Guide pratique pour télécharger les journaux dans Microsoft Entra ID

Le Centre d’administration Microsoft Entra vous donne accès à trois types de journaux d’activité :

  • Connexions : Informations sur les connexions et la manière dont vos ressources sont utilisées par vos utilisateurs.
  • Audit : Informations sur les modifications appliquées à votre locataire, telles que la gestion des utilisateurs et des groupes ou les mises à jour appliquées aux ressources de votre locataire.
  • Approvisionnement : Activités réalisées par un service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

Microsoft Entra ID stocke les données dans ces journaux pendant une durée limitée. En tant qu’administrateur informatique, vous pouvez télécharger vos journaux d’activité pour disposer d’une sauvegarde à long terme. Cet article explique comment télécharger les journaux d’activité dans Microsoft Entra ID.

Prérequis

L’option permettant de télécharger les données d’un journal d’activité est disponible dans toutes les éditions de Microsoft Entra ID. Vous pouvez également télécharger les journaux d’activité à l’aide de Microsoft Graph. Toutefois, pour télécharger les journaux grammaticalement, vous avez besoin d’une licence Premium.

Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.

Journal / Rapport Rôles Licences
Audit Lecteur de rapports
Lecteur Sécurité
Administrateur de la sécurité
Lecteur général
Toutes les éditions de Microsoft Entra ID
Connexions Lecteur de rapports
Lecteur Sécurité
Administrateur de la sécurité
Lecteur général
Toutes les éditions de Microsoft Entra ID
Approvisionnement Lecteur de rapports
Lecteur Sécurité
Administrateur de la sécurité
Lecteur général
Opérateur de sécurité
Administrateur d’application
Administrateur d’application cloud
Microsoft Entra ID P1 ou P2
Journaux d’audit des attributs de sécurité personnalisés* Administrateur de journal d’attributs
Lecteur du journal des attributs
Toutes les éditions de Microsoft Entra ID
Utilisation et insights Lecteur de rapports
Lecteur Sécurité
Administrateur de la sécurité
Microsoft Entra ID P1 ou P2
Protection des identités** Administrateur de la sécurité
Opérateur de sécurité
Lecteur de sécurité
Lecteur général
Microsoft Entra ID Gratuit
Microsoft 365 Apps
Microsoft Entra ID P1 ou P2
Journaux d’activité Microsoft Graph Administrateur de la sécurité
Autorisations d’accès aux données dans la destination de journal correspondante
Microsoft Entra ID P1 ou P2

*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.

**Le niveau d’accès et les fonctionnalités de protection des identités varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour Identity Protection.

Détails du téléchargement du journal

Microsoft Entra ID stocke les journaux d’activité pour une période spécifique. Pour plus d’informations, consultez Combien de temps Microsoft Entra ID stocke-t-il les données de rapport ? En téléchargeant les journaux, vous pouvez contrôler leur durée de stockage.

  • Microsoft Entra ID prend en charge les formats suivants pour votre téléchargement :

    • CSV
    • JSON
  • Les horodatages dans les fichiers téléchargés sont basés sur le temps universel coordonné (UTC).

  • Pour les jeux de données volumineux (> 250 000 enregistrements), vous devriez utiliser l’API de création de rapports pour télécharger les données.

    Notes

    Problèmes de téléchargement de jeux de données volumineux
    Le téléchargeur du Portail Azure va expirer si vous essayez de télécharger des jeux de données volumineux. En règle générale, les jeux de données inférieurs à 250 000 enregistrements fonctionnent bien avec la fonctionnalité de téléchargement du navigateur. Si vous rencontrez des problèmes lors de téléchargements volumineux dans le navigateur, vous devez utiliser l’API de création de rapports pour télécharger les données.

Guide pratique pour télécharger les journaux d’activité

Vous pouvez accéder aux journaux d’activité à partir de la section Monitoring de Microsoft Entra ID ou à partir de la page Utilisateurs de Microsoft Entra ID. Si vous affichez les journaux d’audit à partir de la page Utilisateurs, la catégorie de filtre est définie sur UserManagement. De même, si vous affichez les journaux d’audit à partir de la page Groupes, la catégorie de filtre est définie sur GroupManagement. Quelle que soit la façon dont vous accédez aux journaux d’activité, votre téléchargement est basé sur le filtre que vous avez défini.

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
  2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.
  3. Sélectionnez Télécharger.
    • Pour les journaux d’audit et de connexion, une fenêtre s’affiche dans laquelle vous sélectionnez le format de téléchargement (CSV ou JSON).
    • Pour les journaux d’approvisionnement, vous sélectionnez le format de téléchargement (CSV de JSON) à partir du bouton Télécharger.
    • Vous pouvez modifier le nom de fichier du téléchargement.
    • Cliquez sur le bouton Télécharger.
  4. Le téléchargement traite et envoie le fichier à votre emplacement de téléchargement par défaut.

La capture d’écran suivante montre la fenêtre de téléchargement à partir du processus de téléchargement du journal d’audit et de connexion. Screenshot of the audit log download process.

La capture d’écran suivante montre les options de menu pour le processus de téléchargement du journal d’approvisionnement. Screenshot of the provisioning log download button options.

Si votre locataire a activé l'aperçu des journaux de connexion, davantage d'options sont disponibles après avoir sélectionné Télécharger. Les journaux de connexion en préversion incluent les connexions utilisateur interactives et non interactives, les connexions du principal de service et les connexions d’identité managée. Screenshot of the download options for the sign-in logs preview.

Étapes suivantes