Journaux des connexions dans Azure Active Directory

  • Article

L’examen des erreurs et schémas de connexion fournit des informations précieuses sur la façon dont vos utilisateurs accèdent aux applications et aux services. Les journaux de connexions fournis par Azure Active Directory (Azure AD) sont un type puissant de journal d’activité que les administrateurs informatiques peuvent analyser. Cet article explique comment accéder aux journaux de connexions et comment les utiliser.

Deux autres journaux d’activité sont également disponibles pour vous aider à surveiller l’intégrité de votre locataire :

  • Audit : Informations sur les modifications appliquées à votre locataire, telles que la gestion des utilisateurs et des groupes ou les mises à jour appliquées aux ressources de votre locataire.
  • Approvisionnement : Activités réalisées par un service d’approvisionnement, telles que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

À quoi peuvent vous servir les journaux de connexions ?

Vous pouvez utiliser les journaux des connexions pour trouver des réponses à des questions telles que :

  • Quel est le modèle de connexion d’un utilisateur ?

  • Combien d’utilisateurs se sont connectés au cours d’une semaine ?

  • Quel est l’état de ces connexions ?

Comment accéder aux journaux de connexions ?

Vous pouvez toujours accéder à votre propre historique de connexions sur https://mysignins.microsoft.com.

Pour accéder au journal de connexions d’un locataire, vous devez avoir l’un des rôles suivants :

  • Administrateur général
  • Security Administrator
  • Lecteur de sécurité
  • Lecteur général
  • Lecteur de rapports

Le rapport d’activité de connexion est disponible avec toutes les éditions d’Azure AD. Si vous avez une licence Azure Active Directory P1 ou P2, vous pouvez accéder au rapport d’activité des connexions via l’API Microsoft Graph. Consultez Bien démarrer avec Azure Active Directory Premium pour mettre à niveau votre édition d’Azure Active Directory. Il faudra quelques jours pour que les données apparaissent dans Graph après que vous soyez passé à une licence premium sans aucune activité de données avant la mise à niveau.

Pour accéder au journal de connexions Azure AD :

  1. Connectez-vous au portail Azure en utilisant le rôle approprié doté des privilèges minimum.

  2. Accédez à Azure Active Directory>Journaux de connexions.

    Capture d’écran du menu latéral Supervision avec Journaux de connexions mis en évidence.

Vous pouvez également accéder aux journaux de connexions à partir des endroits suivants d’Azure AD :

  • Utilisateurs
  • Groupes
  • Applications d’entreprise

Voir le journal de connexions

Pour voir plus efficacement le journal de connexions, passez un peu de temps à personnaliser l’affichage en fonction de vos besoins. Vous pouvez spécifier les colonnes à inclure et filtrer les données pour affiner les choses.

Personnaliser la disposition

Le journal de connexions a une vue par défaut, mais vous pouvez la personnaliser à l’aide de plus de 30 options de colonne.

  1. Sélectionnez Colonnes dans le menu en haut du journal.
  2. Sélectionnez les colonnes que vous souhaitez afficher, puis sélectionnez le bouton Enregistrer en bas de la fenêtre.

Capture d’écran de la page des journaux de connexions avec l’option Colonnes mise en évidence.

Filtrer les résultats

Le filtrage du journal de connexions est un moyen utile de trouver rapidement les journaux qui correspondent à un scénario spécifique. Par exemple, vous pouvez filtrer la liste pour voir uniquement les connexions qui se sont produites dans un emplacement géographique spécifique, à partir d’un système d’exploitation spécifique ou d’un type spécifique d’informations d’identification.

Certaines options de filtre vous invitent à sélectionner d’autres options. Suivez les invites pour faire la sélection dont vous avez besoin pour le filtre. Vous pouvez ajouter plusieurs filtres.

Sélectionnez l’option Ajouter des filtres en haut du tableau pour commencer.

Capture d’écran de la page des journaux de connexions avec l’option Ajouter des filtres mise en évidence.

