En savoir plus sur les solutions d’audit dans Microsoft Purview

Les solutions d’audit Microsoft Purview fournissent une solution intégrée pour aider les organisations à répondre efficacement aux événements de sécurité, aux enquêtes médico-légales, aux enquêtes internes et aux obligations de conformité. Des milliers d’opérations utilisateur et administrateur effectuées dans des dizaines de services et solutions Microsoft 365 sont capturées, enregistrées et conservées dans le journal d’audit unifié de votre organisation. Les enregistrements d'audit de ces événements peuvent être utilisables dans une recherchepar les responsables de la sécurité, les administrateurs informatiques, les équipes chargées de la lutte contre le risque interne et les enquêteurs chargés de la conformité et de la législation au sein de votre organisation. Cette fonctionnalité permet de gagner en visibilité sur les activités effectuées au sein de votre organisation Microsoft 365.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Comparaison des principales fonctionnalités

Le tableau suivant compare les fonctionnalités clés disponibles dans Audit (Standard) et Audit (Premium). Toutes les fonctionnalités d’Audit (Standard) sont incluses dans Audit (Premium).

Fonctionnalité Audit (Standard) Audit (Premium)
Activé par défaut Soutenu. Soutenu.
Des milliers d’événements d’audit peuvent faire l’objet de recherches. Soutenu. Soutenu.
Outil de recherche d’audit dans le portail Microsoft Purview et le portail de conformité Soutenu. Soutenu.
Cmdlet Search-UnifiedAuditLog. Soutenu. Soutenu.
Exporter des enregistrements d’audit dans un fichier CSV. Soutenu. Soutenu.
Accès aux journaux d’audit via l’API Activité de gestion Office 3651. Soutenu. Soutenu.
Conservation du journal d’audit de 180 jours Soutenu. Soutenu.
Rétention du journal d’audit d’un an Soutenu.
Rétention du journal d’audit de 10 ans 2 Pris en charge
Stratégies de rétention du journal d'audit Pris en charge
Insights intelligents Soutenu

Remarque

1 Audit (Premium) inclut un accès à bande passante plus élevée à l’API Office 365 Management Activity, qui fournit un accès plus rapide aux données d’audit.
2 En plus des licences requises pour Audit (Premium) (décrites dans la section suivante), un utilisateur doit se voir attribuer une licence de rétention du journal d’audit de 10 ans pour conserver ses enregistrements d’audit pendant 10 ans.

Audit (Standard)

Microsoft Purview Audit (Standard) vous offre la possibilité de consigner et de rechercher des activités auditées et d’alimenter vos enquêtes médico-légales, informatiques, de conformité et juridiques.

  • Activé par défaut. L’audit (standard) est activé par défaut pour toutes les organisations avec l’abonnement approprié. Cela signifie que les enregistrements des activités auditées sont capturés et peuvent faire l’objet d’une recherche. La seule configuration requise consiste à attribuer les autorisations nécessaires pour accéder à l’outil de recherche de journaux d’audit (et à l’applet de commande correspondante) et à s’assurer que l’utilisateur dispose de la bonne licence pour les fonctionnalités Microsoft Purview Audit (Premium).

  • Des milliers d’événements d’audit peuvent faire l’objet de recherches. Vous pouvez rechercher un large éventail d'activités auditées qui se produisent dans la plupart des services Microsoft 365 au sein de votre organisation. Pour obtenir la liste des activités que vous pouvez rechercher, consultez Activités du journal d’audit. Pour obtenir la liste des services et fonctionnalités qui prennent en charge les activités auditées, consultezType d’enregistrement du journal d’audit.

  • Outil de recherche d’audit dans le portail Microsoft Purview ou le portail de conformité. Utilisez l’outil de recherche dans les journaux d’audit dans les portails pour rechercher des enregistrements d’audit. Vous pouvez rechercher des activités spécifiques, des activités effectuées par des utilisateurs spécifiques et des activités effectuées avec une plage de dates.

