Réserver une démo

Microsoft Teams Audit Log Guide: Monitoring & Reporting

Maîtrisez rapidement les journaux d’audit Microsoft Teams grâce à ce guide :

  • Ce que c’est : des enregistrements numériques de toutes les activités dans Teams
  • Pourquoi c’est important : détecter les menaces, rester conforme, enquêter sur les incidents
  • Caractéristiques principales :
    • Suivre les modifications d’équipes/canaux, les actions des utilisateurs, les activités d’administration
    • Conservation : 180 jours (standard), 1 an (licence E5)
    • Doit être activé pour commencer la journalisation

Voici comment utiliser efficacement les journaux d’audit Teams :

  1. Activer la journalisation d’audit dans Microsoft Purview ou PowerShell
  2. Consulter les journaux via le portail Purview ou des commandes PowerShell
  3. Rechercher dans les journaux à l’aide de filtres, de mots-clés, de plages de dates
  4. Créer des rapports en exportant les données au format CSV
  5. Configurer des alertes pour les événements critiques
  6. Utiliser les journaux à des fins de conformité (GDPR, HIPAA) et de sécurité
TâcheComment procéder
Activer la journalisationPortail Purview ou commande PowerShell
Consulter les journauxRechercher dans Purview ou utiliser PowerShell
Créer des rapportsExporter au format CSV, utiliser Excel pour l’analyse
Configurer des alertesParamétrer dans le portail Purview

À retenir : les journaux ne capturent les données qu’après l’activation de l’audit. Commencez dès maintenant pour maximiser vos informations de sécurité.

Microsoft Teams

Considérez les journaux d’audit Microsoft Teams comme une caméra de sécurité numérique pour votre environnement Teams. Ils enregistrent pratiquement tout ce qui s’y passe.

Que contiennent-ils ?

Les journaux d’audit enregistrent :

  • Les modifications d’équipes et de canaux
  • Les actions des utilisateurs (connexions, accès aux fichiers, etc.)
  • Les activités d’administration

Par exemple, si quelqu’un crée une nouvelle équipe le 1er octobre, le journal indiquera qui l’a fait et à quel moment.

Quelle est la durée de conservation des journaux ?

Cela dépend de votre licence :

LicenceConservation
Standard180 jours
E51 an

Microsoft a récemment porté la durée de conservation standard de 90 à 180 jours. Les utilisateurs E5 bénéficient d’une année complète pour certains services.

À retenir : les journaux ne démarrent qu’une fois l’audit activé. Si vous ne l’avez pas encore fait, faites-le maintenant !

Comment activer la journalisation d’audit

Vous souhaitez suivre les activités dans Microsoft Teams ? Vous devez d’abord activer la journalisation d’audit. Voici comment :

Prérequis

Pour activer la journalisation d’audit, vous devez disposer :

  • Du rôle Administrateur général ou Journaux d’audit dans Exchange Online
  • D’un accès au portail Microsoft Purview ou à Exchange Online PowerShell

Étapes de configuration

Vous pouvez activer la journalisation d’audit de deux manières :

1. Portail Microsoft Purview :

  • Connectez-vous à Microsoft Purview
  • Cliquez sur la vignette de la solution Audit
  • Vous voyez une bannière pour démarrer l’enregistrement des activités ? Cliquez dessus

2. PowerShell :

  • Connectez-vous à Exchange Online PowerShell

  • Exécutez la commande suivante :

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Microsoft indique que les modifications peuvent prendre jusqu’à une heure pour être effectives.

Vérifier que cela fonctionne

Pour vérifier :

  1. Ouvrez Exchange Online PowerShell
  2. Exécutez :
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Si la valeur affichée est « True », vous êtes prêt.

