Audit d’événements d’administrateur dans Microsoft Entra Connect Sync (préversion publique)
En janvier 2025, nous avons publié une nouvelle version (2.4.129.0) de Microsoft Entra Connect Sync. Cette version contient une mise à jour de l’audit activée par défaut. Avec cette mise à jour, vous pouvez désormais surveiller les événements et les activités de l’administrateur. L’article suivant explique comment désactiver la fonctionnalité d’audit.
Comment désactiver manuellement l’audit des événements administratifs
Pour désactiver l’audit des événements d’administrateur, procédez comme suit :
- Ouvrez l’Éditeur du Registre - Appuyez sur Win + R pour ouvrir la boîte de dialogue d’exécution.
- Tapez regedit, puis appuyez sur Entrée pour lancer l’Éditeur du Registre. Confirmez les messages de sécurité pour continuer.
- Accédez au chemin suivant : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect.
- Modifiez ou créez la valeur AuditEventLogging en cliquant avec le bouton droit sur la clé Azure AD Connect, puis sélectionnez Nouveau ->DWORD (32 bits) si la valeur AuditEventLogging n’existe pas déjà.
- Nommez le nouveau DWORD en tant que AuditEventLogging.
- Double-cliquez sur l’entrée AuditEventLogging et entrez 0 pour désactiver la journalisation des événements d’audit. Entrez 1 pour le réactiver.
Comment utiliser PowerShell pour désactiver l’audit des événements d’administrateur
Vous pouvez également utiliser PowerShell pour désactiver la journalisation d’audit des événements d’administrateur. Utilisez le script suivant.
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue
Liste des événements consignés
Le tableau suivant est une liste d’événements enregistrés avec la nouvelle fonctionnalité d’audit. Pour afficher les événements, utilisez l’Observateur d’événements et regardez dans le journal des applications.
| EventID | Nom de l'Événement | Description |
|---|---|---|
| 2503 | Ajouter/mettre à jour/supprimer des répertoires | Fournit le nom du répertoire affecté |
| 2504 | Activer le mode Paramètres Express | Cet événement est journalisé lorsque « Express Setup » est sélectionné par l’administrateur |
| 2505 | Activer/désactiver les domaines et l’unité d’organisation pour la synchronisation | Affiche une liste de tous les domaines connectés à Connect Sync |
| 2506 | Activer/désactiver la synchronisation PHS | Affiche que la synchronisation de hachage de mot de passe est activée ou désactivée |
| 2507 | Activer/désactiver le démarrage de la synchronisation après l’installation | L’événement est enregistré lorsque la synchronisation est activée ou désactivée lorsque l’installation est terminée |
| 2508 | Créer un compte ADDS | Affiche le compte créé nécessaire pour se connecter au nouveau répertoire ajouté |
| 2509 | Utiliser un compte ADDS existant | Affiche le nom du compte utilisé pour se connecter au répertoire |
| 2510 | Créer/mettre à jour/supprimer une règle de synchronisation personnalisée | Affiche le nom de la règle de synchronisation qui a changé avec des informations sur ce qui a changé |
| 2511 | Activer/désactiver le filtrage basé sur un domaine | Affiche le filtrage de domaine sélectionné et répertorie les domaines sélectionnés |
| 2512 | Activer/désactiver le filtrage basé sur l’unité d’organisation | Affiche le filtrage basé sur l’unité d’organisation sélectionné et répertorie les unités d’organisation sélectionnées |
| 2513 | La méthode de connexion de l’utilisateur a été modifiée | Affiche l’ancienne méthode de connexion et la nouvelle |
| 2514 | Configurer une nouvelle batterie de serveurs ADFS | Affiche le nom du service de fédération |
| 2515 | Activer/désactiver l’authentification unique | Indique la modification de l’authentification unique |
| 2516 | Installer le serveur proxy d’application web | Affiche les serveurs ADFS sélectionnés et le nom d’utilisateur administrateur de domaine |
| 2517 | Définir des autorisations | Affiche l’autorisation AD Sync spécifique modifiée |
| 2518 | Modifier les informations d’identification du connecteur ADDS | Affiche les informations d’identification du connecteur ADDS modifiées |
| 2519 | Réinitialiser le mot de passe du compte du connecteur Entra ID | Indique que le mot de passe du compte de service AD Sync a été réinitialisé |
| 2520 | Installer le serveur ADFS | Affiche le serveur sélectionné |
| 2521 | Définir un compte de service ADFS | Spécifie s'il s'agit d'un utilisateur géré par un groupe ou d'un utilisateur de domaine. Inclut le nom d’utilisateur administrateur |