Cet événement vous avertit de la suppression d’un compte par le biais du Centre d'administration Azure Active Directory.
Sécurité : les bidouilleurs (hackers) ont souvent recours à la suppression de comptes lorsqu’ils ont accès à une organisation.
Contrôle interne : la suppression d’un compte survient souvent par erreur.
L’événement d’Office Protect vous donne le nom de l’utilisateur qui a supprimé le compte au cas où une vérification approfondie serait nécessaire.
Remédiation
Si un compte est supprimé par erreur, la récupération de ce dernier est possible jusqu’à 30 jours suivant la suppression dans le Centre d’administration Azure Active Directory. Pour ce faire, accédez au Centre d’administration Azure Active Directory, sélectionnez Utilisateurs, puis Utilisateurs supprimés.
Si vous pensez que l'événement est suspect, nous vous recommandons de vérifier l'activité entourant l'utilisateur Admin qui a effectué l'action, comme les ouvertures de session des utilisateurs ou les actions effectuées par cet utilisateur listées dans les journaux d'audit.
Vous pouvez trouver les journaux d'audit d'ouverture de session dans le portail Azure AD, les autres audits sont enregistrés dans le Journal d'audit unifié, dans le Centre de sécurité. Vous aurez besoin d'un administrateur général pour accéder à ces informations.
Documentation Microsoft sur la façon de restaurer un utilisateur supprimé :