Microsoft Teams Audit Log Guide: Monitoring & Reporting
Maîtrisez rapidement les journaux d’audit Microsoft Teams grâce à ce guide :
- Ce que c’est : des enregistrements numériques de toutes les activités dans Teams
- Pourquoi c’est important : détecter les menaces, rester conforme, enquêter sur les incidents
- Caractéristiques principales :
- Suivre les modifications d’équipes/canaux, les actions des utilisateurs, les activités d’administration
- Conservation : 180 jours (standard), 1 an (licence E5)
- Doit être activé pour commencer la journalisation
Voici comment utiliser efficacement les journaux d’audit Teams :
- Activer la journalisation d’audit dans Microsoft Purview ou PowerShell
- Consulter les journaux via le portail Purview ou des commandes PowerShell
- Rechercher dans les journaux à l’aide de filtres, de mots-clés, de plages de dates
- Créer des rapports en exportant les données au format CSV
- Configurer des alertes pour les événements critiques
- Utiliser les journaux à des fins de conformité (GDPR, HIPAA) et de sécurité
| Tâche | Comment procéder |
|---|---|
| Activer la journalisation | Portail Purview ou commande PowerShell |
| Consulter les journaux | Rechercher dans Purview ou utiliser PowerShell |
| Créer des rapports | Exporter au format CSV, utiliser Excel pour l’analyse |
| Configurer des alertes | Paramétrer dans le portail Purview |
À retenir : les journaux ne capturent les données qu’après l’activation de l’audit. Commencez dès maintenant pour maximiser vos informations de sécurité.

Considérez les journaux d’audit Microsoft Teams comme une caméra de sécurité numérique pour votre environnement Teams. Ils enregistrent pratiquement tout ce qui s’y passe.
Que contiennent-ils ?
Les journaux d’audit enregistrent :
- Les modifications d’équipes et de canaux
- Les actions des utilisateurs (connexions, accès aux fichiers, etc.)
- Les activités d’administration
Par exemple, si quelqu’un crée une nouvelle équipe le 1er octobre, le journal indiquera qui l’a fait et à quel moment.
Quelle est la durée de conservation des journaux ?
Cela dépend de votre licence :
| Licence | Conservation |
|---|---|
| Standard | 180 jours |
| E5 | 1 an |
Microsoft a récemment porté la durée de conservation standard de 90 à 180 jours. Les utilisateurs E5 bénéficient d’une année complète pour certains services.
À retenir : les journaux ne démarrent qu’une fois l’audit activé. Si vous ne l’avez pas encore fait, faites-le maintenant !
Comment activer la journalisation d’audit
Vous souhaitez suivre les activités dans Microsoft Teams ? Vous devez d’abord activer la journalisation d’audit. Voici comment :
Prérequis
Pour activer la journalisation d’audit, vous devez disposer :
- Du rôle Administrateur général ou Journaux d’audit dans Exchange Online
- D’un accès au portail Microsoft Purview ou à Exchange Online PowerShell
Étapes de configuration
Vous pouvez activer la journalisation d’audit de deux manières :
1. Portail Microsoft Purview :
- Connectez-vous à Microsoft Purview
- Cliquez sur la vignette de la solution Audit
- Vous voyez une bannière pour démarrer l’enregistrement des activités ? Cliquez dessus
2. PowerShell :
-
Connectez-vous à Exchange Online PowerShell
-
Exécutez la commande suivante :
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Microsoft indique que les modifications peuvent prendre jusqu’à une heure pour être effectives.