  • Cmdlet Search-UnifiedAuditLog. Vous pouvez également utiliser la cmdlet Search-UnifiedAuditLog dans Exchange Online PowerShell (cmdlet sous-jacente pour l’outil de recherche) pour rechercher des événements d’audit ou les utiliser dans un script. Pour plus d'informations, voir :

  • Exporter des enregistrements d’audit dans un fichier CSV. Après avoir exécuté l’outil de recherche du journal d’audit dans le portail Microsoft Purview ou le portail de conformité, vous pouvez exporter les enregistrements d’audit retournés par la recherche dans un fichier CSV. Vous pouvez ainsi trier et filtrer des fichiers Microsoft Excel sur différentes propriétés d’enregistrement d’audit. Vous pouvez également utiliser la fonctionnalité de transformation de Power Query d’Excel pour diviser chaque propriété de l’objet JSON AuditData dans sa propre colonne. Cela vous permet d’afficher et de comparer efficacement des données similaires pour différents événements. Pour plus d’informations, consultez Exporter, configurer et afficher des enregistrements du journal d’audit.

  • Accès aux journaux d’audit via l’API Activité de gestion d’Office 365. Une troisième méthode pour accéder et récupérer des enregistrements d’audit consiste à utiliser l’API Activité de gestion d’Office 365. Cela permet aux organisations de conserver les données d’audit pendant des périodes plus longues que les 180 jours par défaut et d’importer leurs données d’audit dans une solution SIEM. Pour plus d’informations, consultez Référence de l’API Activité de gestion Office 365.

  • Conservation du journal d’audit de 180 jours. Lorsqu’une activité auditée est effectuée par un utilisateur ou un administrateur, un enregistrement d’audit est généré et stocké dans le journal d’audit pour votre organisation. Dans Audit (Standard), les enregistrements sont conservés pendant 180 jours, ce qui signifie que vous pouvez rechercher les activités qui se sont produites au cours des six derniers mois.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Audit (Premium)

Importante

Classic Recherche a été mis hors service depuis le 30 novembre 2023. La nouvelle Recherche inclut des améliorations telles que des temps de recherche plus rapides, des options de recherche supplémentaires, la possibilité d’enregistrer des recherches, etc.

Audit (Premium) s’appuie sur les fonctionnalités d’Audit (Standard) en fournissant des stratégies de rétention des journaux d’audit, une conservation plus longue des enregistrements d’audit, des insights intelligents à valeur élevée et un accès plus large à la bande passante à l’API d’activité de gestion Office 365.

  • Stratégies de rétention du journal d'audit. Vous pouvez créer des stratégies de rétention personnalisées pour conserver les enregistrements d’audit pendant une durée maximale d’un an (et jusqu’à 10 ans pour les utilisateurs titulaires d’une licence de module complémentaire requise). Vous pouvez créer une stratégie de rétention des enregistrements d’audit en fonction du service sur lequel se produisent les activités auditées, des activités d’audit spécifiques ou de l’utilisateur qui effectue une activité auditée.
  • Rétention plus longue des enregistrements d’audit. Les enregistrements d’audit Microsoft Entra ID, Exchange, OneDrive et SharePoint sont conservés pendant un an par défaut. Les enregistrements d’audit pour toutes les autres activités sont conservés pendant 180 jours par défaut, ou vous pouvez utiliser des stratégies de rétention des journaux d’audit pour configurer des périodes de rétention plus longues.
  • Auditer (Premium) des insights intelligents. Les enregistrements d’audit pour des insights intelligents peuvent aider votre organization à mener des enquêtes d’investigation et de conformité en fournissant une visibilité sur des événements tels que le moment où des éléments de courrier ont été consultés, ou quand des éléments de courrier ont été répondus et transférés, ou quand et ce qu’un utilisateur a recherché dans Exchange Online et SharePoint Online. Ces insights intelligents peuvent vous aider à examiner les violations possibles et à déterminer l’étendue de la compromission.
  • Bande passante supérieure à l’API Activité de gestion Office 365. Audit (Premium) fournit aux organisations plus de bande passante pour accéder aux journaux d’audit via l’API Office 365 Management Activity. Bien que toutes les organisations (qui disposent d’Audit (Standard) ou d’Audit (Premium)) se voient initialement allouer une base de 2 000 requêtes par minute, cette limite augmentera dynamiquement en fonction du nombre de sièges d’une organisation et de son abonnement à la licence. Ainsi, les organisations avec Audit (Premium) obtiennent environ deux fois plus de bande passante que les organisations avec Audit (Standard).

