Journaux de connexions dans Azure Active Directory (préversion)

  • Article
  • 17 minutes de lecture

L’examen des erreurs et schémas de connexion fournit des informations précieuses sur la façon dont vos utilisateurs accèdent aux applications et aux services. Les journaux de connexions fournis par Azure Active Directory (Azure AD) sont un type puissant de journal d’activité que les administrateurs informatiques peuvent analyser. Cet article explique comment accéder aux journaux de connexions et comment les utiliser.

Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre locataire :

  • Audit : Informations sur les modifications appliquées à votre locataire, telles que la gestion des utilisateurs et des groupes ou les mises à jour appliquées aux ressources de votre locataire.
  • Approvisionnement : Activités réalisées par un service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

Les journaux de connexions classiques dans Azure AD vous donnent un aperçu des connexions utilisateur interactives. Trois autres journaux de connexions sont actuellement en préversion :

  • Connexions utilisateur non interactives
  • Connexions de principal de service
  • Identités managées pour les connexions aux ressources Azure

Cet article présente une vue d’ensemble du rapport d’activité de connexion avec la préversion des connexions non interactives, d’applications et d’identités managées pour les ressources Azure. Pour plus d’informations sur le rapport de connexion sans les fonctionnalités en version préliminaire, consultez Journaux de connexion dans le portail Azure Active Directory.

Comment accéder aux journaux de connexions ?

Vous pouvez toujours accéder à votre propre historique de connexions sur https://mysignins.microsoft.com.

Pour accéder au journal de connexions d’un locataire, vous devez avoir l’un des rôles suivants :

  • Administrateur général
  • Security Administrator
  • Lecteur de sécurité
  • Lecteur général
  • Lecteur de rapports

Notes

Pour afficher les données d’accès conditionnel dans le journal des connexions, vous devez être un utilisateur dans l’un des rôles suivants : Administrateur d’entreprise, Lecteur général, Administrateur de la sécurité, Lecteur de sécurité, Administrateur de l’accès conditionnel.

Le rapport d’activité de connexion est disponible avec toutes les éditions d’Azure AD. Si vous avez une licence Azure Active Directory P1 ou P2, vous pouvez accéder au rapport d’activité des connexions via l’API Microsoft Graph. Consultez Bien démarrer avec Azure Active Directory Premium pour mettre à niveau votre édition d’Azure Active Directory. Il faudra quelques jours pour que les données apparaissent dans Graph après que vous soyez passé à une licence premium sans aucune activité de données avant la mise à niveau.

Pour accéder à la préversion des journaux de connexions Azure AD :

  1. Connectez-vous au portail Azure en utilisant le rôle approprié doté des privilèges minimum.

  2. Accédez à Azure Active Directory>Journaux de connexions.

  3. Sélectionnez le lien Essayez notre nouvelle préversion des connexions.

    Capture d’écran du lien de la préversion dans la page des journaux de connexions.

    Pour revenir à la vue existante, sélectionnez le lien Cliquez ici pour quitter la préversion.

    Capture d’écran du lien pour quitter la préversion dans la page des journaux de connexions.

Vous pouvez également accéder aux journaux de connexions à partir des endroits suivants d’Azure AD :

  • Utilisateurs
  • Groupes
  • Applications d’entreprise

Dans la page des journaux de connexions, vous pouvez basculer entre :

  • Connexions utilisateur interactives : Connexions où un utilisateur fournit un facteur d’authentification, tel qu’un mot de passe, une réponse via une application MFA, un facteur biométrique ou un code QR.

  • Connexions utilisateur non interactives : Connexions établies par un client pour le compte d’un utilisateur. Ces connexions ne nécessitent ni interaction, ni facteur d’authentification de la part de l’utilisateur. L’authentification et l’autorisation se font à l’aide de jetons d’accès et d’actualisation ne nécessitent pas que l’utilisateur entre des informations d’identification.

  • Connexions de principal de service : Connexions établies par des applications et des principaux de service n’impliquant aucun utilisateur. Dans ces connexions, l’application ou le service fournit des informations d’identification pour son propre compte afin de s’authentifier ou d’accéder à des ressources.

  • Connexions avec identités managées pour ressources Azure : Connexions établies par des ressources Azure dont les secrets sont gérés par Azure. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?

Capture d’écran des types de journaux de connexion.

Voir le journal de connexions

Pour voir plus efficacement le journal de connexions, passez un peu de temps à personnaliser l’affichage en fonction de vos besoins. Vous pouvez spécifier les colonnes à inclure et filtrer les données pour affiner les choses.

