Configurer l’audit avancé dans Microsoft 365Set up Advanced Audit in Microsoft 365

Si votre organisation dispose d’un abonnement et d’une licence d’utilisateur final qui prend en charge l’audit avancé, effectuez les étapes suivantes pour configurer et utiliser les fonctionnalités supplémentaires de l’audit avancé.If your organization has a subscription and end user licensing that supports Advanced Audit, perform the following steps to set up and use the additional capabilities in Advanced Audit.

Flux de travail pour configurer l’Audit avancé

Étape 1 : Configurer l’audit avancé pour les utilisateursStep 1: Set up Advanced Audit for users

Les fonctionnalités d’audit avancées telles que la possibilité d’enregistrer des événements importants tels que MailItemsAccessed et envoyer nécessitent une licence E5 appropriée attribuée aux utilisateurs.Advanced Audit features such as the ability to log crucial events such as MailItemsAccessed and Send require an appropriate E5 license assigned to users. De plus, l’application/plan de service d’audit avancé doit être activé pour ces utilisateurs.Additionally, the Advanced Auditing app/service plan must be enabled for those users. Pour vérifier que l’application d’audit avancée est attribuée aux utilisateurs, procédez comme suit pour chaque utilisateur :To verify that the Advanced Auditing app is assigned to users, perform the following steps for each user:

  1. Dans le Centre d’administration Microsoft 365, accédez à Utilisateurs > Utilisateurs actifs, puis sélectionnez un utilisateur.In the Microsoft 365 admin center, go to Users > Active users, and select a user.

  2. Dans la page déroulante des propriétés de l’utilisateur, cliquez sur Licences et applications.On the user properties flyout page, click Licenses and apps.

  3. Dans la section Licences, vérifiez qu’une licence E5 est attribuée à l’utilisateur ou qu’une licence de module add-on appropriée lui est attribuée.In the Licenses section, verify that the user is assigned an E5 license or is assigned an appropriate add-on license. Pour obtenir la liste des licences qui la prise en charge de l’audit avancé, consultez la liste des licences d’audit avancée requises.For a list of licenses that support Advanced Audit, see Advanced Audit licensing requirements.

  4. Développez la section Applications et vérifiez que la case à cocher Audit avancé Microsoft 365 est activée.Expand the Apps section, and verify that the Microsoft 365 Advanced Auditing checkbox is selected.

  5. Si la case à cocher n’est pas sélectionnée, sélectionnez-la, puis cliquez sur Enregistrer les modifications.If the checkbox isn't selected, select it, and then click Save changes.

    La journalisation des enregistrements d’audit pour MailItemsAccessed et Send commence dans les 24 heures.The logging of audit records for MailItemsAccessed and Send will begin within 24 hours. Vous devez effectuer l’étape 3 pour démarrer la journalisation de deux autres événements importants d’audit avancé : SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint.You have to perform Step 3 to start logging of two other Advanced Audit crucial events: SearchQueryInitiatedExchange and SearchQueryInitiatedSharePoint.

Pour les organisations qui attribuent des licences à des groupes d’utilisateurs à l’aide d’une gestion de licences basée sur les groupes, vous devez désactiver l’attribution des licences pour Microsoft 365 audit avancé pour le groupe.For organizations that assign licenses to groups of users by using group-based licensing, you have to turn off the licensing assignment for Microsoft 365 Advanced Auditing for the group. Une fois que vous avez enregistré vos modifications, vérifiez que l’audit avancé Microsoft 365 est désactivé pour le groupe.After you save your changes, verify that Microsoft 365 Advanced Auditing is turned off for the group. Réactivez ensuite l’attribution des licences pour le groupe.Then turn the licensing assignment for the group back on. Pour obtenir des instructions sur la gestion des licences basée sur les groupes, voir Attribuer des licences aux utilisateurs par appartenance aux groupes dans Azure Active Directory.For instructions about group-based licensing, see Assign licenses to users by group membership in Azure Active Directory.

