Microsoft a publié une fonctionnalité intéressante (en Preview) permettant d’envoyer les fichiers de journalisation de Microsoft Intune dans un compte de stockage Azure, Azure Event Hubs ou Azure Log Analytics. Il est possible d’envoyer :
- Les journaux d’audit sur les actions réalisées dans Microsoft Intune
- Les journaux opérationnels qui affichent des détails sur les périphériques et les utilisateurs qui ont réussi ou échoué à s’enregistrer.
Chacune des trois solutions offrent des possibilités dédiées :
- Archivez les logs Intune sur un compte de stockage Azure pour conserver les données.
- Diffusez les logs Intune vers Azure Event Hubs pour l'analyse à l'aide d'outils SIEM (Security Information and Event Management), comme Splunk et QRadar.
- Envoyez les journaux Intune à Log Analytics pour permettre des visualisations, une surveillance et des alertes riches sur les données connectées.
Pour utiliser cette fonctionnalité, vous devez avoir les éléments suivants :
- Un abonnement Azure qui sera utilisé pour le compte de stockage, Azure Event Logs ou Log Analytics
- Un tenant Microsoft Intune
- Un utilisateur qui est Global Administrator ou Intune Service Administrator pour configurer le tenant.
Pour configurer la fonctionnalité, naviguez dans le portail Azure et dans Intune puis sélectionnez Diagnostics Settings. Choisissez Turn on Diagnostics.
Vous devez ensuite sélectionner un nom de paramétrage d’audit et l’option adéquate parmi :
- Archive to storage account
- Stream to an Event Hub
- Send to Log Analytics.
Choisissez ensuite le type de logs à envoyer et la durée de rétention associée parmi :
- AuditLogs
- OperationalLogs
Sauvegardez pour que les paramétrages de diagnostic prennent effet.