Vous pouvez choisir entre plusieurs options de filtre :

  • Utilisateur :Nom d’utilisateur principal (UPN) de l’utilisateur en question.
  • État : Les options sont Réussite, Échec et Interrompu.
  • Ressource : Nom du service utilisé pour la connexion.
  • Accès conditionnel : État de la stratégie d’accès conditionnel. Les options sont les suivantes :
    • Non appliquée : Aucune stratégie n’est appliquée à l’utilisateur et à l’application lors de la connexion.
    • Réussite : Une ou plusieurs stratégies d’accès conditionnel sont appliquées à l’utilisateur et à l’application (mais pas nécessairement les autres conditions) lors de la connexion.
    • Échec : La connexion a rempli la condition d’utilisateur et d’application d’au moins une stratégie d’accès conditionnel et les contrôles d’octroi ne sont pas satisfaits ou ne sont pas définis pour bloquer l’accès.
  • Adresses IP : Il n’existe aucune connexion définitive entre une adresse IP et l’endroit où se trouve physiquement l’ordinateur avec cette adresse. Les fournisseurs mobiles et les VPN émettent des adresses IP à partir de pools centraux qui sont souvent éloignés de l’endroit où l’appareil client est en fait utilisé. Actuellement, la conversion de l’adresse IP en un emplacement physique constitue la meilleure solution pour les suivis, les données de registre, les recherches inversées et d’autres informations.

Le tableau suivant fournit les options et les descriptions de l’option de filtre Application cliente.

Notes

Pour des raisons de confidentialité, Azure AD ne renseigne pas ce champ pour le locataire d’accueil dans le cas d’un scénario interlocataire.

Nom Authentification moderne Description
SMTP authentifié Utilisé par les clients POP et IMAP pour envoyer des e-mails.
Découverte automatique Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
Exchange ActiveSync Ce filtre affiche toutes les tentatives de connexion où le protocole EAS a été utilisé.
Browser Coche bleue Affiche toutes les tentatives de connexion d’utilisateurs à l’aide de navigateurs web
Exchange ActiveSync Affiche toutes les tentatives de connexion d’utilisateurs avec des applications clientes utilisant Exchange ActiveSync pour se connecter à Exchange Online
Exchange Online PowerShell Utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.
Exchange Web Services Interface de programmation utilisée par Outlook, Outlook pour Mac et des applications tierces.
IMAP4 Un client de messagerie hérité qui utilise IMAP pour récupérer le courrier électronique.
MAPI sur HTTP Utilisé par Outlook 2010 et versions ultérieures.
Applications mobiles et clients de bureau Coche bleue Affiche toutes les tentatives de connexion d’utilisateurs à l’aide d’applications mobiles et de clients de bureau.
Carnet d’adresses en mode hors connexion Copie des collections de listes d’adresses téléchargées et utilisées par Outlook.
Outlook Anywhere (RPC sur HTTP) Utilisé par Outlook 2016 et versions antérieures.
Service Outlook Utilisé par l’application Courrier et Calendrier pour Windows 10.
POP3 Un client de messagerie hérité qui utilise POP3 pour récupérer le courrier électronique.
Reporting Web Services Utilisé pour récupérer des données de rapports dans Exchange Online.
Autres clients Affiche toutes les tentatives de connexion d’utilisateurs où l’application cliente n’est pas incluse ou connue.

Analyser les journaux de connexions

Maintenant que votre tableau de journaux de connexions est mise en forme de manière appropriée, vous pouvez analyser plus efficacement les données. Certains scénarios courants sont décrits ici, mais ils ne sont pas les seuls moyens d’analyser les données de connexion. Il est possible d’analyser et de conserver davantage les données de connexion en exportant les journaux vers d’autres outils.

Codes d’erreur des connexions

Si une connexion a échoué, vous pouvez obtenir plus d’informations sur la raison de cet échec dans la section Informations de base de l’élément de journal correspondant. Le code d’erreur et la raison de l’échec associé apparaissent dans les détails. En raison de la complexité de certains environnements Azure AD, nous ne pouvons pas documenter tous les codes d’erreur et résolutions possibles. Certaines erreurs peuvent demander l’envoi d’une demande de support pour résoudre le problème.

Capture d’écran d’un code d’erreur de connexion.

Pour obtenir la liste des codes d’erreur liés à l’authentification et aux autorisations Azure AD, consultez l’article Codes d’erreur d’authentification et d’autorisation Azure AD. Dans certains cas, l’outil de recherche d’erreur de connexion peut fournir des étapes de correction. Entrez le code d’erreur fourni dans les détails du journal de connexions dans l’outil, puis sélectionnez le bouton Envoyer.

Capture d’écran de l’outil de recherche de code d’erreur.

Informations sur l’authentification

L’onglet Détails d’authentification dans les détails d’un journal de connexions fournit les informations suivantes pour chaque tentative d’authentification :

  • Une liste des stratégies d’authentification appliquées, comme l’accès conditionnel ou les valeurs par défaut de la sécurité.
  • Une liste des stratégies de durée de vie de session appliquées, comme Fréquence de connexion ou Mémoriser MFA.
  • La séquence des méthodes d’authentification utilisées pour la connexion.
  • Si la tentative d’authentification a réussi et pourquoi.