MéthodeDélai d’activationComment vérifier
Portail PurviewJusqu’à 60 minLa bannière disparaît
PowerShellJusqu’à 60 minLa commande retourne « True »

Comment consulter les journaux d’audit

Vous souhaitez garder un œil sur l’activité de votre Microsoft Teams ? Voici comment accéder aux journaux d’audit :

Via le portail Purview

  1. Connectez-vous au portail de conformité Microsoft Purview
  2. Recherchez la vignette de la solution Audit
  3. Utilisez l’outil de recherche pour trouver des activités spécifiques

Conseil : utilisez la liste de cases à cocher pour cibler précisément ce que vous recherchez.

Trop de résultats ?Que faire
Plus de 5 000Affinez votre recherche ou exportez tout

PowerShell

Si vous êtes à l’aise avec le code, PowerShell est votre allié :

  1. Connectez-vous à Exchange Online PowerShell
  2. Exécutez cette commande :
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -RecordType MicrosoftTeams -ResultSize 5000

Cette commande récupère les journaux Teams de la dernière semaine, jusqu’à 5 000 résultats.

Remarque : vous aurez besoin du rôle « Audit Logs » ou « View-Only Audit Logs » pour accéder à ces journaux.

Quelques points à garder à l’esprit :

Trouver des informations dans les journaux d’audit

Voyons comment trouver ce dont vous avez besoin dans les journaux d’audit Microsoft Teams.

L’outil de recherche dans les journaux d’audit du portail Microsoft Purview est votre meilleur allié pour les investigations rapides. Voici comment l’utiliser :

1. Sélectionner les activités

Choisissez des actions spécifiques dans la liste de cases à cocher. Vous souhaitez connaître les nouveaux canaux ou les messages supprimés ? Cochez simplement les cases correspondantes.

2. Recherche par mot-clé

Vous avez un mot précis en tête ? Saisissez-le dans le champ de recherche pour trouver les activités associées.

3. Plage de dates

Délimitez votre période de recherche. Par défaut, elle est définie sur la dernière semaine, mais vous pouvez la modifier.

4. Filtrage par utilisateur

Vous souhaitez suivre l’activité d’une personne en particulier ? Filtrez par nom d’utilisateur.

Conseil : vous enquêtez sur l’utilisation de cmdlets ? Sélectionnez « Afficher les résultats pour toutes les activités » dans la liste Activités.

Conseils pour des recherches plus efficaces

Pour tirer le meilleur parti de vos recherches :

1. Commencez large, puis affinez

Démarrez avec une plage de dates étendue, puis réduisez-la en fonction de vos résultats.

2. Utilisez Excel

Exportez vos résultats et laissez les filtres et le tri d’Excel faire le travail à votre place.

3. Respectez la limite de 5 000 résultats

Vous avez atteint le maximum ? Découpez votre recherche en intervalles de temps plus courts.

4. Vérifications régulières

Planifiez des audits de routine. Restez au fait de l’activité Teams.

5. Combinez avec les alertes

Utilisez les journaux d’audit conjointement avec des stratégies d’alerte pour une surveillance proactive.

Référence rapide pour les recherches courantes :

ScénarioConseils de recherche
Suivi des fichiersFiltrer sur « FileDownloaded », « FileAccessed », « FileModified »
Surveiller les équipesRechercher les événements « Added to team », « Removed from team »
Vérifier les autorisationsRechercher « Added member to channel », « Updated role »

À retenir : vous ne verrez que les données générées depuis l’activation de l’audit. Aucun résultat ? Vérifiez vos paramètres d’audit.

Vous avez besoin de récupérer régulièrement de grands volumes de journaux ? Pensez à l’API Office 365 Management Activity. Elle est plus rapide et plus évolutive que les recherches manuelles.

Utilisations courantes des journaux d’audit

Les journaux d’audit dans Microsoft Teams sont une mine d’informations pour les administrateurs IT et les professionnels de la sécurité. Voici comment les exploiter :

Suivre les modifications d’équipes et de canaux

Suivez la création, la suppression et les modifications de paramètres des équipes et des canaux. Cela contribue à maintenir la structure et la sécurité de votre organisation.

