Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Le Centre d’administration Microsoft Teams remplace progressivement le centre d’administration Skype Entreprise, et nous y migreons les paramètres Teams à partir de la Centre d’administration Microsoft 365. Si un paramètre a été migré, une notification s’affiche, puis vous êtes dirigé vers l’emplacement du paramètre dans le Centre d’administration Teams. Pour plus d’informations, consultez Gérer Teams pendant la transition vers le Centre d’administration Teams.
Le journal d’audit vous permet d’examiner des activités spécifiques dans les services Microsoft. Pour Microsoft Teams, le journal d’audit effectue le suivi des activités telles que :
- Création d'une équipe
- Suppression d'une équipe
- Canal ajouté
- Canal supprimé
- Paramètre de canal modifié
Pour obtenir la liste complète des activités Teams auditées, consultez Activités Teams dans le journal d’audit.
Remarque
Les événements d’audit des canaux privés sont également enregistrés tels qu’ils sont pour les équipes et les canaux standard.
Activer l’audit dans Teams
Avant de pouvoir afficher les données d’audit, vous devez activer l’audit dans le portail Microsoft Purview. Pour plus d’informations, consultez Activer ou désactiver l’audit.
Importante
Les données d’audit sont disponibles uniquement à partir du point où vous activez l’audit.
Récupérer des données Teams à partir du journal d’audit
Pour récupérer les journaux d’audit des activités Teams, utilisez le portail Microsoft Purview. Pour obtenir des instructions pas à pas, consultez Rechercher dans le journal d’audit.
Importante
Les données d’audit ne sont visibles dans le journal d’audit que si l’audit est activé.
La durée pendant laquelle un enregistrement d’audit est conservé et peut faire l’objet d’une recherche dans le journal d’audit dépend de votre abonnement Microsoft 365 ou Office 365, et plus particulièrement du type de licence affecté aux utilisateurs. Pour plus d’informations, consultez la description du service Security & Compliance Center.
Conseils pour effectuer une recherche dans le journal d’audit
Voici des conseils pour rechercher des activités Teams dans le journal d’audit.
Sélectionnez des activités spécifiques à rechercher en cliquant sur la case à cocher en regard d’une ou plusieurs activités. Pour annuler la sélection, sélectionnez l’activité. Utilisez la zone de recherche pour afficher les activités qui contiennent les mot clé que vous tapez.
Sélectionnez Afficher les résultats de toutes les activités dans la liste Activités pour afficher les événements des activités exécutées à l’aide d’applets de commande. Si vous connaissez le nom de l’opération pour ces activités, tapez-le dans la zone de recherche pour afficher l’activité, puis sélectionnez-la.
Sélectionnez Effacer tout pour effacer les critères de recherche actuels. La plage de dates reprend la valeur par défaut des sept derniers jours.
Si 5 000 résultats sont détectés, vous pouvez partir du principe que plus de 5 000 événements correspondent aux critères de recherche. Affinez les critères de recherche et réexécutez la recherche pour renvoyer moins de résultats, ou exportez tous les résultats de la recherche en sélectionnant Exporter>Télécharger tous les résultats. Pour obtenir des instructions pas à pas sur l’exportation des journaux d’audit, consultez Rechercher dans le journal d’audit.
Pour utiliser la recherche dans les journaux audio, consultez cette vidéo. Rejoignez Ansuman Acharya, responsable de programme pour Teams, car il montre comment effectuer une recherche dans les journaux d’audit pour Teams.
En savoir plus
Pour obtenir la liste de tous les événements enregistrés pour les activités des utilisateurs et des administrateurs dans Teams dans le journal d’audit Microsoft 365, consultez :
- Activités Teams dans le journal d’audit
- Déplace l’application dans les activités Teams dans le journal d’audit
- Mises à jour’application dans les activités Teams dans le journal d’audit
API Activité de gestion Office 365
Vous pouvez utiliser l’API d’activité de gestion Office 365 pour obtenir des informations sur les événements Teams. Pour plus d’informations sur le schéma de l’API Activité de gestion pour Teams, consultez Schéma Teams.
Attribution dans les journaux d’audit Teams
Lorsque vous modifiez l’appartenance à Teams (par exemple, en ajoutant ou en supprimant des utilisateurs) via Microsoft Entra ID, le portail d’administration Microsoft 365 ou Groupes Microsoft 365 API Graph, les messages d’audit Teams et le canal Général affichent un propriétaire existant de l’équipe en tant qu’initiateur, et non l’initiateur réel de l’action. Dans ces scénarios, case activée Microsoft Entra ID ou les journaux d’audit du groupe Microsoft 365 pour afficher les informations pertinentes.
