Obtenir Windows 365 journaux d’audit

  • Article

Les journaux d’audit pour Windows 365 incluent un enregistrement des activités qui génèrent une modification dans un PC cloud. Les opérations de création, de mise à jour (modification), de suppression et d’attribution, ainsi que les opérations distantes, créent des événements d’audit que les administrateurs peuvent consulter pour la plupart des actions de PC cloud qui passent par Graph. Par défaut, l’audit est activé pour tous les clients. Elle ne peut pas être désactivée.

Qui peut accéder aux données ?

Les utilisateurs disposant des autorisations suivantes peuvent consulter les journaux d’audit :

  • Administrateur général
  • Administrateur du service Intune
  • Les administrateurs qui se voient attribuer un rôle Intune avec les autorisations Données d’audit - Lecture

Envoyer Windows 365 journaux d’audit aux paramètres de diagnostic dans Azure Monitor

Les paramètres de diagnostic d’Azure Monitor vous permettent d’exporter des journaux et des métriques de plateforme vers la destination de votre choix. Vous pouvez créer jusqu’à cinq paramètres de diagnostic différents pour envoyer différents journaux et métriques à des destinations indépendantes. Pour plus d’informations, consultez Paramètres de diagnostic dans Azure Monitor.

Pour créer un paramètre de diagnostic pour l’envoi de journaux

  1. Vérifiez que vous disposez d’un compte Azure.
  2. Connectez-vous au Centre d’administration Microsoft Intune, sélectionnez Rapports>Paramètres de diagnostic (sous Azure Monitor)>Ajouter des paramètres de diagnostic.
  3. Sous Journaux, sélectionnez Windows365AuditLogs.
  4. Sous Détails de la destination, sélectionnez la destination et fournissez des détails.
  5. Sélectionnez Enregistrer.

Utiliser l’API Graph et PowerShell pour récupérer des événements d’audit

Si vous souhaitez obtenir les événements du journal d’audit pendant sept jours (maximum) pour votre locataire Windows 365, effectuez les étapes suivantes :

Installer le kit de développement logiciel (SDK)

  1. Dans PowerShell, exécutez cette commande : Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Vérifiez l’installation en exécutant la commande suivante :Get-InstalledModule Microsoft.Graph.Beta
  3. Pour récupérer tous les points de terminaison Graph des PC cloud, exécutez la commande suivante : Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Connexion

  1. Exécutez l’une des deux commandes suivantes :
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Dans la page web résultante, connectez-vous à votre locataire avec un compte d’utilisateur disposant des autorisations de lecture et/ou d’écriture nécessaires.
  3. Basculez vers l’environnement Graph bêta à l’aide de cette commande : Select-MgProfile -Name "beta"

Récupérer les données d’audit

Vous pouvez afficher les données d’audit de plusieurs façons.

Obtenir la liste complète des événements d'audit, y compris l'acteur d'audit

Pour obtenir la liste complète des événements d'audit, y compris l'acteur (la personne qui a effectué l'action), utilisez la commande suivante :

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Obtenir une liste des événements d'audit

Pour obtenir une liste des événements d'audit sans l'acteur d'audit, utilisez la commande suivante :

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Pour récupérer tous les événements, utilisez le paramètre -All : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Pour récupérer uniquement les N premiers événements, utilisez les paramètres suivants : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Récupérer un événement à l’aide de son ID d’événement

Vous pouvez utiliser la commande suivante pour obtenir un seul événement d'audit, où vous devrez fournir l'{event ID} : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Prochaines étapes

Continuité d’activité et reprise d’activité.