Qu’est-ce que le diagnostic de connexion dans Microsoft Entra ID ?

La détermination de la raison de l’échec de la connexion peut rapidement devenir une tâche difficile. Vous devez analyser ce qui s’est produit lors de la tentative de connexion et rechercher les recommandations disponibles pour résoudre le problème. Dans l’idéal, il est préférable de résoudre le problème sans impliquer autrui, comme le support Microsoft. Si vous vous trouvez dans un cas similaire, vous pouvez utiliser le diagnostic de connexion de Microsoft Entra ID, un outil qui vous aide à analyser les connexions dans Microsoft Entra ID.

Cet article vous donne une vue d’ensemble du diagnostic de connexion et de la façon dont vous pouvez l’utiliser pour résoudre les erreurs liées à la connexion.

Prerequisites

• Le rôle le moins privilégié pour utiliser le diagnostic de connexion à partir d’une demande de support ou diagnostiquer et résoudre les problèmes est l’administrateur de facturation.
• Pour utiliser le diagnostic de connexion à partir des journaux de connexion, vous avez ÉGALEMENT besoin d’un lecteur de rapports.
• Pour obtenir la liste complète des rôles, consultez Rôle privilégié minimum par tâche.
• Les événements de connexion marqués d’un indicateur peuvent également être examinés à partir du diagnostic de connexion.
  • Les événements de connexion avec indicateur sont capturés après qu’un utilisateur a activé l’indicateur pendant son expérience de connexion.
  • Pour plus d’informations, consultez Connexions marquées d‘un indicateur.

Comment fonctionne-t-il ?

Dans Microsoft Entra ID, les tentatives de connexion sont contrôlées par :

• Qui a effectué une tentative de connexion.
• Comment une tentative de connexion a été effectuée.

Par exemple, vous pouvez configurer des stratégies d’accès conditionnel qui permettent aux administrateurs de configurer tous les aspects du locataire lorsqu’ils se connectent à partir du réseau d’entreprise. En revanche, ce même utilisateur peut très bien être bloqué lorsqu’il se connecte avec le même compte à partir d’un réseau non approuvé.

En raison de la très grande flexibilité du système qui permet de répondre à une tentative de connexion, vous pouvez vous retrouver dans des scénarios où il vous faut résoudre des problèmes de connexion. L‘outil de diagnostic de connexion permet le diagnostic de problèmes de connexion avec :

• Analyse des données des événements de connexion et des connexions marquées d’un indicateur.
• Affichage d’informations sur ce qui s’est produit.
• Recommandations pour résoudre les problèmes.

Guide pratique pour accéder au diagnostic de connexion

Il existe trois façons d'accéder au diagnostic de connexion dans Microsoft Entra ID. Sélectionnez un onglet pour en savoir plus sur chaque méthode.

À partir de Diagnostiquer et résoudre les problèmes

Vous pouvez démarrer le diagnostic de connexion à partir de la zone Diagnostiquer et résoudre les problèmes de Microsoft Entra ID. À partir de Diagnostiquer et résoudre les problèmes, vous pouvez examiner les événements de connexion marqués d’un indicateur ou rechercher un événement de connexion spécifique. Vous pouvez également lancer ce processus depuis la zone Diagnostiquer et résoudre les problèmes de l’accès conditionnel.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur global au moins.

2. Accédez à Diagnostiquer et résoudre les problèmes en haut de la navigation de gauche.

   

   • Vous pouvez également accéder à Diagnostiquer et résoudre les problèmes à partir de l’accès conditionnel, des utilisateurs, des groupes, de la protection des identités et de l’authentification multifacteur.

3. Sélectionnez le lien Résoudre les problèmes dans la vignette Diagnostic de connexion.

   

4. Sélectionnez l’onglet Tous les événements Sign-In pour démarrer une recherche.

   • Dans certains cas, le système commence automatiquement à rechercher des événements de connexion marqués d’un indicateur. Si rien n’est trouvé, vous êtes redirigé vers l’onglet Tous les événements Sign-In .