Connexions utilisateur interactives

Les connexions utilisateur interactives fournissent un facteur d’authentification à Azure AD ou interagit directement avec Azure AD ou une application auxiliaire telle que l’application Microsoft Authenticator. Les utilisateurs peuvent fournir des mots de passe, des réponses à des demandes MFA, des facteurs biométriques ou des codes QR à Azure AD ou à une application auxiliaire. Ce journal comprend également des connexions fédérées de fournisseurs d’identité qui sont fédérés à Azure AD.

Notes

Avant, le journal des connexions utilisateur interactives contenait des connexions non interactives de clients Microsoft Exchange. Bien que ces connexions ne soient pas interactives, elles étaient incluses dans le journal des connexions utilisateur interactives pour une meilleure visibilité. Une fois le journal des connexions utilisateur non interactives entré en préversion publique en novembre 2020, les journaux des connexions non interactives ont été déplacés vers le rapport de connexions utilisateur non interactives pour une plus grande précision.

Taille du rapport : petite
Exemples :

  • Un utilisateur fournit un nom d’utilisateur et un mot de passe dans l’écran de connexion à Azure AD.
  • Un utilisateur transmet une réponse reçue par SMS à une demande d’authentification multifacteur.
  • Un utilisateur effectue un geste d’identification biométrique pour déverrouiller son PC Windows avec Windows Hello Entreprise.
  • Un utilisateur est fédéré à Azure AD avec une assertion SAML AD FS.

En plus des champs par défaut, le journal des connexions interactives affiche les informations suivantes :

  • Emplacement de la connexion
  • Si l’accès conditionnel a été appliqué

Vous pouvez personnaliser le mode Liste en cliquant sur Colonnes dans la barre d’outils.

Capture d’écran bouton Personnaliser les colonnes.

Considérations relatives aux connexions d’authentification multifacteur (MFA)

Lorsqu’un utilisateur se connecte à l’aide de l’authentification multifacteur, plusieurs événements MFA distincts se produisent. Par exemple, si un utilisateur entre un code de validation incorrect ou ne répond pas à temps, d’autres événements MFA sont envoyés pour refléter l’état le plus récent de la tentative de connexion. Ces événements de connexion s’affichent sous la forme d’un élément de ligne dans les journaux de connexion Azure AD. Ce même événement de connexion dans Azure Monitor apparaît toutefois sous la forme de plusieurs éléments de ligne. Ces événements ont tous le même correlationId.

Connexions utilisateur non interactives

À l’instar des connexions utilisateur interactives, les connexions non interactives sont établies pour le compte d’un utilisateur. Ces connexions ont été effectuées par une application cliente ou des composants du système d’exploitation pour le compte d’un utilisateur et ne demandent pas à l’utilisateur de fournir un facteur d’authentification. Au lieu de cela, l’appareil ou l’application cliente utilisent un jeton ou du code pour s’authentifier ou accéder à une ressource pour le compte d’un utilisateur. En général, l’utilisateur remarque que ces connexions se produisent en arrière-plan.

Taille du rapport : grande
Exemples :

  • Une application cliente utilise un jeton d’actualisation OAuth 2.0 pour obtenir un jeton d’accès.
  • Un client utilise un code d’autorisation OAuth 2.0 pour obtenir un jeton d’accès et un jeton d’actualisation.
  • Un utilisateur effectue une authentification unique (SSO) auprès d’une application web ou Windows sur un PC joint à Azure AD (sans fournir de facteur d’authentification ni interagir avec une invite Azure AD).
  • Un utilisateur se connecte à une deuxième application Microsoft Office tandis qu’il a une session ouverte sur un appareil mobile à l’aide d’une FOCI (famille d’ID client).

En plus des champs par défaut, le journal des connexions non-interactives affiche les informations suivantes :

  • ID de ressource
  • Nombre de connexions regroupées

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Capture d’écran de l’option Colonnes désactivées.

Pour faciliter la synthèse des données, les événements de connexion non interactive sont regroupés. Les clients créent souvent de nombreuses connexions non interactives pour le compte du même utilisateur sur une courte période. Les connexions non interactives partagent les mêmes caractéristiques, à l’exception de l’heure à laquelle la connexion a été tentée. Par exemple, un client peut obtenir un jeton d’accès une fois par heure pour le compte d’un utilisateur. Si l’état de l’utilisateur ou du client ne change pas, l’adresse IP, la ressource et toutes les autres informations sont les mêmes pour chaque demande de jeton d’accès. Le seul état qui change est la date et l’heure de la connexion.