Utiliser Defender for Cloud Apps pour définir des stratégies d’activité
À l’aide de Microsoft Defender for Cloud Apps’intégration, vous pouvez définir des stratégies d’activité pour appliquer un large éventail de processus automatisés à l’aide des API du fournisseur d’applications. Avec ces stratégies, vous pouvez surveiller des activités spécifiques effectuées par différents utilisateurs ou suivre des taux élevés inattendus d’un certain type d’activité.
Une fois que vous avez défini une stratégie de détection d’activité, elle commence à générer des alertes. Les alertes se produisent uniquement pour les activités qui se produisent après la création de la stratégie. Voici quelques exemples de scénarios permettant d’utiliser des stratégies d’activité dans Defender for Cloud Apps pour surveiller les activités Teams.
Scénario d’utilisateur externe
D’un point de vue métier, vous souhaiterez peut-être garder un œil sur l’ajout d’utilisateurs externes à votre environnement Teams. Si vous activez des utilisateurs externes, la surveillance de leur présence est une bonne idée. Vous pouvez utiliser Defender for Cloud Apps pour identifier les menaces potentielles.
La capture d’écran de cette stratégie pour surveiller l’ajout d’utilisateurs externes vous montre comment nommer la stratégie, définir la gravité en fonction des besoins de votre entreprise, la définir comme (dans ce cas) une seule activité, puis établir les paramètres qui surveillent spécifiquement l’ajout d’utilisateurs non internaux et limitent cette activité à Teams.
Vous pouvez afficher les résultats de cette stratégie dans le journal d’activité :
Ici, vous pouvez passer en revue les correspondances à la stratégie que vous définissez, effectuer les ajustements nécessaires ou exporter les résultats pour les utiliser ailleurs.
Scénario de suppression en masse
Comme mentionné précédemment, vous pouvez surveiller les scénarios de suppression. Vous pouvez créer une stratégie qui surveille la suppression en masse des sites Teams. Dans cet exemple, vous configurez une stratégie basée sur les alertes pour détecter la suppression massive des équipes dans les 30 minutes.
Comme le montre la capture d’écran, vous pouvez définir de nombreux paramètres différents pour cette stratégie afin de surveiller les suppressions de Teams, notamment la gravité, l’action unique ou répétée, et les paramètres limitant ce paramètre à La suppression de sites et teams. Vous pouvez définir ces paramètres indépendamment d’un modèle, ou vous pouvez utiliser un modèle, en fonction des besoins de votre organisation.
Après avoir créé une stratégie qui fonctionne pour votre entreprise, vous pouvez examiner les résultats dans le journal d’activité à mesure que des événements sont déclenchés :
Vous pouvez filtrer jusqu’à la stratégie que vous définissez pour afficher les résultats. Si les résultats que vous obtenez dans le journal d’activité ne sont pas satisfaisants (peut-être que vous voyez beaucoup de résultats, ou rien du tout), vous pouvez affiner la requête pour la rendre plus pertinente pour ce dont vous avez besoin.
Scénario d’alerte et de gouvernance
Vous pouvez définir des alertes et envoyer des e-mails aux administrateurs et autres utilisateurs lorsqu’une stratégie d’activité est déclenchée. Vous pouvez définir des actions de gouvernance automatisées telles que la suspension d’un utilisateur ou l’obligation de se reconnecter. Cet exemple montre comment un compte d’utilisateur peut être suspendu lorsqu’une stratégie d’activité est déclenchée et détermine qu’un utilisateur a supprimé deux équipes ou plus en 30 minutes.
Utiliser Defender for Cloud Apps pour définir des stratégies de détection d’anomalie
Les stratégies de détection des anomalies dans Defender for Cloud Apps fournissent l’analytique comportementale des utilisateurs et des entités prêtes à l’emploi (UEBA) et le Machine Learning (ML) afin que vous puissiez exécuter immédiatement la détection avancée des menaces dans votre environnement cloud. Comme elles sont automatiquement activées, les nouvelles stratégies de détection d’anomalies fournissent des résultats immédiats en fournissant des détections immédiates, ciblant de nombreuses anomalies comportementales sur vos utilisateurs et les machines et appareils connectés à votre réseau. En outre, les nouvelles stratégies exposent davantage de données à partir du moteur de détection Defender for Cloud Apps, pour vous aider à accélérer le processus d’investigation et à contenir les menaces en cours.
Nous travaillons à l’intégration des événements Teams dans les stratégies de détection d’anomalies. Pour l’instant, vous pouvez configurer des stratégies de détection des anomalies pour d’autres produits Office et prendre des mesures sur les utilisateurs qui correspondent à ces stratégies.