La section Audit n’est disponible qu’en option. Veuillez contacter votre TAM pour en savoir plus.
Dans la section Entra, vous trouverez des rapports complets sur toutes les activités Entra au sein de votre tenant Microsoft 365. Cela inclut les activités auditées, divers événements de connexion (généraux, rôles administrateur, utilisateurs externes, tentatives échouées), connexions mensuelles par utilisateur et par application, utilisateurs à risque, détections de risque ainsi que des connexions depuis des IP anonymes, emplacements inhabituels et via des protocoles hérités. Pour certaines catégories, des détails supplémentaires peuvent être affichés en sélectionnant les colonnes correspondantes, avec la possibilité d’afficher une carte (Connexion : événements, avec rôles admin, externes et échecs) et d’activer la bascule de données anonymes (Connexion : événements, avec rôles admin, externes et échecs, depuis des emplacements inhabituels, détections de risques et déplacements impossibles vers des emplacements atypiques).
La catégorie Audit Entra inclut certaines fonctionnalités qui sont exclusives à cette section. Vous trouverez la liste de ces fonctionnalités et des fonctionnalités communes à la fin de l’article.
Rapport d’audit
Cette section fournit l’enregistrement d’audit pour le nom de l’événement, l’auteur de l’action, la date et l’heure (en UTC) où elle a été effectuée, la ressource cible impactée par le changement ainsi que les détails sur l’acteur, la cible et le rôle.
Événements de connexion
Cette section fournit un rapport de tous les événements de connexion Entra dans votre tenant Microsoft 365. Des détails supplémentaires peuvent être affichés en sélectionnant les colonnes correspondantes. Vous pouvez afficher une carte et activer la bascule de données anonymes. Ce rapport donne tous les détails sur les activités de connexion réalisées dans votre tenant. Il est facile de consulter les échecs de connexion, les comptes verrouillés ciblés par des attaques ou encore les usages détaillés au sein de votre tenant. Notez que les événements du rapport sont regroupés par minute pour éviter trop d’événements similaires.
Connexions avec rôles administrateur
Propose une vue filtrée des événements de connexion Entra pour les utilisateurs ayant des rôles administrateur dans votre tenant Microsoft 365. Des détails supplémentaires peuvent être affichés en sélectionnant les colonnes correspondantes. Vous pouvez afficher une carte et activer la bascule de données anonymes. Ce rapport indique également les connexions d’utilisateurs disposant d’au moins un rôle admin.
Connexions externes
Cette section propose une vue filtrée des événements de connexion Entra pour les utilisateurs externes de votre tenant Microsoft 365. Des informations additionnelles peuvent être affichées en sélectionnant les colonnes concernées. Vous pouvez afficher une carte et activer la bascule des données anonymes. Ce rapport vous permet de visualiser qui a réalisé l’accès externe, quand cela s’est produit, à quels contenus l’utilisateur externe a eu accès et depuis quelle zone géographique.
Connexions échouées
Cette section propose une vue filtrée des événements de connexion Entra échoués dans votre tenant Microsoft 365. Des détails supplémentaires peuvent être affichés en sélectionnant les colonnes appropriées. Vous pouvez afficher une carte et activer la bascule de données anonymes. Ce rapport montre tous les échecs et raisons de connexion pour tous les utilisateurs durant la période choisie.
Connexions mensuelles par utilisateur
Rapport agrégé des événements de connexion Entra par utilisateur dans votre tenant Microsoft 365. Ce rapport montre le nombre total de sessions du mois en cours pour chaque utilisateur.
Connexions mensuelles par application
Rapport agrégé des événements de connexion Entra par application intégrée Entra ID dans votre tenant Microsoft 365. Il fournit des informations sur l’utilisation des applications gérées et les activités de connexion utilisateur.
Utilisateurs à risque
Cette section fournit un rapport sur les utilisateurs Entra signalés comme à risque dans votre tenant Microsoft 365. Des détails supplémentaires sont accessibles en sélectionnant les colonnes concernées. Ce rapport liste tous les utilisateurs Entra ID à risque pour un Tenant virtuel, pour identifier les potentielles menaces sur votre tenant et agir en conséquence.
Détections de risque
Cette section fournit un rapport sur les détections de risque Entra dans votre tenant Microsoft 365. Des détails supplémentaires peuvent être affichés en sélectionnant les colonnes appropriées. Vous pouvez activer la bascule de données anonymes. Chaque action suspecte détectée est conservée dans ce rapport. Cela permet d’identifier des menaces potentielles sur votre tenant et de réduire le risque de sécurité.
Connexions depuis IP anonymes
Rapport des événements de connexion Entra effectués à partir d’adresses IP anonymes dans votre tenant Microsoft 365. Des détails supplémentaires sont accessibles en sélectionnant les colonnes appropriées. Vous pouvez activer la bascule de données anonymes. Ce rapport indique les utilisateurs qui se sont connectés avec succès à partir d’une IP identifiée comme un proxy anonyme.
Connexions depuis des emplacements inhabituels
Cette section présente un rapport des événements de connexion Entra à partir d’emplacements inhabituels dans votre tenant Microsoft 365. Des détails supplémentaires peuvent être affichés en sélectionnant les colonnes appropriées. Vous pouvez activer la bascule de données anonymes. Ce rapport considère les emplacements de connexion passés pour déterminer les nouveaux emplacements inhabituels.
Voyages impossibles vers des emplacements atypiques
Rapport sur les événements de connexion Entra pour protocoles hérités dans votre tenant Microsoft 365. Des détails supplémentaires sont accessibles en sélectionnant les colonnes appropriées. Vous pouvez activer la bascule de données anonymes. Ce rapport est utile pour repérer les connexions depuis des emplacements atypiques pour un utilisateur selon son comportement passé.
Connexions avec protocoles hérités
Cette section fournit un rapport sur les événements de connexion Entra utilisant des protocoles hérités dans votre tenant Microsoft 365. Des détails supplémentaires peuvent être affichés en sélectionnant les colonnes appropriées. Vous pouvez activer la bascule de données anonymes. Ce rapport indique les connexions utilisant des protocoles obsolètes dans le tenant afin de pouvoir évaluer le blocage des protocoles hérités et les utilisateurs concernés.
Par ailleurs, en cliquant sur « Colonnes », vous pouvez ajouter ou retirer des informations des rapports d’audit. Il est également possible d’exporter, sauvegarder ou planifier ces rapports avec les modifications, filtres appliqués et ajuster l’intervalle de temps dans le coin supérieur droit du tableau.
Nous utilisons l’API Graph pour importer les données immédiatement après l’import de groupe, qui a lieu une fois par jour. Par conséquent, les rapports de protection de l’identité, dont les « détections de risque », ne sont pas fournis en temps réel.
Consultez ces pages pour en savoir plus sur les fonctionnalités propres à ces rapports d’audit : uniquement :
- Bascule des données anonymes pour les rapports d’audit Entra
- Fonction d’affichage cartographique pour les rapports d’audit Entra
Consultez ces pages pour en savoir plus sur les fonctionnalités liées à ces rapports :
- Fonctionnalités pour gérer et organiser les rapports d’audit
- Fonctionnalité pour visualiser les rapports d’audit
Pour plus d’informations sur les journaux de connexions dans Entra, consultez cette page.