Quand Azure AD consigne plusieurs connexions identiques. hormis la date et l’heure, ces connexions sont en provenance de la même entité et sont agrégées sur une seule ligne. Une ligne avec plusieurs connexions identiques (à l’exception de la date et de l’heure émises) a une valeur supérieure à 1 dans la colonne du nombre de connexions. Ces connexions agrégées peuvent également sembler avoir les mêmes horodatages. Le filtre Agrégat de temps peut être défini sur 1 heure, 6 heures ou 24 heures. Vous pouvez développer la ligne pour voir les différentes connexions et leurs horodatages.

Les connexions sont agrégées dans les utilisateurs non interactifs lorsque les données suivantes correspondent :

  • Application
  • Utilisateur
  • Adresse IP
  • Statut
  • ID de ressource

Notes

L’adresse IP des connexions non interactives effectuées par des clients confidentiels ne correspond pas à l’adresse IP source réelle de l’emplacement d’où provient la demande de jeton d’actualisation. En effet, elle indique plutôt l’adresse IP d’origine utilisée pour l’émission du jeton d’origine.

Connexions de principal de service

Contrairement aux connexions utilisateur interactives et non interactives, les connexions de principal de service n’impliquent pas d’utilisateur. En fait, il s’agit de connexions établies par n’importe quel compte non-utilisateur, par exemple, des applications ou des principaux de service (à l’exception des connexions d’identités managées qui sont uniquement incluses dans le journal du même nom). Dans le cadre de ces connexions, l’application ou le service fournit ses propres informations d’identification, telles qu’un certificat ou un secret d’application, pour s’authentifier ou accéder à des ressources.

Taille du rapport : grande
Exemples :

  • Un principal de service utilise un certificat pour s’authentifier et accéder au Microsoft Graph.
  • Une application utilise une clé secrète client pour s’authentifier dans le flux des informations d’identification de client OAuth.

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Pour faciliter la synthèse des données dans les journaux de connexion du principal de service, les événements de connexion de celui-ci sont regroupés. Les connexions à partir de la même entité dans les mêmes conditions sont agrégées dans une seule ligne. Vous pouvez développer la ligne pour voir les différentes connexions et leurs horodatages. Les connexions sont agrégées dans le rapport du principal de service lorsque les données suivantes correspondent :

  • Nom ou ID de principal de service
  • Statut
  • Adresse IP
  • Nom ou ID de la ressource

Connexions avec identité managée pour ressources Azure

Les connexions avec identités managées pour ressources Azure sont des connexions établies par des ressources dont les secrets sont gérés par Azure pour simplifier la gestion des informations d’identification. Une machine virtuelle avec des informations d’identification managées utilise Azure AD pour obtenir un jeton d’accès.

Taille du rapport : petite
Exemples :

Vous ne pouvez pas personnaliser les champs affichés dans ce rapport.

Pour faciliter la synthèse des données, les journaux de connexion avec identités managées pour ressources Azure et les événements de connexion non interactifs sont regroupés. Les connexions à partir de la même entité sont agrégées dans une seule ligne. Vous pouvez développer la ligne pour voir les différentes connexions et leurs horodatages. Les connexions sont agrégées dans le rapport d’identités managées quand toutes les données suivantes correspondent :

  • Nom ou ID de l’identité managée
  • Statut
  • Nom ou ID de la ressource

Sélectionnez un élément dans la liste pour afficher toutes les connexions regroupées sous un nœud. Sélectionnez un élément regroupé pour afficher tous les détails de la connexion.

Filtrer les résultats

Le filtrage du journal de connexions est un moyen utile de trouver rapidement les journaux qui correspondent à un scénario spécifique. Par exemple, vous pouvez filtrer la liste pour voir uniquement les connexions qui se sont produites dans un emplacement géographique spécifique, à partir d’un système d’exploitation spécifique ou d’un type spécifique d’informations d’identification.

Certaines options de filtre vous invitent à sélectionner d’autres options. Suivez les invites pour faire la sélection dont vous avez besoin pour le filtre. Vous pouvez ajouter plusieurs filtres. Notez la plage de dates de votre filtre pour vous assurer qu’Azure AD retourne uniquement les données dont vous avez besoin. Le filtre que vous configurez pour les connexions interactives est conservé pour les connexions non interactives, et inversement.

Sélectionnez l’option Ajouter des filtres en haut du tableau pour commencer.

Capture d’écran de la page des journaux de connexions avec l’option Ajouter des filtres mise en évidence.