Vérifier que cela fonctionne
Pour vérifier :
- Ouvrez Exchange Online PowerShell
- Exécutez :
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Si la valeur affichée est « True », vous êtes prêt.
| Méthode | Délai d’activation | Comment vérifier |
|---|---|---|
| Portail Purview | Jusqu’à 60 min | La bannière disparaît |
| PowerShell | Jusqu’à 60 min | La commande retourne « True » |
Comment consulter les journaux d’audit
Vous souhaitez garder un œil sur l’activité de votre Microsoft Teams ? Voici comment accéder aux journaux d’audit :
Via le portail Purview
- Connectez-vous au portail de conformité Microsoft Purview
- Recherchez la vignette de la solution Audit
- Utilisez l’outil de recherche pour trouver des activités spécifiques
Conseil : utilisez la liste de cases à cocher pour cibler précisément ce que vous recherchez.
| Trop de résultats ? | Que faire |
|---|---|
| Plus de 5 000 | Affinez votre recherche ou exportez tout |

Si vous êtes à l’aise avec le code, PowerShell est votre allié :
- Connectez-vous à Exchange Online PowerShell
- Exécutez cette commande :
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -RecordType MicrosoftTeams -ResultSize 5000
Cette commande récupère les journaux Teams de la dernière semaine, jusqu’à 5 000 résultats.
Remarque : vous aurez besoin du rôle « Audit Logs » ou « View-Only Audit Logs » pour accéder à ces journaux.
Quelques points à garder à l’esprit :
Trouver des informations dans les journaux d’audit
Voyons comment trouver ce dont vous avez besoin dans les journaux d’audit Microsoft Teams.
L’outil de recherche dans les journaux d’audit du portail Microsoft Purview est votre meilleur allié pour les investigations rapides. Voici comment l’utiliser :
1. Sélectionner les activités
Choisissez des actions spécifiques dans la liste de cases à cocher. Vous souhaitez connaître les nouveaux canaux ou les messages supprimés ? Cochez simplement les cases correspondantes.
2. Recherche par mot-clé
Vous avez un mot précis en tête ? Saisissez-le dans le champ de recherche pour trouver les activités associées.
3. Plage de dates
Délimitez votre période de recherche. Par défaut, elle est définie sur la dernière semaine, mais vous pouvez la modifier.
4. Filtrage par utilisateur
Vous souhaitez suivre l’activité d’une personne en particulier ? Filtrez par nom d’utilisateur.
Conseil : vous enquêtez sur l’utilisation de cmdlets ? Sélectionnez « Afficher les résultats pour toutes les activités » dans la liste Activités.
Conseils pour des recherches plus efficaces
Pour tirer le meilleur parti de vos recherches :
1. Commencez large, puis affinez
Démarrez avec une plage de dates étendue, puis réduisez-la en fonction de vos résultats.
2. Utilisez Excel
Exportez vos résultats et laissez les filtres et le tri d’Excel faire le travail à votre place.
3. Respectez la limite de 5 000 résultats
Vous avez atteint le maximum ? Découpez votre recherche en intervalles de temps plus courts.
4. Vérifications régulières
Planifiez des audits de routine. Restez au fait de l’activité Teams.
5. Combinez avec les alertes
Utilisez les journaux d’audit conjointement avec des stratégies d’alerte pour une surveillance proactive.
Référence rapide pour les recherches courantes :
| Scénario | Conseils de recherche |
|---|---|
| Suivi des fichiers | Filtrer sur « FileDownloaded », « FileAccessed », « FileModified » |
| Surveiller les équipes | Rechercher les événements « Added to team », « Removed from team » |
| Vérifier les autorisations | Rechercher « Added member to channel », « Updated role » |
À retenir : vous ne verrez que les données générées depuis l’activation de l’audit. Aucun résultat ? Vérifiez vos paramètres d’audit.
Vous avez besoin de récupérer régulièrement de grands volumes de journaux ? Pensez à l’API Office 365 Management Activity. Elle est plus rapide et plus évolutive que les recherches manuelles.
Utilisations courantes des journaux d’audit
Les journaux d’audit dans Microsoft Teams sont une mine d’informations pour les administrateurs IT et les professionnels de la sécurité. Voici comment les exploiter :
Suivre les modifications d’équipes et de canaux
Suivez la création, la suppression et les modifications de paramètres des équipes et des canaux. Cela contribue à maintenir la structure et la sécurité de votre organisation.