Conservation à long terme des journaux d’audit

Audit (Premium) conserve tous les enregistrements d’audit Exchange, SharePoint et Microsoft Entra pendant un an. Pour ce faire, une stratégie de rétention du journal d’audit par défaut conserve tout enregistrement d’audit qui contient la valeur d’AzureActiveDirectory, Exchange, OneDrive ou SharePoint pour la propriété Workload (qui indique le service dans lequel l’activité s’est produite) pendant un an. La rétention d’enregistrements d’audit sur des périodes plus longues peut vous aider à effectuer des investigations de conformité ou de vérification en cours. Pour plus d’informations, voir la section « Stratégie de rétention du journal d’audit par défaut » dans Gérer les stratégies de rétention du journal d’audit.

En plus des fonctionnalités de rétention d’un an de l’audit (Premium), nous avons également publié la possibilité de conserver les journaux d’audit pendant 10 ans. La rétention de 10 ans des journaux d’audit permet de faciliter les investigations de longue durée et de répondre aux obligations réglementaires, légales et internes.

Remarque

La conservation des journaux d’audit pendant 10 ans nécessite une licence complémentaire supplémentaire par utilisateur. Une fois que cette licence est attribuée à un utilisateur et qu'une stratégie appropriée de conservation des journaux d'audit pendant 10 ans est définie pour cet utilisateur, les journaux d'audit couverts par cette stratégie commenceront à être conservés pendant la période de 10 ans. Cette stratégie n'est pas rétroactive et ne peut pas conserver les journaux d'audit qui ont été générés avant la création de la stratégie de conservation des journaux d'audit pendant 10 ans.

Stratégies de rétention du journal d'audit

Tous les enregistrements d’audit générés dans d’autres services qui ne sont pas couverts par la stratégie de rétention du journal d’audit par défaut (décrite dans la section précédente) sont conservés pendant 180 jours. Toutefois, vous pouvez créer des stratégies de rétention de journal d’audit personnalisées pour retenir d'autres enregistrements d’audit pendant 10 ans. Vous pouvez créer une stratégie pour conserver les enregistrements d’audit basés sur un ou plusieurs critères énumérés ci-après :

  • Service Microsoft 365 dans lequel les activités auditées ont lieu.
  • Activités auditées spécifiques.
  • L’utilisateur effectuant une activité auditée.

Importante

La période de rétention par défaut pour Audit (Standard) est passée de 90 jours à 180 jours. Les journaux d’audit (Standard) générés avant le 17 octobre 2023 sont conservés pendant 90 jours. Les journaux d’audit (Standard) générés à partir du 17 octobre 2023 suivent la nouvelle conservation par défaut de 180 jours.

Vous pouvez également spécifier la durée de conservation des enregistrements d’audit qui correspondent à la stratégie et à un niveau de priorité afin que des stratégies spécifiques prennent la priorité sur d’autres stratégies. Notez également que toute stratégie de rétention de journal d’audit personnalisée est prioritaire sur la stratégie de rétention d’audit par défaut si vous avez besoin de conserver les enregistrements d’audit Exchange, SharePoint ou Azure Active Directory pendant moins d’un an (ou pendant 10 ans) pour certains ou tous les utilisateurs de votre organization. Pour plus d’informations, voir gérer les stratégies de rétention du journal d’audit.

Importante

La durée de vie de l’élément d’audit pour les données est déterminée lorsqu’elles sont ajoutées au pipeline d’audit et est basée sur les paramètres de licence par défaut ou les stratégies de rétention applicables. Toute modification apportée aux licences ou aux stratégies de rétention applicables modifie le délai d’expiration des données d’audit après la mise à jour. Ces modifications ne modifient aucun élément précédemment commité.