Ces informations vous permettent de dépanner chaque étape de la connexion d’un utilisateur. Utilisez ces détails pour suivre :

  • Le volume de connexions protégées par MFA.
  • La raison de l’invite d’authentification en fonction des stratégies de durée de vie de session.
  • L’utilisation et le taux de réussite de chaque méthode d’authentification.
  • L’utilisation de méthodes d’authentification sans mot de passe, comme la connexion par téléphone sans mot de passe, FIDO2 et Windows Hello Entreprise.
  • La fréquence à laquelle les conditions d’authentification sont remplies par des revendications de jeton, comme quand les utilisateurs ne sont pas invités de manière interactive à entrer un mot de passe ou à entrer un mot de passe à usage unique par SMS.

Lors de l’affichage du journal de connexions, sélectionnez un événement de connexion, puis l’onglet Détails d’authentification.

Capture d’écran de l’onglet Informations sur l’authentification

Lorsque vous analysez les détails de l’authentification, notez les détails suivants :

  • Le code de vérification OATH est consigné comme méthode d’authentification pour les jetons matériels et logiciels OATH (par exemple, l’application Microsoft Authenticator).
  • L’onglet Détails d’authentification peut commencer par afficher des données incomplètes ou inexactes, jusqu’à ce que les informations du journal soient entièrement agrégées. Voici quelques exemples connus :
    • Un message Satisfaite par une revendication dans le jeton s’affiche de manière incorrecte lors de la journalisation initiale des événements de connexion.
    • Initialement, la ligne Authentification principale n’est pas consignée.
  • Si vous n’êtes pas sûr d’un détail dans les journaux, rassemblez l’ID de demande et l’ID de corrélation à utiliser pour l’analyse ou la résolution des problèmes.

Considérations relatives aux connexions d’authentification multifacteur (MFA)

Lorsqu’un utilisateur se connecte à l’aide de l’authentification multifacteur, plusieurs événements MFA distincts se produisent. Par exemple, si un utilisateur entre un code de validation incorrect ou ne répond pas à temps, d’autres événements MFA sont envoyés pour refléter l’état le plus récent de la tentative de connexion. Ces événements de connexion s’affichent sous la forme d’un élément de ligne dans les journaux de connexion Azure AD. Ce même événement de connexion dans Azure Monitor apparaît toutefois sous la forme de plusieurs éléments de ligne. Ces événements ont tous le même correlationId.

Données de connexion utilisées par d’autres services

Les données de connexion sont utilisées par plusieurs services dans Azure pour surveiller les connexions risquées et fournir des informations sur l’utilisation des applications.

Données de connexions risquées dans Azure AD Identity Protection

La visualisation des données de journal de connexions liées aux connexions risquées est disponible dans la vue d’ensemble d’Azure AD Identity Protection, qui utilise les données suivantes :

  • Utilisateurs à risque
  • Connexions des utilisateurs à risque
  • Principaux de service à risque
  • Connexions des principaux de service à risque

Pour plus d’informations sur les outils Azure AD Identity Protection, consultez la Vue d’ensemble d’Azure AD Identity Protection.

Capture d’écran des utilisateurs à risque dans Identity Protection.

Activité de connexion d’application et d’authentification Azure AD

Pour afficher les données de connexion spécifiques à une application, accédez à Azure AD et sélectionnez Utilisation et insights dans la section Supervision. Ces rapports permettent d’examiner de plus près les connexions de l’activité des applications Azure AD et de l’activité des applications AD FS. Pour plus d’informations, consultez Utilisation et insights Azure AD.

Capture d’écran du rapport d’activité des applications Azure AD.

Dans Azure AD, Utilisation et insights fournit également le rapport Activité des méthodes d’authentification, qui détaille l’authentification par la méthode utilisée. Utilisez ce rapport pour voir combien de vos utilisateurs sont configurés avec l’authentification MFA ou sans mot de passe.

Capture d’écran du rapport Méthodes d’authentification.

Journaux d’activité Microsoft 365

Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Les journaux d’activité Microsoft 365 et Azure AD partagent un nombre important de ressources d’annuaire. Seul le centre d’administration Microsoft 365 fournit une vue complète des journaux d’activité d’Microsoft 365.

Vous pouvez accéder programmatiquement aux journaux d’activité Microsoft 365 en utilisant les API de gestion Microsoft 365.

Étapes suivantes