Comment tirer le meilleur parti des journaux d’utilisation de Microsoft 365

author
Date de publication: 12/06/2021
feature image

« Retournez à votre point de départ, ou aussi loin que possible, examinez tout cela, reprenez votre chemin et dites la vérité à ce sujet. Chantez, criez, témoignez ou gardez-le pour vous, mais sachez d’où vous venez. » -James Baldwin


En savoir plus : 


Chaque fois qu’une action est effectuée dans Microsoft 365, cette action est enregistrée. Ce qui est précisément enregistré dépend du type d’action et de l’objet sur lequel elle est effectuée. Cependant, chaque action aura quelques propriétés en commun telles que la date et l’heure de l’action, le type d’action, l’utilisateur qui l’exécute et l’objet qui a été affecté. 

Des informations supplémentaires sont également enregistrées en fonction du type d’action. Par exemple, une action effectuée sur un fichier SharePoint contiendra également des informations sur le site SharePoint, le nom du fichier, etc. 

Cela peut rapidement représenter une quantité importante de données à parcourir. Non seulement ce pool de données est assez large, puisqu’il couvre toutes les charges de travail Microsoft 365 et quelques autres, mais il peut également être profond. Il est clair que parcourir cette quantité de données n’est pas à la portée de tous, et c’est pourquoi Microsoft a prévu plusieurs mécanismes pour y accéder. 

Voici comment les données des journaux d’utilisation sont présentées dans Microsoft 365. Il convient de noter que les termes « audit », « utilisation » et « activité » seront utilisés de manière interchangeable ci-dessous, car ils sont tous utilisés par Microsoft pour désigner la même chose, les journaux d’utilisation. 

Dans le contexte 

Si vous avez déjà consulté le volet des détails d’un document dans Microsoft 365, vous avez peut-être remarqué la section Activité. 

Il s’agit d’une vue des données des journaux d’utilisation, limitée au document sélectionné. Par défaut, toutes les activités relatives au document sélectionné au cours des 90 derniers jours sont visibles. 

Les rapports en contexte peuvent également prendre différentes formes. En sélectionnant le bouton Analyse sur une page SharePoint, un panneau s’ouvre et affiche un rapport détaillant l’activité de consultation de la page en question. 

Ce rapport affiche des vues de trois mesures (nombre de pages consultées, visiteurs de pages, temps passé par visiteur) en fonction de deux dimensions (date et heure) agrégées en trois groupes de dates (les 7, 30 et 90 derniers jours).

Les rapports en contexte ont une portée très spécifique. Dans les exemples ci-dessus, il s’agit d’un document ou d’une page spécifique. Ils sont également limités à des mesures spécifiques prédéfinies. Ces rapports s’appuient tous sur les données contenues dans les journaux d’audit, mais il n’est pas possible de les analyser en profondeur ou d’effectuer une exploration sur plusieurs entités. Pour voir ces informations, il est nécessaire de chercher ailleurs.

Portail d’administration 

Le portail Microsoft 365 Admin contient une section de rapport qui comporte des sous-sections pour le Score de productivité et l’Utilisation. 

Le Score de productivité affiche des mesures qui sont agrégées au travers de votre tenant. Les valeurs moyennes d’organisations « similaires à la vôtre » sont incluses dans ces visuels à des fins de comparaison. Ces mesures sont affichées dans le temps pour les six derniers mois et sont mises à jour une fois par semaine. 

La section Utilisation contient une grande variété de mesures provenant des différentes charges de travail disponibles dans Microsoft 365. Vous y trouverez des données Exchange, SharePoint, OneDrive, Teams et Yammer, ainsi que des mesures non liées à l’espace de travail, comme les utilisateurs actifs et l’utilisation du navigateur. La plupart de ces visuels vous permettent d’accéder à des informations plus détaillées. Par exemple, la page des détails de Microsoft Teams peut être présentée ci-dessous : 

Un utilisateur peut sélectionner l’une des quatre périodes possibles : 7 jours, 30 jours, 90 jours et 180 jours. Sur cette page de rapport, vous pouvez voir que la période de 30 jours a été sélectionnée et que toutes les données affichées reflètent cette sélection. La section des détails montre le total de la période sélectionnée en agrégat, qui dans ce cas est le nombre total de messages de canal, de messages de conversation, d’appels à deux et de réunions pour chaque utilisateur. 

Il est possible d’exporter manuellement les données relatives à l’un de ces visuels en sélectionnant le bouton d’exportation dans le visuel souhaité. Cette opération permet de télécharger un fichier CSV contenant les données agrégées pour la période sélectionnée. Aucun autre détail n’est disponible. 

Dans le portail d’administration, les données sont mises à jour quotidiennement, tous les deux jours ou hebdomadairement en fonction de la charge de travail. 

Application d’analyse de l’utilisation de Microsoft 365 

Si votre organisation utilise Power BI, l’application d’analyse de l’utilisation de Microsoft 365 peut être une alternative aux rapports disponibles via le portail. Il s’agit d’une application de modèle Power BI et, à ce titre, elle nécessite une licence Power, soit Pro pour les utilisateurs, soit Premium pour l’organisation. 

Avec cette application, les données d’utilisation pré-agrégées (la même source que le portail d’administration) sont introduites dans un ensemble de données Power BI, et les utilisateurs peuvent accéder aux données via un rapport Power BI composé de plusieurs tableaux. Les données sont ici basées sur la charge de travail, comme dans le portail d’administration, et sont pré-agrégées au niveau mensuel. 

microsoft 365 compliance center
Application d’analyse de l’utilisation de Microsoft 365

Le niveau de granularité le plus bas disponible dans l’application d’analyse de l’utilisation est mensuelle. Elle fournit les mêmes dimensions et mesures que l’application d’administration. 

