Qu’est-ce que la surveillance et l’intégrité de Microsoft Entra ?

Les fonctionnalités de surveillance et d’intégrité de Microsoft Entra offrent une vision complète de l’activité en rapport avec l’identité dans votre environnement. Ces données vous permettent de :

  • Déterminer la façon dont vos utilisateurs utilisent vos applications et services.
  • Détecter les risques potentiels affectant l’intégrité de votre environnement.
  • Résoudre les problèmes empêchant les utilisateurs d’effectuer leur travail.

Les journaux de connexion et d’audit sont constitués des journaux d’activité sur lesquels reposent de nombreux rapports Microsoft Entra, qui peuvent servir à analyser, superviser et résoudre les problèmes d’activité dans votre locataire. Le fait de router vos journaux d’activité vers une solution d’analyse et de monitoring procure des informations plus détaillées sur l’intégrité et la sécurité de votre locataire.

Cet article décrit les types de journaux d’activité disponibles dans Microsoft Entra ID, les rapports qui utilisent les journaux ainsi que les services de monitoring auxquels vous avez accès pour faciliter l’analyse des données.

Journaux d’activité d’identité

Les journaux d’activité vous aident à comprendre le comportement des utilisateurs de votre organisation. Il existe trois types de journaux d’activité dans Microsoft Entra ID :

  • Les journaux d’audit incluent l’historique de chaque tâche effectuée dans votre locataire.

  • Les journaux de connexion capturent les tentatives de connexion de vos utilisateurs et applications clientes.

  • Les journaux de provisionnement fournissent des informations sur les utilisateurs provisionnés dans votre locataire par l’intermédiaire d’un service tiers.

Les journaux d’activité peuvent être consultés sur le portail Azure ou à l’aide de l’API Microsoft Graph. Les journaux d’activité peuvent également être routés vers différents points de terminaison à des fins de stockage ou d’analyse. Pour découvrir toutes les options de consultation des journaux d’activité, consultez Guide pratique pour accéder aux journaux d’activité.

Journaux d’audit

Les journaux d’audit mettent à votre disposition les enregistrements des activités système à des fins de conformité. Ces données vous permettent de résoudre des scénarios courants, tels que :

  • Une personne de mon locataire a obtenu l’accès à un groupe d’administration. Qui lui a fourni cet accès ?
  • Je souhaite obtenir la liste des utilisateurs se connectant à une application spécifique, car j’ai récemment intégré cette application et je voudrais savoir si j’ai bien fait.
  • Je souhaite savoir combien de réinitialisations de mot de passe se produisent dans mon locataire.

Journaux d’activité de connexion

Les journaux de connexion vous permettent de trouver des réponses aux questions de type :

  • Quel est le modèle de connexion d’un utilisateur ?
  • Combien d’utilisateurs se sont connectés au cours d’une semaine ?
  • Quel est l’état de ces connexions ?

Journaux d’approvisionnement

Vous pouvez utiliser les journaux d’approvisionnement pour trouver des réponses à des questions telles que :

  • Quels groupes ont été créés avec succès dans ServiceNow ?
  • Quels utilisateurs ont été correctement supprimés d’Adobe ?
  • Quels utilisateurs de Workday ont été correctement crées dans Active Directory ?

Rapports sur les identités

L’examen des données dans les journaux d’activité Microsoft Entra peut fournir des informations utiles aux administrateurs informatiques. Pour simplifier l’examen des données dans les scénarios clés, nous avons créé plusieurs rapports sur des scénarios courants qui utilisent les journaux d’activité.

Monitoring des identités et intégrité du locataire

L’examen des journaux d’activité Microsoft Entra est la première étape de la maintenance et de l’amélioration de l’intégrité et de la sécurité de votre locataire. Vous devez analyser les données, superviser les scénarios à risque et identifier les points d’amélioration possibles. La surveillance Microsoft Entra fournit les outils nécessaires pour vous aider à prendre des décisions avisées.

La surveillance des journaux d’activité Microsoft Entra nécessite de router les données de journal vers une solution de surveillance et d’analyse. Les points de terminaison incluent des journaux Azure Monitor, Microsoft Sentinel ou l’outil SIEM (Security Information and Event Management) d’une solution tierce.

Pour obtenir une vue d’ensemble de l’accès, du stockage et de l’analyse des journaux d’activité, consultez Guide pratique pour accéder aux journaux d’activité.