En outre, si vous avez personnalisé les actions de boîte aux lettres qui sont enregistrées sur des boîtes aux lettres utilisateur ou des boîtes aux lettres partagées, les nouveaux événements essentiels publiés par Microsoft ne seront pas automatiquement audités sur ces boîtes aux lettres.Also, if you have customized the mailbox actions that are logged on user mailboxes or shared mailboxes, any new crucial events released by Microsoft will not be automatically audited on those mailboxes. Pour plus d’informations sur la modification des actions de boîte aux lettres auditées pour chaque type de connexion, consultez la section « Modifier ou restaurer les actions de boîte aux lettres enregistrées par défaut » dans Gérer l’audit de boîte aux lettres.For information about changing the mailbox actions that are audited for each logon type, see the "Change or restore mailbox actions logged by default" section in Manage mailbox auditing.

Étape 2 : Activer les événements essentielsStep 2: Enable crucial events

Vous devez activer la journalité de deux événements essentiels (SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint) lorsque les utilisateurs effectuent des recherches dans Exchange Online et SharePoint Online.You have to enable two crucial events (SearchQueryInitiatedExchange and SearchQueryInitiatedSharePoint) to be logged when users perform searches in Exchange Online and SharePoint Online. Pour permettre à ces deux événements d’être audités pour les utilisateurs, exécutez la commande suivante (pour chaque utilisateur) dans Exchange Online PowerShell:To enable these two events to be audited for users, run the following command (for each user) in Exchange Online PowerShell:

Set-Mailbox <user> -AuditOwner @{Add="SearchQueryInitiated"}

Dans un environnement multigé géographique, vous devez exécuter la commande Set-Mailbox précédente dans la forêt où se trouve la boîte aux lettres de l’utilisateur.In a multi-geo environment, you must run the previous Set-Mailbox command in the forest where the user's mailbox is located. Pour identifier l’emplacement de la boîte aux lettres de l’utilisateur, exécutez la commande suivante :To identify the user's mailbox location, run the following command:

Get-Mailbox <user identity> | FL MailboxLocations

Si la commande permettant d’activer l’audit des requêtes de recherche a été précédemment exécuté dans une forêt différente de celle dans laquelle se trouve la boîte aux lettres de l’utilisateur, vous devez supprimer la valeur SearchQueryInitiated de la boîte aux lettres de l’utilisateur en l’exécutant, puis l’ajouter à la boîte aux lettres de l’utilisateur dans la forêt où se trouve la boîte aux lettres de Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} l’utilisateur.If the command to enable the auditing of search queries was previously run in a forest that's different than the one the user's mailbox is located in, then you must remove the SearchQueryInitiated value from the user's mailbox by running Set-Mailbox -AuditOwner @{Remove="SearchQueryInitiated"} and then add it to the user's mailbox in the forest where the user's mailbox is located.

Étape 3 : Configurer des stratégies de rétention d’auditStep 3: Set up audit retention policies

En plus de la stratégie par défaut qui conserve les enregistrements d’audit Exchange, SharePoint et Azure AD pendant un an, vous pouvez créer des stratégies de rétention supplémentaires pour le journal d’audit afin de répondre aux exigences des équipes de sécurité, informatique et de conformité de votre organisation.In additional to the default policy that retains Exchange, SharePoint, and Azure AD audit records for one year, you can create additional audit log retention policies to meet the requirements of your organization's security operations, IT, and compliance teams. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.For more information, see Manage audit log retention policies.

Étape 4 : Rechercher des événements essentielsStep 4: Search for crucial events

Maintenant que l’audit avancé est installé pour votre organisation, vous pouvez rechercher des événements essentiels et d’autres activités lors de la conduite d’enquêtes légales.Now that you have Advanced Audit set up for your organization, you can search for crucial events and other activities when conducting forensic investigations. Après avoir effectué les étapes 1 et 2, vous pouvez rechercher dans le journal d’audit des événements essentiels et d’autres activités pendant les enquêtes d’investigation de comptes compromis et d’autres types d’enquêtes de sécurité ou de conformité.After completing Step 1 and Step 2, you can search the audit log for crucial events and other activities during forensic investigations of compromised accounts and other types of security or compliance investigations. Pour plus d’informations sur la conduite d’une investigation d’investigation d’utilisateurs compromis à l’aide de l’événement crucial MailItemsAccessed, voir Utiliser l’auditavancé pour examiner les comptes compromis.For more information about conducting a forensics investigation of compromised user accounts by using the MailItemsAccessed crucial event, see Use Advanced Audit to investigate compromised accounts.