Vérifier les activités sur les fichiers

Surveillez les téléchargements, les tentatives d’accès et les modifications. C’est essentiel pour protéger les données sensibles et détecter les fuites potentielles.

Analyser les accès utilisateurs

Les comportements d’accès des utilisateurs peuvent révéler beaucoup de choses. Utilisez les journaux d’audit pour examiner :

  • Les modifications d’autorisations
  • Les ajouts et suppressions d’utilisateurs
  • Les mises à jour de rôles

Aperçu rapide des scénarios courants :

ScénarioCe qu’il faut rechercher
Intégration de nouveaux collaborateursÉvénements « Added to team »
Départ d’un collaborateurÉvénements « Removed from team »
Changements de rôleActivités « Updated role »

Aucun résultat ? Vérifiez que l’audit est bien activé. Vous ne verrez des données qu’à partir de ce moment.

« Les organisations peuvent utiliser Netwrix Auditor pour une surveillance complète et automatisée des accès aux données dans SharePoint et MS Teams », indique un expert en sécurité de Netwrix.

Pour la récupération de journaux à grande échelle, essayez l’API Office 365 Management Activity. Elle est plus efficace que les recherches manuelles pour les grandes organisations.

Créer des rapports à partir des journaux d’audit

Voici comment transformer les données des journaux d’audit en rapports utiles pour la sécurité de votre Microsoft Teams :

Rapports prédéfinis

Les rapports intégrés de Microsoft peuvent vous faire gagner du temps :

  1. Accédez au portail Microsoft Purview
  2. Cliquez sur « Recherche dans les journaux d’audit » dans le menu de gauche
  3. Utilisez la liste déroulante « Activités » pour sélectionner les options de suivi

Par exemple, pour voir les nouveaux membres d’une équipe :

  1. Sélectionnez « Added member to team »
  2. Définissez la plage de dates
  3. Cliquez sur « Rechercher »

Vous obtenez une liste d’événements triable et filtrable.

Rapports personnalisés

Pour des besoins spécifiques :

  1. Exécutez la recherche dans les journaux d’audit avec des filtres
  2. Cliquez sur « Exporter » > « Télécharger tous les résultats »
  3. Ouvrez le fichier CSV dans Excel

Conseil : utilisez Power Query Editor pour décomposer la colonne AuditData. Elle contient de nombreuses informations au format JSON.

Comment procéder :

  1. Faites un clic droit sur la colonne AuditData
  2. Sélectionnez « Transformer »
  3. Choisissez « JSON »

Cela décompose les données en colonnes distinctes pour faciliter l’analyse.

Exportation des données pour analyse

Pour les grandes organisations ou les rapports complexes, utilisez PowerShell :

$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2023 -EndDate 06/30/2023 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\TeamsAuditLog.csv -NoTypeInformation

Ce script recherche les événements de partage SharePoint en juin 2023 et exporte les informations clés dans un fichier CSV. Adaptez les dates, les types d’enregistrements et le chemin du fichier selon vos besoins.

« La fonctionnalité de transformation JSON de Power Query Editor change la donne pour l’analyse des journaux d’audit. Elle vous permet de trouver rapidement les données exactes dont vous avez besoin », déclare un administrateur Microsoft 365 d’une entreprise du Fortune 500.

Remarque : vous ne pouvez exporter que 50 000 entrées à la fois. Pour davantage, lancez plusieurs recherches sur des plages de dates plus étroites.

Conseils pour une surveillance efficace

Vérifications régulières et alertes

Mettez en place une routine hebdomadaire pour consulter vos journaux d’audit Microsoft Teams. Cela vous aide à repérer les comportements inhabituels ou les problèmes de sécurité.

Vous souhaitez des réponses plus rapides ? Configurez des alertes :

  1. Ouvrez le portail Microsoft Purview
  2. Cliquez sur « Alertes » dans le menu de gauche
  3. Sélectionnez « Nouvelle stratégie d’alerte »
  4. Choisissez les événements déclencheurs (par exemple « Added member to team »)
  5. Configurez des notifications par e-mail

« Les alertes constituent notre système d’avertissement précoce. Elles nous permettent de détecter les problèmes avant qu’ils ne s’aggravent », déclare Sarah Chen, directrice IT chez Acme Corp.