API de création de rapports Microsoft Graph 

Les mêmes données pré-agrégées qui sont disponibles dans le portail d’administration et dans l’application d’analyse de l’utilisation sont également disponibles par programmation via l’API de création de rapports Microsoft Graph. Grâce à cette API, il est possible d’obtenir des données jusqu’à un niveau de granularité journalier, à condition que les dates se situent dans les 30 derniers jours. Les autres niveaux de granularité sont les mêmes que dans le portail d’administration : 7, 30, 90 et 180 jours. Les données au-delà de 180 jours ne sont pas disponibles. 

Centre de conformité Microsoft 365 

Toutes les méthodes précédentes pour travailler avec les données d’utilisation traitent des données qui ont été pré-agrégées pour des périodes, des dimensions et des mesures spécifiques. Cependant, dans certains cas, il peut être nécessaire d’accéder aux données brutes pour répondre à des questions qui n’ont pas été anticipées par les rapports intégrés ou pour une analyse détaillée. Le Centre de conformité fournit ce niveau de détail en donnant un accès direct aux données du journal d’audit. 

L’enregistrement d’audit est activé par défaut, mais il peut être désactivé. Pour vérifier l’état d’enregistrement pour un tenant, suivez les instructions dans l’article Activer ou désactiver l’audit – Conformité Microsoft 365. 

Dans le portail d’administration Microsoft 365, la sélection de « Conformité » ouvrira le Centre de conformité, et les journaux d’audit sont accessibles en sélectionnant « Audit » dans la section Solutions. Cela ouvre une fenêtre de requête, vous permettant de rechercher le journal d’audit. 

Les paramètres de recherche comprennent la date et l’heure de début et de fin, les activités à inclure, les utilisateurs qui ont effectué l’action et l’URL des objets sur lesquels la requête doit porter. L’exemple suivant recherche les activités d’une journée de type de copie, d’accès et de téléchargement. L’ensemble du tenant est inclus dans la portée de recherche. 

En sélectionnant le bouton Rechercher, vous obtiendrez tous les enregistrements d’audit qui répondent aux paramètres de la requête. 

Des informations détaillées sur chaque enregistrement peuvent être consultées en cliquant sur l’élément. La quantité de données dans la fenêtre détaillée varie en fonction du type d’activité. En sélectionnant le bouton Exporter, vous pourrez télécharger un fichier CSV contenant les résultats détaillés. Pour plus de détails sur la recherche dans le journal d’audit avec le Centre de conformité, cliquez ici. 

Par défaut, les données peuvent être récupérées pour les 90 derniers jours. Avec la licence appropriée, elles peuvent être conservées pendant 10 ans pour certains types d’activités. Pour des informations détaillées sur la configuration des stratégies de rétention, voir l’article Gérer les stratégies de rétention du journal d’audit – Conformité Microsoft 365. 

Utiliser PowerShell pour télécharger les données des journaux d’audit 

Construire une requête via le Centre de conformité est utile pour les requêtes ad hoc, mais si l’automatisation est nécessaire, PowerShell peut être utilisé pour interroger les journaux d’audit en utilisant l’applet de commande Search-UnifiedAuditLog dans le module ExchangePowerShell (voir l’article Search-UnifiedAuditLog (ExchangePowerShell) ). 

PowerShell est soumis à la même rétention que le Centre de conformité. Par défaut, 90 jours de données sont disponibles. 

API de gestion d’Office 365 

Enfin, pour un contrôle total, les journaux d’audit peuvent être interrogés via les API de gestion d’Office 365 (elles n’ont pas encore été renommées en Microsoft 365 pour une raison quelconque). 

L’utilisation des API de gestion d’Office 365 vous permet d’interroger de manière programmatique tous les types pour tous les enregistrements sans limitation et de les inclure dans une application personnalisée. 

Tous les types d’enregistrements qui peuvent être trouvés dans le Centre de conformité sont disponibles pour les API. Il convient de noter que, malgré le nom « Office 365 », les enregistrements d’activité sont disponibles pour des produits qui sont techniquement en dehors d’Office 365, y compris les activités Power Platform et Active Directory. 

Les données disponibles pour les API présentent une différence importante avec celles disponibles dans le Centre de conformité et PowerShell. Lors de l’interrogation du journal d’audit par le biais des API, les données ne seront disponibles que pour les 6 derniers jours, quelles que soient les stratégies de rétention de l’organisation. 

Conclusion 

Il existe une myriade d’options pour accéder aux données d’audit Microsoft 365. Ces options vont de simples informations en contexte à des solutions complexes applicables aux développeurs. En fin de compte, si vous savez comment tirer le meilleur parti des outils à votre disposition, vous devrez être en mesure de trouver les informations dont vous avez besoin. Et si les solutions prédéfinies présentent des lacunes, il existe des produits tiers, tels que tyGraph, qui peuvent vous aider à exploiter la puissance des données contenues dans vos journaux d’utilisation ! 

Produits AvePoint 

Vous avez besoin de stratégies pertinentes et réfléchies ainsi que d’un moyen de savoir quelles tâches avaient été effectuées par qui dans quel espace de collaboration ? AvePoint Cloud Governance vous permet d’appliquer automatiquement les stratégies de gouvernance au sein de votre organisation.


Abonnez-vous à notre blog pour tout savoir sur Microsoft 365 ! 

Share this blog

Abonnez-vous à notre blog