via l’API Activité de gestion Office 3651.Access to audit logs via Office 365 Management Activity API 1 Pris en charge Pris en chargeSupported
Rétention du journal d’audit de 9090-day audit log retention Pris en charge Pris en charge
Rétention du journal d’audit d’un an1-year audit log retention Pris en charge
Rétention du journal d’audit de 10 ans 210-year audit log retention 2 Pris en charge
Stratégies de rétention du journal d'auditAudit log retention policies Pris en charge
Événements importants et essentiels.High-value, crucial events Pris en charge

Notes

1 Audit avancé inclut un accès plus large à l’API Activité de gestion Office 365, qui offre un accès plus rapide aux données d’audit.1 Advanced Audit includes higher bandwidth access to the Office 365 Management Activity API, which provides faster access to audit data.
2 En plus des licences requises pour l’Audit avancé (décrites dans la section suivante), une licence rétention du journal d’audit de 10 ans doit être attribuée à un utilisateur pour conserver ses enregistrements d’audit pendant 10 ans.2 In addition to the required licensing for Advanced Audit (described in the next section), a user must be assigned a 10-Year Audit Log Retention add on license to retain their audit records for 10 years.

Conditions d'octroi de licenceLicensing requirements

Les sections suivantes identifient les licences requises pour l’Audit de base et l’Audit avancé.The following sections identify the licensing requirements for Basic Audit and Advanced Audit. La fonctionnalité d’Audit de base est incluse dans la fonctionnalité Audit avancé.Basic Audit functionality is included with Advanced Auditing.

Audit de baseBasic Audit

  • Abonnement Microsoft 365 Entreprise E3Microsoft 365 Enterprise E3 subscription
  • Microsoft 365 Business PremiumMicrosoft 365 Business Premium
  • Abonnement Microsoft 365 Éducation A3Microsoft 365 Education A3 subscription
  • Abonnement Microsoft 365 pour le gouvernement américain G3Microsoft 365 Government G3 subscription
  • Abonnement Microsoft 365 pour le gouvernement américain G1Microsoft 365 Government G1 subscription
  • Abonnement Office 365 Entreprise E3Office 365 Enterprise E3 subscription
  • Abonnement Office 365 Entreprise E1Office 365 Enterprise E1 subscription
  • Abonnement Office 365 Éducation A1Office 365 Education A1 subscription
  • Abonnement Office 365 Éducation A3Office 365 Education A3 subscription

Audit avancéAdvanced Audit

  • Abonnement Microsoft 365 Entreprise E5Microsoft 365 Enterprise E5 subscription
  • Abonnement Microsoft 365 Entreprise E3 + module complémentaire Microsoft 365 E5 ConformitéMicrosoft 365 Enterprise E3 subscription + the Microsoft 365 E5 Compliance add-on
  • Abonnement Microsoft 365 Entreprise E3 + module complémentaire Microsoft 365 E5 eDiscovery et AuditMicrosoft 365 Enterprise E3 subscription + the Microsoft 365 E5 eDiscovery and Audit add-on
  • Abonnement Microsoft 365 Éducation A5Microsoft 365 Education A5 subscription
  • Abonnement Microsoft 365 Éducation A3 + module complémentaire Microsoft 365 A5 ConformitéMicrosoft 365 Education A3 subscription + the Microsoft 365 A5 Compliance add-on
  • Abonnement Microsoft 365 Éducation A3 + module complémentaire Microsoft 365 A5 eDiscovery et AuditMicrosoft 365 Education A3 subscription + the Microsoft 365 A5 eDiscovery and Audit add-on
  • Microsoft 365 pour le gouvernement américain G5Microsoft 365 Government G5 subscription
  • Abonnement Microsoft 365 pour le gouvernement américain G5 + module complémentaire Microsoft 365 G5 ConformitéMicrosoft 365 Government G5 subscription + the Microsoft 365 G5 Compliance add-on
  • Abonnement Microsoft 365 pour le gouvernement américain G5 + module complémentaire Microsoft 365 G5 eDiscovery et AuditMicrosoft 365 Government G5 subscription + the Microsoft 365 G5 eDiscovery and Audit add-on
  • Abonnement Office 365 Entreprise E5Office 365 Enterprise E5 subscription
  • Abonnement Office 365 Éducation A5Office 365 Education A5 subscription
  • Abonnement Office 365 Entreprise E3 + module complémentaire de Conformité avancée Office 365 (désormais indisponible pour les nouveaux abonnements)Office 365 Enterprise E3 subscription + the Office 365 Advanced Compliance add-on (no longer available for new subscriptions)

Configurer des solutions d’audit Microsoft 365Set up Microsoft 365 auditing solutions

Pour commencer à utiliser les solutions d’audit dans Microsoft 365, consultez les instructions de configuration suivantes.To get started using the auditing solutions in Microsoft 365, see the following setup guidance.