Connexion aux systèmes de sécurité

Vous gérez une grande organisation ? Reliez les journaux d’audit Teams à un système de gestion des informations et des événements de sécurité (SIEM).

Voici comment procéder :

  1. Activez l’API Office 365 Management
  2. Configurez votre SIEM pour récupérer les données depuis l’API
  3. Créez des tableaux de bord SIEM personnalisés pour les données Teams

Outils SIEM compatibles avec Teams :

« Connecter les journaux Teams à notre SIEM a réduit notre temps de réponse aux incidents de sécurité de 60 % », déclare Mike Johnson, RSSI chez TechGiant Inc.

L’essentiel ? Détecter les problèmes rapidement. Des vérifications régulières et des alertes intelligentes font la différence.

Résoudre les problèmes courants liés aux journaux d’audit

Vous ne trouvez pas ce que vous cherchez dans vos journaux d’audit Microsoft Teams ? Voici comment remédier à la situation.

Aucun résultat dans la recherche des journaux d’audit

Si vous vous retrouvez face à un écran vide, vérifiez ces trois points :

  1. Autorisations : avez-vous les bons rôles ? Vous avez besoin des rôles « Audit Logs » ou « View-Only Audit Logs » dans le portail Microsoft Purview.
  2. Termes de recherche : vérifiez les fautes de frappe. Une seule erreur peut tout fausser.
  3. Délai : un peu de patience. L’affichage des données peut prendre entre 60 et 90 minutes.

Problèmes avec l’audit des boîtes aux lettres ?

Essayez cette manipulation PowerShell :

  1. Ouvrez PowerShell
  2. Définissez AuditEnabled sur $false
  3. Attendez quelques instants
  4. Remettez-le à $true

C’est l’équivalent d’un redémarrage, mais pour l’audit.

Impossible d’accéder à la recherche dans les journaux d’audit ?

Vous obtenez un code d’erreur 500 ? Il s’agit probablement d’un problème d’autorisations. Vérifiez que vous disposez à la fois des rôles du Centre de sécurité et conformité ET des droits Exchange Online.

En dernier recours

Si vous avez tout essayé sans succès, il est temps de faire appel aux experts. Contactez le support Microsoft dans les cas suivants :

  • Vous avez vérifié plusieurs fois les autorisations et les paramètres
  • Vous avez attendu une journée complète que les données apparaissent
  • Vous êtes certain à 100 % que vos termes de recherche sont corrects

Pour obtenir de l’aide, rendez-vous dans le Centre d’administration Microsoft 365, cliquez sur « Support », puis sur « Nouvelle demande de service ». Décrivez votre problème en détail.

Conseil : « Joignez des captures d’écran et des messages d’erreur précis lorsque vous contactez le support. Cela nous facilite la tâche et vous permet d’obtenir des réponses plus rapidement. » – ingénieur du support Microsoft

Respecter les règles de conformité

Se conformer aux réglementations

Les journaux d’audit sont essentiels pour répondre aux exigences des réglementations telles que le GDPR et HIPAA. Ils montrent exactement ce qui se passe avec vos données.

Dans le secteur de la santé, HIPAA exige de savoir qui consulte les informations des patients. Les journaux d’audit Microsoft Teams peuvent vous indiquer :

  • Qui a consulté des fichiers sensibles
  • Quand des membres d’équipe ont rejoint ou quitté une équipe
  • Comment les autorisations de canal ont évolué

Pour maintenir la conformité :

  1. Consultez régulièrement les journaux
  2. Définissez des politiques d’audit claires
  3. Surveillez les événements spécifiquement liés à la conformité

Utiliser les journaux lors des audits

Les journaux d’audit prouvent que vous respectez les règles. Ils vous permettent de :

  • Démontrer aux régulateurs que vous maîtrisez la situation
  • Enquêter sur les éventuelles violations
  • Prouver que vous protégez les données sensibles

Voici comment réussir vos audits grâce aux journaux :

1. Soyez prêt

Préparez des rapports avant que les auditeurs ne les demandent.

