Diagnostics de connexion pour les scénarios Microsoft Entra

  • Article

Vous pouvez utiliser le diagnostic de connexion pour Microsoft Entra ID pour analyser ce qui s’est produit lors d’une tentative de connexion et obtenir des suggestions afin de résoudre les problèmes sans avoir à contacter le support Microsoft.

Cet article vous donne une vue d’ensemble des types de scénarios que vous pouvez identifier et résoudre lors de l’utilisation de cet outil.

Guide pratique pour accéder aux diagnostics de connexion

Il existe trois façons d’accéder à l’outil Diagnostics de connexion : à partir de la zone Diagnostiquer et résoudre les problèmes, les journaux de connexion Microsoft Entra et lors de la création d’une demande de support. Pour plus d’informations, consultez Guide pratique d’utilisation des diagnostics de l’espace de travail.

Accès conditionnel

Les stratégies d’accès conditionnel permettent d’appliquer les contrôles d’accès appropriés pour garantir la sécurité de votre organisation. Étant donné que les stratégies d’accès conditionnel peuvent être utilisées pour accorder ou bloquer l’accès aux ressources, elles apparaissent souvent dans le diagnostic de connexion.

Authentification multifacteur

Il existe plusieurs événements liés à MFA que vous pouvez résoudre à l’aide de l’outil de diagnostic de connexion.

Authentification multifacteur à partir d’autres conditions exigées

Si les résultats du diagnostic de connexion ont montré l’authentification multifacteur pour une exigence autre que l’accès conditionnel, l’authentification multifacteur peut être activée par l’utilisateur. Nous vous recommandons de convertir l’authentification multifacteur par utilisateur en accès conditionnel. Le diagnostic de connexion fournit des détails sur la source de l’interruption MFA et le résultat de l’interaction.

« Preuve » de MFA

Un autre scénario courant se produit lorsque l’authentification multifacteur interrompt les tentatives de connexion. Lorsque vous exécutez le diagnostic de connexion, des informations sur la « preuve » sont fournies dans les résultats du diagnostic. Cette erreur s’affiche lorsque les utilisateurs configurent l’authentification multifacteur pour la première fois et ne terminent pas l’installation ou que leur configuration n’a pas été effectuée à l’avance.

Screenshot of the diagnostic results for MFA proofup.

Informations d’identification correctes et incorrectes

Parfois, les utilisateurs saisissent simplement de mauvaises informations d’identification. L'outil de diagnostic de connexion peut aider à faire la distinction entre une erreur humaine et d'autres problèmes.

Connexion réussie

Dans certains cas, vous souhaitez savoir si les événements de connexion ne sont pas interrompus par l’accès conditionnel ou l’authentification multifacteur, mais ils doivent l’être. L’outil de diagnostic de connexion fournit des détails sur les événements de connexion qui doivent être interrompus, mais qui ne le sont pas.

Compte verrouillé

Un autre scénario courant est lorsqu’un utilisateur tente de se connecter trop souvent avec des informations d’identification incorrectes. Cette erreur se produit lorsqu'un trop grand nombre de tentatives de connexion par mot de passe se produisent avec des informations d'identification incorrectes. Les résultats de diagnostic fournissent des informations à l’administrateur pour déterminer l’origine des tentatives et s’il s’agit de tentatives légitimes de connexion de l’utilisateur ou pas. L’exécution du diagnostic de connexion fournit des détails sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP. Pour plus d’informations, consultez Microsoft Entra Smart Lock.

Nom d’utilisateur ou mot de passe non valide

Si un utilisateur a essayé de se connecter à l’aide d’un nom d’utilisateur ou d’un mot de passe non valide, le diagnostic de connexion aide l’administrateur à déterminer la source du problème. La source peut être un utilisateur qui entre des informations d’identification incorrectes ou un client et/ou une ou plusieurs applications qui ont mis en cache un ancien mot de passe et le soumettent à nouveau. Le diagnostic de connexion fournit des détails sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP.

Applications d’entreprise

Dans les applications d’entreprise, il existe deux problématiques récurrentes :

  • Configuration de l’application du fournisseur d’identité (Microsoft Entra ID)
  • La configuration de fournisseur de services (service d’application, également appelé application SaaS)

Les diagnostics de ces problèmes résolvent la partie du problème qui doit être examinée pour la résolution et la marche à suivre

Fournisseur de services des applications d’entreprise

Si l’erreur s’est produite lorsqu’un utilisateur a essayé de se connecter à une application, la connexion a échoué en raison d’un problème du côté du fournisseur de services (application) du flux de connexion. Les problèmes détectés par le diagnostic de connexion doivent généralement être résolus en modifiant la configuration ou en corrigeant les problèmes sur le service d’application. Pour résoudre ce scénario, vous devez vous connecter à l’autre service et modifier une configuration conformément aux instructions de diagnostic.

