Afficher les stratégies d’accès conditionnel appliquées dans les journaux de connexion Microsoft Entra

Les stratégies d’accès conditionnel vous permettent de contrôler la façon dont vos utilisateurs accèdent aux ressources de votre locataire Azure. En tant qu’administrateur de locataire, vous devez être en mesure de déterminer l’effet de vos stratégies d’accès conditionnel sur les connexions à votre locataire afin de pouvoir prendre des mesures si nécessaire.

Dans Microsoft Entra ID, les journaux de connexion fournissent les informations dont vous avez besoin pour évaluer l’effet de vos stratégies. Cet article explique comment afficher les stratégies d’accès conditionnel appliquées dans ces journaux.

Prérequis

Pour voir les stratégies d’accès conditionnel appliquées dans les journaux de connexion, les administrateurs doivent disposer des autorisations nécessaires pour afficher les journaux et les stratégies. Le rôle intégré le moins privilégié qui octroie ces deux autorisations est le rôle Lecteur de sécurité. En guise de meilleure pratique, votre administrateur général devrait ajouter le rôle Lecteur de sécurité aux comptes d’administrateur concernés.

Les rôles intégrés suivants octroient des autorisations pour lire les stratégies d’accès conditionnel :

• Lecteur de sécurité
• Lecteur général
• Security Administrator
• Administrateur de l’accès conditionnel

Les rôles intégrés suivants octroient l’autorisation de consulter les journaux de connexion :

• Lecteur de rapports
• Lecteur de sécurité
• Lecteur général
• Administrateur de sécurité

Autorisations pour les applications clientes

Si vous utilisez une application cliente pour extraire les journaux de connexion de Microsoft Graph, votre application a besoin d’autorisations pour recevoir la ressource appliedConditionalAccessPolicy de Microsoft Graph. En guise de bonne pratique, octroyez l’autorisation Policy.Read.ConditionalAccess, car il s’agit de l’autorisation la moins privilégiée.

L’une des autorisations suivantes est suffisante pour qu’une application cliente accède aux stratégies d’autorité de certification appliquées dans les journaux de connexion via Microsoft Graph :

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All

Autorisations pour PowerShell

Comme toute autre application cliente, le module Microsoft Graph PowerShell a besoin d’autorisations client pour accéder aux stratégies d’accès conditionnel appliquées dans les journaux de connexion. Pour extraire correctement les stratégies d’accès conditionnel appliquées dans les journaux de connexion, vous devez donner votre consentement pour les autorisations nécessaires avec votre compte d’administrateur pour Microsoft Graph PowerShell. En guise de meilleure pratique, consentez aux autorisations suivantes :

• Policy.Read.ConditionalAccess
• AuditLog.Read.All
• Directory.Read.All

Ci-après, vous trouverez les autorisations les moins privilégiées offrant l’accès nécessaire :

• Pour consentir aux autorisations nécessaires, utilisez : Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Pour consulter les journaux de connexion : Get-MgAuditLogSignIn

Pour plus d’informations sur cette cmdlet, consultez Get-MgAuditLogSignIn.

Scénarios d’accès conditionnel et de journal de connexion

En tant qu’administrateur Microsoft Entra, vous pouvez utiliser les journaux de connexion pour :

• Résoudre les problèmes de connexion.
• Vérifier les performances de fonctionnalités.
• Évaluer la sécurité d’un locataire.

Certains scénarios obligent à comprendre comment les stratégies d’accès conditionnel ont été appliquées à un événement de connexion. Voici quelques exemples communs :

• Des administrateurs du support technique qui doivent examiner les stratégies d’accès conditionnel appliquées pour comprendre si l’une d’elles est la cause racine d’un ticket de support ouvert par un utilisateur.

• Des administrateurs de locataires qui doivent vérifier que les stratégies d’accès conditionnel ont l’effet prévu sur les utilisateurs d’un locataire.

Vous pouvez accéder aux journaux de connexion à l'aide du centre d'administration Microsoft Entra, du portail Azure, de Microsoft Graph et de PowerShell.

Afficher les stratégies d’accès conditionnel dans les journaux de connexion Microsoft Entra

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

Les détails d’activité des journaux de connexion contiennent plusieurs onglets. Sous l’onglet Accès conditionnel, vous voyez la liste de stratégies d’accès conditionnel appliquées à cet événement de connexion.

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur global.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
3. Sélectionnez un élément d'inscription dans le tableau pour afficher le volet des détails de l'inscription.
4. Sélectionnez l’onglet Accès conditionnel.

Si vous ne voyez pas les stratégies d’accès conditionnel, vérifiez que vous utilisez un rôle qui fournit l’accès aux journaux de connexion et aux stratégies d’accès conditionnel.

Étapes suivantes

• Résoudre les problèmes de connexion liés à l'accès conditionnel
• Consultez la FAQ sur les journaux de connexion à l’accès conditionnel
• En savoir plus sur le journaux de connexion