Vous pouvez choisir entre plusieurs options de filtre :

  • Utilisateur :Nom d’utilisateur principal (UPN) de l’utilisateur en question.
  • État : Les options sont Réussite, Échec et Interrompu.
  • Ressource : Nom du service utilisé pour la connexion.
  • Accès conditionnel : État de la stratégie d’accès conditionnel. Les options sont les suivantes :
    • Non appliquée : Aucune stratégie n’est appliquée à l’utilisateur et à l’application lors de la connexion.
    • Réussite : Une ou plusieurs stratégies d’accès conditionnel sont appliquées à l’utilisateur et à l’application (mais pas nécessairement les autres conditions) lors de la connexion.
    • Échec : La connexion a rempli la condition d’utilisateur et d’application d’au moins une stratégie d’accès conditionnel et les contrôles d’octroi ne sont pas satisfaits ou ne sont pas définis pour bloquer l’accès.
  • Adresses IP : Il n’existe aucune connexion définitive entre une adresse IP et l’endroit où se trouve physiquement l’ordinateur avec cette adresse. Les fournisseurs mobiles et les VPN émettent des adresses IP à partir de pools centraux qui sont souvent éloignés de l’endroit où l’appareil client est utilisé. Actuellement, la conversion de l’adresse IP en un emplacement physique constitue la meilleure solution pour les suivis, les données de registre, les recherches inversées et d’autres informations. Le tableau suivant fournit les options et les descriptions de l’option de filtre Application cliente.

Notes

Pour des raisons de confidentialité, Azure AD ne renseigne pas ce champ pour le locataire d’accueil dans le cas d’un scénario interlocataire.

Nom Authentification moderne Description
SMTP authentifié Utilisé par les clients POP et IMAP pour envoyer des e-mails.
Découverte automatique Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
Exchange ActiveSync Ce filtre affiche toutes les tentatives de connexion où le protocole EAS a été utilisé.
Browser Coche bleue Affiche toutes les tentatives de connexion d’utilisateurs à l’aide de navigateurs web
Exchange ActiveSync Affiche toutes les tentatives de connexion d’utilisateurs avec des applications clientes utilisant Exchange ActiveSync pour se connecter à Exchange Online
Exchange Online PowerShell Utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.
Exchange Web Services Interface de programmation utilisée par Outlook, Outlook pour Mac et des applications tierces.
IMAP4 Un client de messagerie hérité qui utilise IMAP pour récupérer le courrier électronique.
MAPI sur HTTP Utilisé par Outlook 2010 et versions ultérieures.
Applications mobiles et clients de bureau Coche bleue Affiche toutes les tentatives de connexion d’utilisateurs à l’aide d’applications mobiles et de clients de bureau.
Carnet d’adresses en mode hors connexion Copie des collections de listes d’adresses téléchargées et utilisées par Outlook.
Outlook Anywhere (RPC sur HTTP) Utilisé par Outlook 2016 et versions antérieures.
Service Outlook Utilisé par l’application Courrier et Calendrier pour Windows 10.
POP3 Un client de messagerie hérité qui utilise POP3 pour récupérer le courrier électronique.
Reporting Web Services Utilisé pour récupérer des données de rapports dans Exchange Online.
Autres clients Affiche toutes les tentatives de connexion d’utilisateurs où l’application cliente n’est pas incluse ou connue.

Analyser les journaux de connexions

Maintenant que votre tableau de journaux de connexions est mise en forme de manière appropriée, vous pouvez analyser plus efficacement les données. Certains scénarios courants sont décrits ici, mais ils ne sont pas les seuls moyens d’analyser les données de connexion. Il est possible d’analyser et de conserver davantage les données de connexion en exportant les journaux vers d’autres outils.

Code d’erreur de connexion

Si une connexion a échoué, vous pouvez obtenir plus d’informations sur la raison de cet échec dans la section Informations de base de l’élément de journal correspondant. Le code d’erreur et la raison de l’échec associé apparaissent dans les détails. En raison de la complexité de certains environnements Azure AD, nous ne pouvons pas documenter tous les codes d’erreur et résolutions possibles. Certaines erreurs peuvent demander l’envoi d’une demande de support pour résoudre le problème.

Capture d’écran d’un code d’erreur de connexion.

Pour obtenir la liste des codes d’erreur liés à l’authentification et aux autorisations Azure AD, consultez l’article Codes d’erreur d’authentification et d’autorisation Azure AD. Dans certains cas, l’outil de recherche d’erreur de connexion peut fournir des étapes de correction. Entrez le code d’erreur fourni dans les détails du journal de connexions dans l’outil, puis sélectionnez le bouton Envoyer.