5. Entrez autant de détails que possible dans les champs de recherche.

   • Utilisateur : indiquez le nom ou l’adresse e-mail de qui a effectué la tentative de connexion.
   • Application : indiquez le nom complet de l’application ou l’ID d’application.
   • correlationId ou requestId : ces détails sont disponibles dans le rapport d’erreurs ou les détails du journal de connexion.
   • Date et heure : indiquez une date et une heure pour rechercher les événements de connexion qui se sont produits dans les 48 heures.

6. Cliquez sur le bouton Suivant.

7. Explorez les résultats et prenez les mesures nécessaires.

À partir des journaux de connexion

Vous pouvez lancer le diagnostic de connexion à partir d’un événement de connexion spécifique dans les journaux de connexion. Lorsque vous démarrez le processus à partir d’un événement de connexion spécifique, le diagnostic démarre immédiatement. Vous n’êtes pas invité au préalable à entrer des détails.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.

2. Accédez à Entra ID>Surveillance et santé>journaux de connexion et sélectionnez un événement de connexion.

   • Vous pouvez filtrer votre liste pour trouver plus facilement des événements de connexion spécifiques.

3. Dans la fenêtre Détails de l'activité qui s'ouvre, sélectionnez le lien Lancer le diagnostic de connexion.

   

4. Explorez les résultats et prenez les mesures nécessaires.

À partir d’une demande de support

Si vous êtes au milieu de la création d’une demande de support et des options que vous avez sélectionnées sont liées à l’activité de connexion, vous êtes invité à exécuter les diagnostics de connexion pendant le processus de demande de support.

1. Accédez à Diagnostiquer et résoudre les problèmes.

2. Sélectionnez les champs appropriés, le cas échéant. Par exemple :

   • Type de service : Connexion Microsoft Entra et authentification multifacteur
   • Type de problème : Authentification multifacteur
   • Sous-type de problème : Impossible de se connecter à une application en raison de l’authentification multifacteur

3. Explorez les résultats et prenez les mesures nécessaires.

Comment utiliser les résultats du diagnostic

Une fois que le diagnostic de connexion a terminé sa recherche, plusieurs éléments s’affichent à l’écran.

Le résumé de l’authentification répertorie tous les événements qui correspondent aux détails que vous avez fournis. Sélectionnez l’option Afficher les colonnes dans le coin supérieur droit du résumé pour modifier les colonnes qui s’affichent.

Les résultats de diagnostic décrivent ce qui s’est passé pendant les événements de connexion.

• Les scénarios peuvent inclure des exigences MFA d’une stratégie d’accès conditionnel, des événements de connexion pouvant nécessiter l’application d’une stratégie d’accès conditionnel ou un grand nombre de tentatives de connexion infructueuses au cours des dernières 48 heures.

• Du contenu connexe et des liens vers des outils de dépannage peuvent être fournis.

• Parcourez les résultats pour identifier les mesures que vous pouvez prendre.

• La résolution d’un problème sans aide supplémentaire n’étant pas toujours possible, il peut s’avérer souhaitable d’ouvrir un ticket de support.

  

Scénarios courants

Passez en revue les conseils de la section suivante pour prendre connaissance de scénarios courants où le diagnostic de connexion peut fournir des informations de dépannage utiles.

Accès conditionnel

Des stratégies d’accès conditionnel sont utilisées pour appliquer les contrôles d’accès appropriés pour garantir la sécurité de votre organisation. Étant donné que des stratégies d’accès conditionnel peuvent être utilisées pour octroyer ou bloquer l’accès aux ressources, elles apparaissent souvent dans le diagnostic de connexion.

• Bloqué par l’accès conditionnel : vos stratégies d’accès conditionnel ont empêché l’utilisateur de se connecter.

