Insights et rapports sur l’accès conditionnel
Le classeur Insights et rapports sur l’accès conditionnel vous permet de comprendre l’impact des stratégies d’accès conditionnel sur votre organisation dans la durée. Lors d’une connexion, une ou plusieurs stratégies d’accès conditionnel peuvent s’appliquer. Celles-ci peuvent accorder l’accès si certains critères d’octroi sont satisfaits ou le refuser dans le cas contraire. Étant donné que plusieurs stratégies d’accès conditionnel peuvent être évaluées lors de chaque connexion, le classeur Insights et rapports vous permet de voir l’impact d’une seule stratégie ou d’un sous-ensemble de stratégies.
Prérequis
Pour activer le classeur Insights et rapports, il faut que votre locataire dispose des éléments suivants :
- Un espace de travail Log Analytics pour conserver les données des journaux de connexion.
- Des licences Microsoft Entra ID P1 pour utiliser l’accès conditionnel.
Les utilisateurs doivent détenir au moins le rôle Lecteur de sécurité et les rôles Contributeur de l’espace de travail Log Analytics.
Diffusez en continu les journaux de connexion entre les journaux Microsoft Entra ID et les journaux Azure Monitor
Si vous n’avez pas intégré les journaux Microsoft Entra aux journaux Azure Monitor, vous devrez effectuer les étapes suivantes avant le chargement du classeur :
- Créer un espace de travail Log Analytics dans Azure Monitor.
- Intégrer les journaux Microsoft Entra aux journaux Azure Monitor.
Fonctionnement
Pour accéder au classeur Insights et rapports :
- Connectez-vous au centre d’administration Microsoft Entra au moins en tant que Lecteur de sécurité.
- Accédez à Protection>Accès conditionnel>Insights et rapports.
Bien démarrer : Sélectionner les paramètres
Le tableau de bord Insights et rapports vous permet de voir l’impact d’une ou plusieurs stratégies d’accès conditionnel sur une période donnée. Commencez par définir chacun des paramètres situés en haut du classeur.
Stratégie d’accès conditionnel : pour évaluer leur impact, sélectionnez une ou plusieurs stratégies d’accès conditionnel. Les stratégies sont classées en deux groupes : les stratégies activées et les stratégies de rapport seul. Par défaut, toutes les stratégies activées sont sélectionnées. Ces stratégies activées correspondent aux stratégies qui sont actuellement appliquées dans votre locataire.
Intervalle de temps : sélectionnez une période comprise entre 4 heures et 90 jours. Si vous avez sélectionné une plage de temps antérieure au moment où vous avez intégré les journaux Microsoft Entra à Azure Monitor, seules les connexions effectuées après l’intégration s’affichent.
Utilisateur : Par défaut, le tableau de bord affiche l’impact des stratégies sélectionnées pour tous les utilisateurs. Pour filtrer par utilisateur, tapez le nom de l’utilisateur en question dans le champ de texte. Pour filtrer l’ensemble des utilisateurs, tapez Tous les utilisateurs dans le champ de texte ou laissez le paramètre vide.
Application : par défaut, le tableau de bord affiche l’impact des stratégies sélectionnées pour toutes les applications. Pour filtrer par application, tapez le nom de l’application en question dans le champ de texte. Pour filtrer l’ensemble des applications, tapez Toutes les applications dans le champ de texte ou laissez le paramètre vide.
Vue de données : indiquez si vous souhaitez que le tableau de bord affiche le nombre d’utilisateurs ou le nombre de connexions. Un même utilisateur peut s’être connecté plusieurs centaines de fois à de nombreuses applications et présenter des résultats très différents au cours d’une période donnée. Si vous sélectionnez la vue de données Utilisateurs, vous verrez qu’un utilisateur peut être comptabilisé aussi bien dans les connexions réussies que dans les échecs de connexion. Par exemple, s’il y a dix utilisateurs, huit d’entre eux peuvent avoir réussi à se connecter au cours des 30 derniers jours et neuf d’entre eux peuvent avoir échoué au cours de la même période.
Résumé de l’impact
Une fois les paramètres définis, le résumé de l’impact est chargé. Ce résumé indique, sur une période donnée, le nombre d’utilisateurs ou de connexions ayant obtenu comme résultat Réussite, Échec, Action de l’utilisateur nécessaire ou Non appliqué, lors de l’évaluation des stratégies sélectionnées.
Total : Au cours d’une période donnée, nombre d’utilisateurs ou de connexions pour lesquels au moins une des stratégies sélectionnées a été évaluée.
Réussite : au cours d’une période donnée, nombre d’utilisateurs ou de connexions ayant obtenu comme résultat des stratégies sélectionnées une combinaison de Réussite ou Rapport seul : Réussite.
Échec : au cours d’une période donnée, nombre d’utilisateurs ou de connexions ayant obtenu, pour au moins une stratégie sélectionnée, le résultat Échec ou Rapport seul : Échec.
Action de l’utilisateur requise : au cours d’une période donnée, nombre d’utilisateurs ou de connexions ayant obtenu, pour les stratégies sélectionnées, le résultat Rapport seul : action de l’utilisateur requise. Une action de l’utilisateur est nécessaire quand un contrôle d’octroi interactif, tel qu’une authentification multifacteur, est exigé. Étant donné que les contrôles d’octroi interactifs ne sont pas appliqués par les stratégies Rapport seul, il est impossible de déterminer si la stratégie a réussi ou échoué.