2. Concentrez-vous sur l’essentiel

Mettez en avant les journaux relatifs aux données sensibles et aux modifications système.

3. Montrez une surveillance permanente

Prouvez que vous consultez les journaux en permanence, et pas seulement lors des audits.

4. Établissez des liens

Reliez les entrées du journal aux règles spécifiques que vous devez respecter.

5. Expliquez les anomalies

Soyez prêt à commenter tout comportement inhabituel détecté dans vos journaux.

« Les journaux d’audit sont vos meilleurs alliés pour rester en sécurité et respecter les règles. » – Microsoft Security Team

À noter : Microsoft conserve la plupart des données des journaux d’audit pendant 90 jours dans Cosmos et 180 jours dans Kusto. Planifiez en conséquence.

Aperçu rapide des propriétés clés des journaux d’audit :

PropriétéSignification
activity.categoryType d’entité concernée (User, Assignment, etc.)
activity.operationAction effectuée (Create, Update, Delete)
activity.resultStatusRésultat de l’opération (Successful ou Failed)
creationTimeDate et heure de l’événement (en UTC)
user.userIdAuteur de l’action

Conclusion

Les journaux d’audit sont essentiels pour la sécurité et la conformité dans Microsoft Teams. Ils indiquent qui a fait quoi, quand et où.

Pourquoi les journaux d’audit sont importants :

  • Détecter les potentielles failles de sécurité
  • Prouver la conformité aux réglementations telles que GDPR et HIPAA
  • Assurer la responsabilisation des utilisateurs

Points clés à retenir :

1. Consultez régulièrement les journaux

Effectuez des révisions hebdomadaires ou bihebdomadaires pour détecter les problèmes rapidement.

2. Utilisez les bons outils

Privilégiez le portail Microsoft Purview et PowerShell pour la consultation et l’analyse.

3. Concentrez-vous sur les données sensibles

Surveillez attentivement les journaux relatifs aux informations confidentielles pour prévenir les fuites.

4. Soyez toujours prêt pour un audit

Gardez vos journaux organisés et accessibles en cas d’audit surprise.

5. Formez votre équipe

Veillez à ce que chacun comprenne le fonctionnement et l’importance des journaux d’audit.

« Les journaux d’audit sont comme une caméra de sécurité pour votre espace de travail numérique. Ils n’enregistrent pas seulement ce qui s’est passé — ils vous aident à prévenir les problèmes avant qu’ils ne surviennent. » – Satya Nadella, PDG de Microsoft

FAQ

Comment consulter les journaux d’audit Teams ?

Pour accéder aux journaux d’audit Teams :

  1. Rendez-vous sur le portail Microsoft Purview
  2. Trouvez la section « Audit »
  3. Recherchez les activités Teams

À retenir : vous ne verrez les données d’audit que si l’audit est activé pour votre organisation.

Existe-t-il un journal d’audit dans Teams ?

Oui, mais il fait partie du système d’audit de Microsoft 365. Il suit :

  • La création/suppression d’équipes
  • Les modifications de canaux
  • Les actions sur les fichiers
  • Les activités de réunion

Vous ne pouvez pas y accéder directement dans Teams. Utilisez plutôt Microsoft Purview ou le portail de conformité.

Combien de temps faut-il pour que les activités apparaissent dans le journal d’audit ?

La plupart des activités Teams apparaissent en quelques heures. Certaines prennent cependant plus de temps :

ActivitéDélai d’affichage
Actions Teams standard1 à 4 heures
Cmdlets eDiscoveryJusqu’à 24 heures

Vous ne trouvez pas ce que vous cherchez ? Attendez une journée avant d’approfondir vos recherches ou de contacter Microsoft.

Postes connexes

Toutes les ressources