• Échec de l’accès conditionnel : il est possible que vos stratégies d’accès conditionnel soient trop strictes. Passez en revue vos configurations pour obtenir des ensembles complets d’utilisateurs, de groupes et d’applications. Assurez-vous de comprendre les implications de la restriction de l’accès à partir de certains types d’appareils.

• Authentification multifacteur (MFA) à partir de l’accès conditionnel : vos stratégies d’accès conditionnel ont déclenché le processus MFA pour l’utilisateur.

• Connexion B2B bloquée en raison de l'application d'une stratégie d'accès conditionnel : vous avez mis en place une stratégie d'accès conditionnel pour empêcher les identités externes de se connecter.

Authentification multifacteur

Il existe plusieurs événements connexes à l’authentification multifacteur (MFA) que vous pouvez résoudre à l’aide de l’outil de diagnostic de connexion.

• Authentification multifacteur à partir d’autres exigences : si les résultats ont montré l’authentification multifacteur à partir d’une exigence autre que l’accès conditionnel, vous avez peut-être activé l’authentification multifacteur par utilisateur. Nous vous recommandons de convertir l’authentification multifacteur (MFA) par utilisateur en accès conditionnel. Le diagnostic de connexion fournit des détails sur la source de l’interruption MFA et le résultat de l’interaction.

• Vérification de l’authentification multifacteur (« proofup ») : L’authentification multifacteur a interrompu la tentative de connexion, et les informations sur « proofup » sont fournies dans les résultats de diagnostic. Cette erreur s’affiche lorsque les utilisateurs configurent l’authentification multifacteur pour la première fois et ne terminent pas l’installation ou que leur configuration n’a pas été effectuée à l’avance.

  

• Informations d’identification correctes et incorrectes : parfois, les utilisateurs entrent simplement les informations d’identification incorrectes. L’outil de diagnostic de connexion peut aider à faire la distinction entre une erreur humaine et d’autres problèmes.

• Connexion réussie : Dans certains cas, vous souhaitez savoir si les événements de connexion ne sont pas interrompus par l'Accès conditionnel ou l'authentification multifacteur, alors qu'ils devraient l'être. L’outil de diagnostic de connexion fournit des détails sur les événements de connexion qui devraient être interrompus mais ne le sont pas.

• Compte verrouillé : un utilisateur a tenté de se connecter avec des informations d’identification incorrectes trop de fois. Les résultats de diagnostic aident à déterminer l’origine des tentatives et s’il s’agit ou non de tentatives légitimes de connexion de l’utilisateur. Des détails sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP sont fournis. Pour plus d’informations, consultez Microsoft Entra Smart Lockout.

• Nom d’utilisateur ou mot de passe non valide : lorsqu’un utilisateur tente de se connecter à l’aide d’un nom d’utilisateur ou d’un mot de passe non valide, le diagnostic de connexion fournit des détails sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP. Ces informations permettent de déterminer si l’utilisateur a entré des identifiants incorrects ou si l’application a mis en cache un ancien mot de passe qu’elle soumet à nouveau.

Applications d’entreprise

Dans les applications d’entreprise, des problèmes peuvent se produire au niveau de la configuration de l’application du fournisseur d’identité (Microsoft Entra ID) ou du fournisseur de services (service d’application, appelé aussi application SaaS)

• Fournisseur de services d’applications d’entreprise : si la connexion a échoué en raison d’un problème avec le côté fournisseur de services (application) du flux de connexion, le problème est résolu en corrigeant les problèmes sur le service d’application. Vous devez vous connecter à l’autre service et modifier une configuration conformément aux instructions de diagnostic.

• Configuration des applications d’entreprise : si la connexion a échoué en raison d’un problème de configuration du côté Microsoft Entra ID de l’application, vous devez examiner et mettre à jour la configuration de l’application dans les applications d’entreprise.