Non applicable : Au cours d’une période donnée, nombre d’utilisateurs ou de connexions pour lesquels aucune des stratégies sélectionnées n’a été appliquée.
Comprendre l’impact
Affichez la répartition des utilisateurs (ou connexions) pour chacune des conditions. Vous pouvez filtrer les connexions d’un résultat donné (par exemple, Réussite ou Échec) en sélectionnant l’une des vignettes récapitulatives situées en haut du classeur. Vous pouvez voir la répartition des connexions pour chacune des conditions d’accès conditionnel : état de l’appareil, plateforme de l’appareil, application cliente, emplacement, application et risque de connexion.
Détails de la connexion
Vous pouvez également examiner les connexions d’un utilisateur en particulier, en recherchant des connexions en bas du tableau de bord. La requête affiche les utilisateurs les plus fréquents. Sélection d’un utilisateur qui filtre la requête.
Remarque
Lorsque vous téléchargez les journaux de connexion, choisissez le format JSON pour inclure les résultats en mode rapport uniquement de la stratégie d’accès conditionnel.
Configurer une stratégie d’accès conditionnel en mode Rapport seul
Pour configurer une stratégie d’accès conditionnel en mode Rapport uniquement :
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
- Parcourez Protection des données>Accès conditionnel>Stratégies.
- Sélectionnez une stratégie existante ou créez-en une.
- Sous Activer la stratégie, définissez le mode Rapport uniquement.
- Sélectionnez Enregistrer.
Conseil
La modification de l’état Activer la stratégie d’une stratégie d’Activé en Rapport seul désactive l’application de la stratégie.
Dépannage
Pourquoi les requêtes échouent-elles en raison d’une erreur d’autorisation ?
Pour accéder au classeur, vous devez disposer des autorisations appropriées dans Microsoft Entra ID et Log Analytics. Pour vérifier si vous disposez des autorisations appropriées pour l’espace de travail, exécutez un exemple de requête Log Analytics :
- Connectez-vous au centre d’administration Microsoft Entra au moins en tant que Lecteur de sécurité.
- Accédez à Identité>Surveillance et intégrité>Log Analytics.
- Saisissez
SigninLogs
dans la zone de requête et sélectionnez Exécuter. - Si la requête ne retourne aucun résultat, votre espace de travail n’est peut-être pas configuré correctement.
Pour plus d’informations sur la diffusion en continu des journaux de connexion Microsoft Entra vers un espace de travail Log Analytics, consultez l’article Intégrer des journaux Microsoft Entra avec aux journaux d’activité Azure Monitor.
Pourquoi les requêtes dans le classeur échouent-elles ?
Des clients remarquent que des requêtes échouent parfois si un espace de travail erroné ou plusieurs espaces de travail sont associés au classeur. Pour résoudre ce problème, sélectionnez Modifier en haut du classeur, puis sur l’engrenage paramètres. Sélectionnez et supprimez les espaces de travail qui ne sont pas associés au classeur. Il ne doit y avoir qu’un seul espace de travail associé à chaque classeur.
Pourquoi le paramètre des stratégies d’accès conditionnel est-il vide ?
La liste des stratégies est générée en examinant les stratégies évaluées pour l’événement de connexion le plus récent. S’il n’existe aucune connexion récente dans votre locataire, vous devrez peut-être attendre pendant quelques minutes que le classeur charge la liste des stratégies d’accès conditionnel. L’obtention de résultats vides peut se produire immédiatement après la configuration de Log Analytics ou si un locataire n’a aucune activité de connexion récente.
Pourquoi le chargement du classeur est-il si long ?
Selon l’intervalle de temps sélectionné et la taille de votre locataire, le classeur peut avoir à évaluer un nombre important d’événements de connexion. Pour les locataires de grande taille, le volume des connexions peut dépasser la capacité de requête de Log Analytics. Essayez de limiter l’intervalle de temps à quatre heures, puis vérifiez si le chargement du classeur réussit.
Une fois le chargement terminé, après plusieurs minutes d’attente, pourquoi le classeur retourne-il aucun résultat ?
Quand le volume des connexions dépasse la capacité de requête de Log Analytics, le classeur ne retourne aucun résultat. Essayez de limiter l’intervalle de temps à quatre heures, puis vérifiez si le chargement du classeur réussit.
Puis-je enregistrer mes sélections de paramètres ?
Vous pouvez enregistrer vos sélections de paramètres en haut du classeur en allant dans Identité>Surveillance et intégrité>Classeurs>Insights et rapports sur l’accès conditionnel. Vous y trouvez le modèle du classeur. Celui-ci vous permet de modifier le classeur et d’en enregistrer une copie dans votre espace de travail (y compris les sélections de paramètres), dans Mes rapports ou Rapports partagés.
Puis-je modifier le classeur et le personnaliser avec d’autres requêtes ?
Vous pouvez modifier et personnaliser le classeur en accédant à Identité>Surveillance et intégrité>Classeurs>Insights et rapports sur l’accès conditionnel. Vous y trouvez le modèle du classeur. Celui-ci vous permet de modifier le classeur et d’en enregistrer une copie dans votre espace de travail (y compris les sélections de paramètres), dans Mes rapports ou Rapports partagés. Pour modifier les requêtes, sélectionnez Modifier en haut du classeur.
Contenu connexe
Pour plus d’informations sur les classeurs Microsoft Entra, consultez l’article Guide pratique pour utiliser des classeurs Azure Monitor pour les rapports Microsoft Entra.