Vérifier les activités sur les fichiers
Surveillez les téléchargements, les tentatives d’accès et les modifications. C’est essentiel pour protéger les données sensibles et détecter les fuites potentielles.
Analyser les accès utilisateurs
Les comportements d’accès des utilisateurs peuvent révéler beaucoup de choses. Utilisez les journaux d’audit pour examiner :
- Les modifications d’autorisations
- Les ajouts et suppressions d’utilisateurs
- Les mises à jour de rôles
Aperçu rapide des scénarios courants :
| Scénario | Ce qu’il faut rechercher |
|---|---|
| Intégration de nouveaux collaborateurs | Événements « Added to team » |
| Départ d’un collaborateur | Événements « Removed from team » |
| Changements de rôle | Activités « Updated role » |
Aucun résultat ? Vérifiez que l’audit est bien activé. Vous ne verrez des données qu’à partir de ce moment.
« Les organisations peuvent utiliser Netwrix Auditor pour une surveillance complète et automatisée des accès aux données dans SharePoint et MS Teams », indique un expert en sécurité de Netwrix.
Pour la récupération de journaux à grande échelle, essayez l’API Office 365 Management Activity. Elle est plus efficace que les recherches manuelles pour les grandes organisations.
Créer des rapports à partir des journaux d’audit
Voici comment transformer les données des journaux d’audit en rapports utiles pour la sécurité de votre Microsoft Teams :
Rapports prédéfinis
Les rapports intégrés de Microsoft peuvent vous faire gagner du temps :
- Accédez au portail Microsoft Purview
- Cliquez sur « Recherche dans les journaux d’audit » dans le menu de gauche
- Utilisez la liste déroulante « Activités » pour sélectionner les options de suivi
Par exemple, pour voir les nouveaux membres d’une équipe :
- Sélectionnez « Added member to team »
- Définissez la plage de dates
- Cliquez sur « Rechercher »
Vous obtenez une liste d’événements triable et filtrable.
Rapports personnalisés
Pour des besoins spécifiques :
- Exécutez la recherche dans les journaux d’audit avec des filtres
- Cliquez sur « Exporter » > « Télécharger tous les résultats »
- Ouvrez le fichier CSV dans Excel
Conseil : utilisez Power Query Editor pour décomposer la colonne AuditData. Elle contient de nombreuses informations au format JSON.
Comment procéder :
- Faites un clic droit sur la colonne AuditData
- Sélectionnez « Transformer »
- Choisissez « JSON »
Cela décompose les données en colonnes distinctes pour faciliter l’analyse.
Exportation des données pour analyse
Pour les grandes organisations ou les rapports complexes, utilisez PowerShell :
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2023 -EndDate 06/30/2023 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\TeamsAuditLog.csv -NoTypeInformation
Ce script recherche les événements de partage SharePoint en juin 2023 et exporte les informations clés dans un fichier CSV. Adaptez les dates, les types d’enregistrements et le chemin du fichier selon vos besoins.
« La fonctionnalité de transformation JSON de Power Query Editor change la donne pour l’analyse des journaux d’audit. Elle vous permet de trouver rapidement les données exactes dont vous avez besoin », déclare un administrateur Microsoft 365 d’une entreprise du Fortune 500.
Remarque : vous ne pouvez exporter que 50 000 entrées à la fois. Pour davantage, lancez plusieurs recherches sur des plages de dates plus étroites.
Conseils pour une surveillance efficace
Vérifications régulières et alertes
Mettez en place une routine hebdomadaire pour consulter vos journaux d’audit Microsoft Teams. Cela vous aide à repérer les comportements inhabituels ou les problèmes de sécurité.
Vous souhaitez des réponses plus rapides ? Configurez des alertes :
- Ouvrez le portail Microsoft Purview
- Cliquez sur « Alertes » dans le menu de gauche
- Sélectionnez « Nouvelle stratégie d’alerte »
- Choisissez les événements déclencheurs (par exemple « Added member to team »)
- Configurez des notifications par e-mail
« Les alertes constituent notre système d’avertissement précoce. Elles nous permettent de détecter les problèmes avant qu’ils ne s’aggravent », déclare Sarah Chen, directrice IT chez Acme Corp.