Capture d’écran de l’outil de recherche de code d’erreur.

Informations sur l’authentification

L’onglet Détails d’authentification dans les détails d’un journal de connexions fournit les informations suivantes pour chaque tentative d’authentification :

  • Une liste des stratégies d’authentification appliquées, comme l’accès conditionnel ou les valeurs par défaut de la sécurité.
  • Une liste des stratégies de durée de vie de session appliquées, comme Fréquence de connexion ou Mémoriser MFA.
  • La séquence des méthodes d’authentification utilisées pour la connexion.
  • Si la tentative d’authentification a réussi et pourquoi.

Ces informations vous permettent de dépanner chaque étape de la connexion d’un utilisateur. Utilisez ces détails pour suivre :

  • Le volume de connexions protégées par MFA.
  • La raison de l’invite d’authentification en fonction des stratégies de durée de vie de session.
  • L’utilisation et le taux de réussite de chaque méthode d’authentification.
  • L’utilisation de méthodes d’authentification sans mot de passe, comme la connexion par téléphone sans mot de passe, FIDO2 et Windows Hello Entreprise.
  • La fréquence à laquelle les conditions d’authentification sont remplies par des revendications de jeton, comme quand les utilisateurs ne sont pas invités de manière interactive à entrer un mot de passe ou à entrer un mot de passe à usage unique par SMS.

Lors de l’affichage du journal de connexions, sélectionnez un événement de connexion, puis l’onglet Détails d’authentification.

Capture d’écran de l’onglet Détails d’authentification

Lorsque vous analysez les détails de l’authentification, notez les détails suivants :

  • Le code de vérification OATH est consigné comme méthode d’authentification pour les jetons matériels et logiciels OATH (par exemple, l’application Microsoft Authenticator).
  • L’onglet Détails d’authentification peut commencer par afficher des données incomplètes ou inexactes, jusqu’à ce que les informations du journal soient entièrement agrégées. Voici quelques exemples connus :
    • Un message Satisfaite par une revendication dans le jeton s’affiche de manière incorrecte lors de la journalisation initiale des événements de connexion.
    • Initialement, la ligne Authentification principale n’est pas consignée.
  • Si vous n’êtes pas sûr d’un détail dans les journaux, rassemblez l’ID de demande et l’ID de corrélation à utiliser pour l’analyse ou la résolution des problèmes.

Données de connexion utilisées par d’autres services

Les données de connexion sont utilisées par plusieurs services dans Azure pour surveiller les connexions risquées et fournir des informations sur l’utilisation des applications.

Données de connexions risquées dans Azure AD Identity Protection

La visualisation des données de journal de connexions liées aux connexions risquées est disponible dans la vue d’ensemble d’Azure AD Identity Protection, qui utilise les données suivantes :

  • Utilisateurs à risque
  • Connexions des utilisateurs à risque
  • Principaux de service à risque
  • Connexions des principaux de service à risque

Pour plus d’informations sur les outils Azure AD Identity Protection, consultez la Vue d’ensemble d’Azure AD Identity Protection.

Capture d’écran des utilisateurs à risque dans Identity Protection.

Activité de connexion d’application et d’authentification Azure AD

En disposant d’une vue centrée sur les applications de vos données de connexion, vous pouvez répondre aux questions telles que :

  • Qui utilise mes applications ?
  • Quelles sont les trois principales applications dans mon organisation ?
  • Comment fonctionne mon application la plus récente ?

Pour afficher les données de connexion spécifiques à une application, accédez à Azure AD et sélectionnez Utilisation et insights dans la section Supervision. Ces rapports permettent d’examiner de plus près les connexions de l’activité des applications Azure AD et de l’activité des applications AD FS. Pour plus d’informations, consultez Utilisation et insights Azure AD.

Capture d’écran du rapport d’activité des applications Azure AD.

Dans Azure AD, Utilisation et insights fournit également le rapport Activité des méthodes d’authentification, qui détaille l’authentification par la méthode utilisée. Utilisez ce rapport pour voir combien de vos utilisateurs sont configurés avec l’authentification MFA ou sans mot de passe.

Capture d’écran du rapport Méthodes d’authentification.

Journaux d’activité Microsoft 365

Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Les journaux d’activité Microsoft 365 et Azure AD partagent un nombre important de ressources d’annuaire. Seul le centre d’administration Microsoft 365 fournit une vue complète des journaux d’activité d’Microsoft 365.

Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.

Étapes suivantes