Configurer l’Audit de baseSet up Basic Audit

La première étape consiste à configurer l’audit de base, puis à lancer des recherches dans le journal d’audit.The first step is to set up Basic Audit and then start running audit log searches.

Flux de travail pour configurer l’Audit avancé

  1. Vérifiez que votre organisation dispose d’un abonnement qui prend en charge l’Audit de base et, le cas échéant, un abonnement qui prend en charge l’Audit avancé.Verify that your organization has a subscription that supports Basic Audit and if applicable, a subscription that supports Advanced Audit.

  2. Attribuez des autorisations dans Exchange Online aux personnes de votre organisation qui utiliseront l’outil de recherche dans le journal d’audit dans le Centre de conformité Microsoft 365 ou utilisez la cmdlet Search-UnifiedAuditLog.Assign permissions in Exchange Online to people in your organization who will use the audit log search tool in the Microsoft 365 compliance center or use the Search-UnifiedAuditLog cmdlet. Plus précisément, les utilisateurs doivent avoir le rôle Journaux d’audit en affichage seul ou Journaux d’audit dans Exchange Online.Specifically, users must be assigned the View-Only Audit Logs or Audit Logs role in Exchange Online.

  3. Effectuer une recherche dans le journal d’audit. À l’issue des étapes 1 et 2, les utilisateurs de votre organisation peuvent utiliser l’outil de recherche dans le journal d’audit (ou cmdlet correspondante) pour rechercher des activités auditées.Search the audit log. After completing step 1 and step 2, users in your organization can use the audit log search tool (or corresponding cmdlet) to search for audited activities.

Pour obtenir des instructions plus détaillées, voir Configurer l’audit de base.For more detailed instructions, see Set up Basic Audit.

Configurer l’audit avancéSet up Advanced Audit

Si votre organisation a un abonnement qui prend en charge l’Audit avancé, suivez les étapes pour configurer et utiliser les fonctionnalités supplémentaires d’Audit avancé.If your organization has a subscription that supports Advanced Audit, perform the following steps to set up and use the additional capabilities in Advanced Audit.

Flux de travail pour configurer l’Audit avancé

  1. Configurer l’audit avancé pour les utilisateurs.Set up Advanced Audit for users. Cette étape comprend les tâches suivantes :This step consists of the following tasks:

    • Vérification de l’utilisation de la licence ou de la licence de module approprié pour l’Audit avancé.Verifying that users are assigned the appropriate license or add-on license for Advanced Audit.

    • L'activation de l'application/du plan de service d'audit avancé doit concerner ces utilisateurs.Turning on the Advanced Audit app/service plan must be for those users.

    • L'activation de l'audit des événements essentiels, puis l'activation de l'application/du plan de service d'audit avancé pour ces utilisateurs.Enabling the auditing of crucial events and then turning on the Advanced Auditing app/service plan for those users.

  2. Permettre que des événements essentiels soient journalisés lorsque les utilisateurs effectuent des recherches dans Exchange Online et SharePoint Online.Enable crucial events to be logged when users perform searches in Exchange Online and SharePoint Online.

  3. Configurer des stratégies de rétention du journal d'audit. En plus de la stratégie par défaut qui conserve les enregistrements d’audit Exchange, SharePoint et Azure AD pendant un an, vous pouvez créer des stratégies de rétention supplémentaires pour le journal d’audit afin de répondre aux exigences des équipes de sécurité, informatique et de conformité de votre organisation.Set up audit log retention policies. In additional to the default policy that retains Exchange, SharePoint, and Azure AD audit records for one year, you can create additional audit log retention policies to meet the requirements of your organization's security operations, IT, and compliance teams.

  4. Recherchez des événements essentiels et d’autres activités lors d’enquêtes. À l’issue des étapes 1 et 2, vous pouvez rechercher des événements essentiels et d’autres activités dans le journal d’audit lors d’enquêtes approfondies sur des comptes compromis et d’autres types d’enquêtes de sécurité ou de conformité.Search for crucial events and other activities when conducting forensic investigations. After completing step 1 and step 2, you can search the audit log for crucial events and other activities during forensic investigations of compromised accounts and other types of security or compliance investigations.

Pour obtenir des instructions plus détaillées, voir Configurer l’audit avancé.For more detailed instructions, see Set up Advanced Audit.

FormationTraining

La formation de l’équipe en matière d’opérations de sécurité, d’administrateurs informatiques et de conformité à l’audit de base et à l’audit avancé peut aider votre organisation à utiliser l’audit plus rapidement dans le cadre de vos enquêtes.Training your security operations team, IT administrators, and compliance investigators team in Basic Audit and Advanced Audit can help your organization get started more quickly using auditing to help with your investigations. Microsoft 365 fournit la ressource suivante pour aider ces utilisateurs de votre organisation à démarrer l’audit: Décrire les fonctionnalités d’audit de Microsoft 365.Microsoft 365 provides the following resource to help these users in your organization getting started with auditing: Describe the audit capabilities in Microsoft 365.