Activer ou désactiver la fonctionnalité d’audit

  • Article

La journalisation d’audit est activée par défaut pour les organisations Microsoft 365. Toutefois, lors de la configuration d’une nouvelle organization Microsoft 365, vous devez vérifier les status d’audit de votre organization. Pour obtenir des instructions, consultez la section Vérifier l’status d’audit de votre organization dans cet article.

Lorsque l’audit est activé dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview, l’activité des utilisateurs et des administrateurs de votre organization est enregistrée dans le journal d’audit et conservée automatiquement pendant 180 jours. La conservation (durée de vie) des données d’audit commence lorsqu’elles sont ajoutées au journal d’audit et sont conservées en fonction des stratégies de rétention du journal d’audit et de la licence attribuée aux utilisateurs.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Les modifications apportées aux stratégies de gestion des licences utilisateur ou de rétention modifient également la date d’expiration des données d’audit.

Votre organization peut avoir des raisons de ne pas vouloir enregistrer et conserver les données du journal d’audit. Dans ce cas, un administrateur général peut désactiver l’audit dans Microsoft 365 pour votre organization. Pour obtenir des instructions, consultez la section Désactiver l’audit de cet article.

Importante

Si vous désactivez l’audit dans Microsoft 365, vous ne pouvez pas utiliser l’API activité de gestion Office 365 ou Microsoft Sentinel pour accéder aux données ou aux journaux d’audit de votre organization. La désactivation de l’audit en suivant les étapes décrites dans cet article signifie qu’aucun résultat ne sera retourné lorsque vous effectuez une recherche dans le journal d’audit à l’aide du portail Microsoft Purview ou du portail de conformité, ou lorsque vous exécutez l’applet de commande Recherche-UnifiedAuditLog dans Exchange Online PowerShell.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant d’activer ou de désactiver l’audit

Le rôle Journaux d’audit doit vous être attribué dans Exchange Online pour activer ou désactiver l’audit. Par défaut, ce rôle est attribué aux groupes de rôles Gestion de la conformité et Gestion de l’organisation sur la page Autorisations du Centre d’administration Exchange.

Vérifiez les status d’audit de votre organization

Pour vérifier que l’audit est activé pour votre organization, vous pouvez exécuter la commande suivante dans Exchange Online PowerShell :

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

La valeur de True pour la propriété UnifiedAuditLogIngestionEnabled indique que l’audit est activé. La valeur indique que l’audit False n’est pas activé.

Importante

Veillez à exécuter la commande précédente dans Exchange Online PowerShell. Bien que l’applet de commande Get-AdminAuditLogConfig soit également disponible dans Security & Compliance PowerShell, la propriété UnifiedAuditLogIngestionEnabled a toujours Falsela valeur , même lorsque l’audit est activé.

Activer l’audit

Si l’audit n’est pas activé pour votre organization, vous pouvez l’activer dans le portail Microsoft Purview ou le portail de conformité, ou en utilisant Exchange Online PowerShell. L’activation de l’audit peut prendre plusieurs heures avant de pouvoir retourner les résultats lorsque vous effectuez une recherche dans le journal d’audit.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Effectuez les étapes suivantes pour activer l’audit :

  1. Connectez-vous au portail Microsoft Purview.
  2. Sélectionnez le carte Solution d’audit. Si le carte de solution d’audit n’est pas affiché, sélectionnez Afficher toutes les solutions, puis auditer dans la section Core.
  3. Si l’audit n’est pas activé pour votre organization, une bannière s’affiche pour vous inviter à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur.
  4. Sélectionnez la bannière Démarrer l’enregistrement de l’activité de l’utilisateur et de l’administrateur .

L’application de la modification peut prendre jusqu’à 60 minutes.

Utiliser PowerShell pour activer l’audit

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exécutez la commande PowerShell suivante pour activer l’audit.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Un message s’affiche indiquant que l’application de la modification peut prendre jusqu’à 60 minutes.

Désactiver l’audit

Vous devez utiliser Exchange Online PowerShell pour désactiver l’audit.

  1. Connectez-vous à Exchange Online PowerShell.

  2. Exécutez la commande PowerShell suivante pour désactiver l’audit.

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. Après un certain temps, vérifiez que l’audit est désactivé. Il existe deux méthodes pour y parvenir :

    • Dans Exchange Online PowerShell, exécutez la commande suivante :

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      La valeur de False pour la propriété UnifiedAuditLogIngestionEnabled indique que l’audit est désactivé.

    • Accédez à la page Audit dans le portail de conformité.

      Si l’audit n’est pas activé pour votre organization, une bannière s’affiche pour vous inviter à commencer à enregistrer l’activité de l’utilisateur et de l’administrateur.

Enregistrements d’audit lorsque l’status d’audit est modifié

Les modifications apportées aux status d’audit dans votre organization sont elles-mêmes auditées. Cela signifie que les enregistrements d’audit sont enregistrés lorsque l’audit est activé ou désactivé. Vous pouvez rechercher ces enregistrements d’audit dans le journal d’audit de l’administrateur Exchange.

Pour rechercher dans le journal d’audit de l’administrateur Exchange les enregistrements d’audit générés lors de l’activation ou de la désactivation de l’audit, exécutez la commande suivante dans Exchange Online PowerShell :

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

Les enregistrements d’audit de ces événements contiennent des informations sur le moment où l’status d’audit a été modifié, l’administrateur qui l’a modifiée et l’adresse IP de l’ordinateur utilisé pour effectuer la modification. Les captures d’écran suivantes montrent les enregistrements d’audit qui correspondent à la modification de la status d’audit dans votre organization.

Enregistrement d’audit pour activer l’audit

Enregistrement d’audit pour activer l’audit

La valeur de Confirm dans la propriété CmdletParameters indique que la journalisation d’audit unifiée a été activée dans le portail Microsoft Purview ou le portail de conformité, ou en exécutant l’applet de commande Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true .

Enregistrement d’audit pour désactiver l’audit

Enregistrement d’audit pour désactiver l’audit

La valeur de Confirm n’est pas incluse dans la propriété CmdletParameters . Cela indique que la journalisation d’audit unifiée a été désactivée en exécutant la commande Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false .

Pour plus d’informations sur la recherche dans le journal d’audit de l’administrateur Exchange, consultez Recherche-AdminAuditLog.