Configuration des applications d’entreprise

La connexion peut échouer en raison d’un problème de configuration de l’application pour le côté Microsoft Entra ID de l’application. Dans ces situations, vous devez analyser et mettre à jour la configuration de l’application sur la page Applications d’entreprise pour l’application.

Autres scénarios

Le diagnostic de connexion peut également être utilisé dans divers scénarios.

Paramètres de sécurité par défaut

Les événements de connexion peuvent être interrompus en raison des paramètres de sécurité par défaut. Les paramètres de sécurité par défaut appliquent les meilleures pratiques en matière de sécurité pour votre organisation. Une meilleure pratique consiste à exiger la configuration de l’authentification multifacteur (MFA) et son utilisation pour empêcher les pulvérisations de mots de passe, les attaques par relecture et les tentatives d’hameçonnage d’aboutir.

Pour plus d’informations, consultez Que sont les paramètres de sécurité par défaut ?.

Insights du code d’erreur

Lorsqu'un événement ne dispose pas d'une analyse contextuelle dans le diagnostic de connexion, une explication mise à jour du code d'erreur et un contenu pertinent peuvent être affichés. Les insights du code d’erreur contiennent du texte détaillé sur le scénario, comment corriger le problème et tout le contenu à lire concernant le problème.

Authentification héritée

Ce scénario implique un événement de connexion qui a été bloqué ou interrompu parce que le client tentait d’utiliser l’authentification héritée (ou de base).

Il est recommandé d’empêcher la connexion d’authentification héritée pour des raisons de sécurité. Les protocoles d’authentification hérités, tels que POP, SMTP, IMAP et MAPI, ne peuvent pas appliquer l’authentification multifacteur (MFA), ce qui en fait des points d’entrée privilégiés pour les personnes malveillantes qui cherchent à attaquer votre organisation.

Pour plus d’informations, consultez Comment bloquer l’authentification héritée sur Microsoft Entra ID avec l’accès conditionnel.

Connexion bloquée B2B due à un Accès conditionnel

Ce scénario de diagnostic détecte une connexion bloquée ou interrompue, car l’utilisateur appartient à une autre organisation. Par exemple, une connexion B2B, où une stratégie d’accès conditionnel exige que l’appareil du client soit joint au locataire de ressources.

Pour plus d’informations, voir Accès conditionnel pour les utilisateurs de collaboration B2B.

Bloqué par la stratégie de risque

Dans ce scénario, la stratégie de protection de l’identité bloque une tentative de connexion en raison de la tentative de connexion identifiée comme risquée.

Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.

Authentification directe

Étant donné que l’authentification directe est une intégration des technologies d’authentification locale et cloud, il peut être difficile de déterminer où se trouve le problème. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.

Ce scénario de diagnostic identifie les problèmes de connexion spécifiques à l’utilisateur lorsque la méthode d’authentification utilisée est l’authentification directe (PTA, pass through authentication) et qu’il y a une erreur spécifique à cette authentification. Des erreurs liées à d’autres problèmes, même lorsque l’authentification PTA est utilisée, seront quand même diagnostiquées correctement.

Les résultats du diagnostic affichent des informations contextuelles sur l’échec et la connexion de l’utilisateur. Les résultats peuvent indiquer d’autres raisons pour lesquelles la connexion a échoué et les actions recommandées par l’administrateur pour résoudre le problème. Pour plus d’informations, consultez Microsoft Entra Connect : Résolution des problèmes d’authentification directe.

Authentification unique homogène

L’authentification unique transparente intègre l’authentification Kerberos à l’authentification cloud. Comme ce scénario implique deux protocoles d’authentification, vous pouvez avoir du mal à déterminer à quel niveau se situe le point d’échec en cas de problèmes de connexion. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.

Ce scénario de diagnostic examine le contexte de l’échec de connexion et la cause de l’échec spécifique. Les résultats du diagnostic peuvent inclure des informations contextuelles sur la tentative de connexion et des actions suggérées que l’administrateur peut effectuer. Pour plus d’informations, consultez Résoudre des problèmes d’authentification unique transparente Microsoft Entra.