Auditer (Premium) les propriétés de l’activité

L’Audit (Premium) aide les organisations à mener des enquêtes de conformité et d’investigation en fournissant l’accès à des événements importants tels que l’accès aux éléments de messagerie, la réponse et le transfert des éléments de courrier, ainsi que le moment et ce qu’un utilisateur a recherchés dans Exchange Online et SharePoint Online. Ces événements peuvent vous aider à identifier les violations possibles et déterminer l’étendue de la compromission. En plus de ces événements dans Exchange et SharePoint, il existe des événements dans d’autres services Microsoft 365 qui sont considérés comme des événements importants et qui nécessitent que les utilisateurs reçoivent la licence d’Audit (Premium) appropriée. Les utilisateurs doivent se voir attribuer une licence d’audit (Premium) afin que les journaux d’audit soient générés lorsque les utilisateurs effectuent ces événements.

Ces activités nécessitent que les utilisateurs se voient attribuer la licence d’audit (Premium) appropriée. Les utilisateurs doivent se voir attribuer une licence d’audit (Premium) afin que les journaux d’audit soient générés lorsque les utilisateurs effectuent ces activités et propriétés.

Audit (Premium) permet d’accéder aux propriétés d’activité suivantes :

Exchange Online

Activité Propriété
MailItemsAccessed SensitivityLabel

Microsoft Teams

Activité Propriété
ChatCreated AppAccessContext
ChatRetrieved AppAccessContext
ChatUpdated AppAccessContext
MeetingParticipantDetail IsJoinedFromLobby
ArtifactShared
MessageCreatedNotification AppAccessContext
MessageDeletedNotification AppAccessContext
MessageHostedContentsListed AppAccessContext
MessageHostedContentRead AppAccessContext
MessagesListed AppAccessContext
MessageRead AppAccessContext
MessageSent AppAccessContext
ParticipatingDomainInformation
ParticipantInfo
MessageUpdated ParticipantInfo
AppAccessContext
MessageUpdatedNotification AppAccessContext
SubscribedToMessages AppAccessContext

Accès haut débit à l’API Activité de gestion Office 365

Les organisations ayant accès à des journaux d’audit via l’API Activité de gestion Office 365 étaient restreintes par des seuils de limitation au niveau de l’éditeur. Cela signifie que pour un éditeur faisant une extraction de données pour le compte de plusieurs clients, la limite était partagée par tous les clients.

Avec Audit (Premium), cela est passé d’une limite au niveau de l’éditeur à une limite au niveau du locataire. Le résultat est que chaque organization obtenir son propre quota de bande passante entièrement alloué pour accéder à ses données d’audit. La bande passante n’est pas une limite statique prédéfinie, mais elle est modélisée sur une combinaison de facteurs, notamment le nombre de sièges dans le organization et que les organisations E5/A5/G5 obtiennent plus de bande passante que les organisations non E5/A5/G5.

Les organisations reçoivent une ligne de base de 2 000 demandes par minute. Cette limite augmente dynamiquement en fonction du nombre de sièges et de l’abonnement de licence d’un organization. Les organisations E5/A5/G5 obtiennent environ deux fois plus de bande passante que les organisations non E5/A5/G5. La bande passante maximale est limitée pour protéger l’intégrité du service.

Pour plus d’informations, consultez la section Limitation des API dans Office 365 informations de référence sur l’API Activité de gestion.

Conditions d'octroi de licence

Avant de commencer, passez en revue les conditions d’abonnement pour Audit (Standard) et Audit (Premium).

Formation

Former votre équipe d’opérations de sécurité, vos administrateurs informatiques et votre équipe d’enquêteurs de conformité aux fondamentaux de l’audit (standard) et de l’audit (premium) peut aider votre organisation à démarrer plus rapidement en utilisant l’audit pour vous aider dans vos enquêtes. Microsoft Purview fournit la ressource suivante pour aider ces utilisateurs de votre organisation à démarrer l’audit : Décrire les fonctionnalités eDiscovery et d’audit de Microsoft Purview.