Connexion aux systèmes de sécurité
Vous gérez une grande organisation ? Reliez les journaux d’audit Teams à un système de gestion des informations et des événements de sécurité (SIEM).
Voici comment procéder :
- Activez l’API Office 365 Management
- Configurez votre SIEM pour récupérer les données depuis l’API
- Créez des tableaux de bord SIEM personnalisés pour les données Teams
Outils SIEM compatibles avec Teams :
« Connecter les journaux Teams à notre SIEM a réduit notre temps de réponse aux incidents de sécurité de 60 % », déclare Mike Johnson, RSSI chez TechGiant Inc.
L’essentiel ? Détecter les problèmes rapidement. Des vérifications régulières et des alertes intelligentes font la différence.
Résoudre les problèmes courants liés aux journaux d’audit
Vous ne trouvez pas ce que vous cherchez dans vos journaux d’audit Microsoft Teams ? Voici comment remédier à la situation.
Aucun résultat dans la recherche des journaux d’audit
Si vous vous retrouvez face à un écran vide, vérifiez ces trois points :
- Autorisations : avez-vous les bons rôles ? Vous avez besoin des rôles « Audit Logs » ou « View-Only Audit Logs » dans le portail Microsoft Purview.
- Termes de recherche : vérifiez les fautes de frappe. Une seule erreur peut tout fausser.
- Délai : un peu de patience. L’affichage des données peut prendre entre 60 et 90 minutes.
Problèmes avec l’audit des boîtes aux lettres ?
Essayez cette manipulation PowerShell :
- Ouvrez PowerShell
- Définissez
AuditEnabledsur$false - Attendez quelques instants
- Remettez-le à
$true
C’est l’équivalent d’un redémarrage, mais pour l’audit.
Impossible d’accéder à la recherche dans les journaux d’audit ?
Vous obtenez un code d’erreur 500 ? Il s’agit probablement d’un problème d’autorisations. Vérifiez que vous disposez à la fois des rôles du Centre de sécurité et conformité ET des droits Exchange Online.
En dernier recours
Si vous avez tout essayé sans succès, il est temps de faire appel aux experts. Contactez le support Microsoft dans les cas suivants :
- Vous avez vérifié plusieurs fois les autorisations et les paramètres
- Vous avez attendu une journée complète que les données apparaissent
- Vous êtes certain à 100 % que vos termes de recherche sont corrects
Pour obtenir de l’aide, rendez-vous dans le Centre d’administration Microsoft 365, cliquez sur « Support », puis sur « Nouvelle demande de service ». Décrivez votre problème en détail.
Conseil : « Joignez des captures d’écran et des messages d’erreur précis lorsque vous contactez le support. Cela nous facilite la tâche et vous permet d’obtenir des réponses plus rapidement. » – ingénieur du support Microsoft
Respecter les règles de conformité
Se conformer aux réglementations
Les journaux d’audit sont essentiels pour répondre aux exigences des réglementations telles que le GDPR et HIPAA. Ils montrent exactement ce qui se passe avec vos données.
Dans le secteur de la santé, HIPAA exige de savoir qui consulte les informations des patients. Les journaux d’audit Microsoft Teams peuvent vous indiquer :
- Qui a consulté des fichiers sensibles
- Quand des membres d’équipe ont rejoint ou quitté une équipe
- Comment les autorisations de canal ont évolué
Pour maintenir la conformité :
- Consultez régulièrement les journaux
- Définissez des politiques d’audit claires
- Surveillez les événements spécifiquement liés à la conformité
Utiliser les journaux lors des audits
Les journaux d’audit prouvent que vous respectez les règles. Ils vous permettent de :
- Démontrer aux régulateurs que vous maîtrisez la situation
- Enquêter sur les éventuelles violations
- Prouver que vous protégez les données sensibles
Voici comment réussir vos audits grâce aux journaux :
1. Soyez prêt
Préparez des rapports avant que les auditeurs ne les demandent.
