Obtenir Windows journaux d’audit 365 à l’aide de PowerShell

Les journaux d’audit pour Windows 365 incluent un enregistrement des activités qui génèrent une modification dans un PC cloud. Les opérations de création, de mise à jour (modification), de suppression et d’attribution, ainsi que les opérations distantes, créent des événements d’audit que les administrateurs peuvent consulter pour la plupart des actions de PC cloud qui passent par Graph. Par défaut, l’audit est activé pour tous les clients. Elle ne peut pas être désactivée.

Qui peut accéder aux données ?

Les utilisateurs disposant des autorisations suivantes peuvent consulter les journaux d’audit :

  • Administrateur général
  • Administrateur du service Intune
  • Les administrateurs qui se voient attribuer un rôle Intune avec les autorisations Données d’audit - Lecture

Utiliser l’API Graph et PowerShell pour récupérer des événements d’audit

Si vous souhaitez obtenir les événements du journal d’audit pendant sept jours (maximum) pour votre locataire Windows 365, effectuez les étapes suivantes :

Installer le kit de développement logiciel (SDK)

  1. Dans PowerShell, exécutez cette commande : Install-Module Microsoft.Graph -Scope CurrentUser
  2. Vérifiez l’installation en exécutant la commande suivante :Get-InstalledModule Microsoft.Graph
  3. Pour récupérer tous les points de terminaison Graph des PC cloud, exécutez la commande suivante : Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Se connecter en tant qu’utilisateur de test

  1. Exécutez l’une des deux commandes suivantes :
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Dans la page web résultante, connectez-vous à votre locataire avec un compte d’utilisateur disposant des autorisations de lecture et/ou d’écriture nécessaires.
  3. Basculez vers l’environnement Graph bêta à l’aide de cette commande : Select-MgProfile -Name "beta"

Récupérer les données d’audit

Vous pouvez afficher les données d’audit de plusieurs façons.

Répertorier les événements d’audit

Pour voir la liste des événements d’audit, utilisez la commande suivante :

Get-MgDeviceManagementVirtualEndpointAuditEvent

Pour récupérer tous les événements, utilisez le paramètre -All : Get-MgDeviceManagementVirtualEndpointAuditEvent -All

Pour récupérer uniquement les N premiers événements, utilisez les paramètres suivants : Get-MgDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Récupérer un événement à l’aide de son ID d’événement

Vous pouvez utiliser la commande suivante pour un seul événement : Get-MgDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Récupérer un intervenant d’audit

Vous pouvez également savoir qui a effectué un événement d’audit en exécutant les commandes suivantes :

$res=Get-MgDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}dotnetcli $res.Actor

Prochaines étapes

Continuité d’activité et reprise d’activité.