Paramètres de sécurité par défaut

Les événements de connexion peuvent être interrompus en raison des paramètres de sécurité par défaut. Les paramètres de sécurité par défaut appliquent les bonnes pratiques en matière de sécurité pour votre organisation. Une meilleure pratique consiste à exiger la configuration de l’authentification multifacteur (MFA) et son utilisation pour empêcher les pulvérisations de mots de passe, les attaques par rejeu et les tentatives d’hameçonnage d’aboutir.

Pour plus d’informations, consultez Quelles sont les valeurs par défaut de sécurité ?.

Insights du code d’erreur

Lorsqu’un événement ne dispose pas d’une analyse contextuelle dans le diagnostic de la connexion, une explication de code d’erreur mise à jour et du contenu pertinent pourraient s’afficher. Les insights du code d’erreur contiennent du texte détaillé sur le scénario, comment corriger le problème et tout le contenu à lire concernant le problème.

Authentification héritée

Ce scénario implique un événement de connexion qui a été bloqué ou interrompu parce que le client tentait d’utiliser l’authentification héritée (ou de base).

Il est recommandé d’empêcher la connexion d’authentification héritée pour des raisons de sécurité. Des protocoles d’authentification hérités, tels que POP, SMTP, IMAP et MAPI, ne peuvent pas appliquer une authentification multifacteur, ce qui en fait des points d’entrée de prédilection pour des attaques dirigées contre votre organisation.

Pour plus d’informations, consultez Comment bloquer l’authentification héritée auprès de Microsoft Entra ID avec accès conditionnel.

Connexion bloquée B2B due à un accès conditionnel

Ce scénario de diagnostic détecte une connexion bloquée ou interrompue, car l’utilisateur appartient à une autre organisation. Par exemple, une connexion B2B, où une stratégie d’accès conditionnel exige que l’appareil du client soit joint au locataire de ressources.

Pour plus d’informations, consultez Accès conditionnel pour les utilisateurs B2B Collaboration.

Bloqué par la stratégie de risque

Dans ce scénario, la stratégie de protection de l’identité bloque une tentative de connexion en raison de la tentative de connexion identifiée comme risquée.

Pour plus d’informations, consultez Comment configurer et activer des stratégies de risque.

Authentification directe

Étant donné que l’authentification directe est une intégration des technologies d’authentification locale et cloud, il peut être difficile de déterminer où se trouve le problème. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.

Ce scénario de diagnostic identifie les problèmes de connexion spécifiques à l’utilisateur lorsque la méthode d’authentification utilisée est l’authentification directe (PTA, pass through authentication) et qu’il existe une erreur spécifique à cette authentification. Des erreurs liées à d’autres problèmes, même lorsque l’authentification PTA est utilisée, seront quand même diagnostiquées correctement.

Les résultats du diagnostic affichent des informations contextuelles sur l’échec et la connexion de l’utilisateur. Les résultats peuvent indiquer d’autres raisons pour lesquelles la connexion a échoué et les actions recommandées par l’administrateur pour résoudre le problème. Pour plus d’informations, consultez Microsoft Entra Connect : Résoudre les problèmes d’authentification directe.

Authentification unique transparente

L’authentification unique transparente intègre l’authentification Kerberos à l’authentification cloud. Comme ce scénario implique deux protocoles d’authentification, il peut être difficile de déterminer à quel niveau se situe le point d’échec en cas de problèmes de connexion. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.

Ce scénario de diagnostic examine le contexte de l’échec de connexion et la cause de l’échec spécifique. Les résultats du diagnostic peuvent inclure des informations contextuelles sur la tentative de connexion et des actions suggérées que l’administrateur peut effectuer. Pour plus d’informations, consultez Résoudre les problèmes liés à l’authentification unique transparente Microsoft Entra.

Contenu associé

• Diagnostics de connexion pour les scénarios Microsoft Entra
• En savoir plus sur les connexions signalées
• Résoudre les erreurs de connexion