2. Concentrez-vous sur l’essentiel
Mettez en avant les journaux relatifs aux données sensibles et aux modifications système.
3. Montrez une surveillance permanente
Prouvez que vous consultez les journaux en permanence, et pas seulement lors des audits.
4. Établissez des liens
Reliez les entrées du journal aux règles spécifiques que vous devez respecter.
5. Expliquez les anomalies
Soyez prêt à commenter tout comportement inhabituel détecté dans vos journaux.
« Les journaux d’audit sont vos meilleurs alliés pour rester en sécurité et respecter les règles. » – Microsoft Security Team
À noter : Microsoft conserve la plupart des données des journaux d’audit pendant 90 jours dans Cosmos et 180 jours dans Kusto. Planifiez en conséquence.
Aperçu rapide des propriétés clés des journaux d’audit :
| Propriété | Signification |
|---|---|
| activity.category | Type d’entité concernée (User, Assignment, etc.) |
| activity.operation | Action effectuée (Create, Update, Delete) |
| activity.resultStatus | Résultat de l’opération (Successful ou Failed) |
| creationTime | Date et heure de l’événement (en UTC) |
| user.userId | Auteur de l’action |
Conclusion
Les journaux d’audit sont essentiels pour la sécurité et la conformité dans Microsoft Teams. Ils indiquent qui a fait quoi, quand et où.
Pourquoi les journaux d’audit sont importants :
- Détecter les potentielles failles de sécurité
- Prouver la conformité aux réglementations telles que GDPR et HIPAA
- Assurer la responsabilisation des utilisateurs
Points clés à retenir :
1. Consultez régulièrement les journaux
Effectuez des révisions hebdomadaires ou bihebdomadaires pour détecter les problèmes rapidement.
2. Utilisez les bons outils
Privilégiez le portail Microsoft Purview et PowerShell pour la consultation et l’analyse.
3. Concentrez-vous sur les données sensibles
Surveillez attentivement les journaux relatifs aux informations confidentielles pour prévenir les fuites.
4. Soyez toujours prêt pour un audit
Gardez vos journaux organisés et accessibles en cas d’audit surprise.
5. Formez votre équipe
Veillez à ce que chacun comprenne le fonctionnement et l’importance des journaux d’audit.
« Les journaux d’audit sont comme une caméra de sécurité pour votre espace de travail numérique. Ils n’enregistrent pas seulement ce qui s’est passé — ils vous aident à prévenir les problèmes avant qu’ils ne surviennent. » – Satya Nadella, PDG de Microsoft
FAQ
Comment consulter les journaux d’audit Teams ?
Pour accéder aux journaux d’audit Teams :
- Rendez-vous sur le portail Microsoft Purview
- Trouvez la section « Audit »
- Recherchez les activités Teams
À retenir : vous ne verrez les données d’audit que si l’audit est activé pour votre organisation.
Existe-t-il un journal d’audit dans Teams ?
Oui, mais il fait partie du système d’audit de Microsoft 365. Il suit :
- La création/suppression d’équipes
- Les modifications de canaux
- Les actions sur les fichiers
- Les activités de réunion
Vous ne pouvez pas y accéder directement dans Teams. Utilisez plutôt Microsoft Purview ou le portail de conformité.
Combien de temps faut-il pour que les activités apparaissent dans le journal d’audit ?
La plupart des activités Teams apparaissent en quelques heures. Certaines prennent cependant plus de temps :
| Activité | Délai d’affichage |
|---|---|
| Actions Teams standard | 1 à 4 heures |
| Cmdlets eDiscovery | Jusqu’à 24 heures |
Vous ne trouvez pas ce que vous cherchez ? Attendez une journée avant d’approfondir vos recherches ou de contacter Microsoft.