Guide pratique pour télécharger les journaux dans Microsoft Entra ID
Le Centre d’administration Microsoft Entra vous donne accès à trois types de journaux d’activité :
- Connexions : Informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
- Audit : Informations sur les modifications appliquées à votre locataire, telles que la gestion des utilisateurs et des groupes ou les mises à jour appliquées aux ressources de votre locataire.
- Approvisionnement : Activités réalisées par un service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.
Microsoft Entra ID stocke les données dans ces journaux pendant une durée limitée. En tant qu’administrateur informatique, vous pouvez télécharger vos journaux d’activité pour disposer d’une sauvegarde à long terme. Cet article explique comment télécharger les journaux d’activité dans Microsoft Entra ID.
Prérequis
L’option permettant de télécharger les données d’un journal d’activité est disponible dans toutes les éditions de Microsoft Entra ID. Vous pouvez également télécharger les journaux d’activité à l’aide de Microsoft Graph. Toutefois, pour télécharger les journaux grammaticalement, vous avez besoin d’une licence Premium.
Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.
Journal / Rapport | Rôles | Licences |
---|---|---|
Audit | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général |
Toutes les éditions de Microsoft Entra ID |
Connexions | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général |
Toutes les éditions de Microsoft Entra ID |
Approvisionnement | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général Opérateur de sécurité Administrateur d’application Administrateur d’application cloud |
Microsoft Entra ID P1 ou P2 |
Journaux d’audit des attributs de sécurité personnalisés* | Administrateur de journal d’attributs Lecteur du journal des attributs |
Toutes les éditions de Microsoft Entra ID |
Utilisation et insights | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité |
Microsoft Entra ID P1 ou P2 |
Protection des identités** | Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général |
Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2 |
Journaux d’activité Microsoft Graph | Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante |
Microsoft Entra ID P1 ou P2 |
*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.
**Le niveau d’accès et les fonctionnalités de protection des identités varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour Identity Protection.
Détails du téléchargement du journal
Microsoft Entra ID stocke les journaux d’activité pour une période spécifique. Pour plus d’informations, consultez Combien de temps Microsoft Entra ID stocke-t-il les données de rapport ? En téléchargeant les journaux, vous pouvez contrôler leur durée de stockage.
Microsoft Entra ID prend en charge les formats suivants pour votre téléchargement :
- CSV
- JSON
Les horodatages dans les fichiers téléchargés sont basés sur le temps universel coordonné (UTC).
Pour les jeux de données volumineux (> 250 000 enregistrements), vous devriez utiliser l’API de création de rapports pour télécharger les données.
Notes
Problèmes de téléchargement de jeux de données volumineux
Le téléchargeur du Portail Azure va expirer si vous essayez de télécharger des jeux de données volumineux. En règle générale, les jeux de données inférieurs à 250 000 enregistrements fonctionnent bien avec la fonctionnalité de téléchargement du navigateur. Si vous rencontrez des problèmes lors de téléchargements volumineux dans le navigateur, vous devez utiliser l’API de création de rapports pour télécharger les données.
Guide pratique pour télécharger les journaux d’activité
Vous pouvez accéder aux journaux d’activité à partir de la section Monitoring de Microsoft Entra ID ou à partir de la page Utilisateurs de Microsoft Entra ID. Si vous affichez les journaux d’audit à partir de la page Utilisateurs, la catégorie de filtre est définie sur UserManagement. De même, si vous affichez les journaux d’audit à partir de la page Groupes, la catégorie de filtre est définie sur GroupManagement. Quelle que soit la façon dont vous accédez aux journaux d’activité, votre téléchargement est basé sur le filtre que vous avez défini.
Conseil
Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.
- Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
- Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.
- Sélectionnez Télécharger.
- Pour les journaux d’audit et de connexion, une fenêtre s’affiche dans laquelle vous sélectionnez le format de téléchargement (CSV ou JSON).
- Pour les journaux d’approvisionnement, vous sélectionnez le format de téléchargement (CSV de JSON) à partir du bouton Télécharger.
- Vous pouvez modifier le nom de fichier du téléchargement.
- Cliquez sur le bouton Télécharger.
- Le téléchargement traite et envoie le fichier à votre emplacement de téléchargement par défaut.
La capture d’écran suivante montre la fenêtre de téléchargement à partir du processus de téléchargement du journal d’audit et de connexion.
La capture d’écran suivante montre les options de menu pour le processus de téléchargement du journal d’approvisionnement.
Si votre locataire a activé l'aperçu des journaux de connexion, davantage d'options sont disponibles après avoir sélectionné Télécharger. Les journaux de connexion en préversion incluent les connexions utilisateur interactives et non interactives, les connexions du principal de service et les connexions d’identité managée.