Qu’est-ce que le diagnostic de connexion dans Microsoft Entra ID ?

La détermination de la raison de l’échec de la connexion peut rapidement devenir une tâche difficile. Vous devez analyser ce qui s’est produit lors de la tentative de connexion et rechercher les recommandations disponibles pour résoudre le problème. Dans l’idéal, vous voulez résoudre le problème sans avoir à solliciter d’autres personnes, par exemple le support Microsoft. Si vous vous trouvez dans un cas similaire, vous pouvez utiliser le diagnostic de connexion de Microsoft Entra ID, un outil qui vous aide à analyser les connexions dans Microsoft Entra ID.

Cet article offre une vue d’ensemble du diagnostic de connexion et de la façon dont vous pouvez l’utiliser pour résoudre les erreurs liées à la connexion.

Prérequis

Pour utiliser le diagnostic de connexion :

• Vous devez être connecté comme Lecteur général au minimum.
• Certaines informations de journal de connexion peuvent nécessiter d’autres rôles, tels que l’administrateur de l’accès conditionnel.
• Les événements de connexion marqués d’un indicateur peuvent également être examinés à partir du diagnostic de connexion.
  • Les événements de connexion marqués d’un indicateur sont capturés après qu'un utilisateur a activé le marquage lors de son expérience de connexion.
  • Pour plus d’informations, consultez Connexions marquées d’un indicateur.

Comment cela fonctionne-t-il ?

Dans Microsoft Entra ID, les tentatives de connexion sont contrôlées par :

• L’auteur de la tentative de connexion.
• La méthode employée pour tenter d’établir la connexion.

Par exemple, vous pouvez configurer des stratégies d’accès conditionnel qui permettent aux administrateurs de configurer tous les aspects du locataire lors de la connexion à partir du réseau d’entreprise. En revanche, ce même utilisateur peut très bien être bloqué lorsqu’il se connecte avec le même compte à partir d’un réseau non approuvé.

Compte tenu de la plus grande capacité du système à répondre avec souplesse à une tentative de connexion, vous pouvez vous retrouver dans des scénarios où vous devez résoudre les problèmes de connexion. L’outil de diagnostic de connexion permet de diagnostiquer les problèmes de connexion avec :

• Analyse des données des événements de connexion et des connexions marquées d’un indicateur.
• Affichage d’informations sur ce qui s’est produit.
• Recommandations pour résoudre les problèmes.

Guide pratique pour accéder au diagnostic de connexion

Il existe trois façons d'accéder au diagnostic de connexion dans Microsoft Entra ID. Sélectionnez un onglet pour en savoir plus sur chaque méthode.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Depuis Diagnostiquer et résoudre les problèmes

Vous pouvez lancer le diagnostic de connexion depuis la zone Diagnostiquer et résoudre les problèmes de Microsoft Entra ID. Depuis Diagnostiquer et résoudre les problèmes, vous pouvez examiner les événements de connexion marqués d’un indicateur ou rechercher un événement de connexion spécifique. Vous pouvez également lancer ce processus depuis la zone Diagnostiquer et résoudre les problèmes de l’accès conditionnel.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant que Lecteur global.

2. Accédez à Diagnostiquer et résoudre les problèmes en haut de la navigation de gauche.

   

   • Vous pouvez également accéder à Diagnostiquer et résoudre les problèmes à partir de l’accès conditionnel, des utilisateurs, des groupes, de la protection des identités et de l’authentification multifacteur.

3. Sélectionnez le lien Résoudre les problèmes dans la vignette Diagnostic de connexion.

   

4. Sélectionnez l’onglet Tous les événements de connexion pour lancer une recherche.

   • Dans certains cas, le système commence automatiquement à rechercher des événements de connexion marqués d’un indicateur. Si rien n’est trouvé, vous êtes redirigé vers l’onglet Tous les événements de connexion.

5. Entrez autant de détails que possible dans les champs de recherche.

   • Utilisateur : indiquez le nom ou l’adresse e-mail de l’auteur de la tentative de connexion.
   • Application : indiquez le nom d’affichage de l’application ou son ID.
   • correlationId ou requestId : ces détails se trouvent dans le rapport d’erreur ou dans les détails du journal de connexion.
   • Date et heure : indiquez une date et une heure pour rechercher les événements de connexion qui se sont produits dans un intervalle de 48 heures.

6. Cliquez sur le bouton Suivant.

7. Explorez les résultats et prenez les mesures nécessaires.

Depuis les journaux de connexion

Vous pouvez lancer le diagnostic de connexion à partir d’un événement de connexion spécifique dans les journaux de connexion. Lorsque vous démarrez le processus à partir d’un événement de connexion spécifique, le diagnostic démarre immédiatement. Vous n’êtes pas invité au préalable à entrer des détails.

1. Accédez à Identité>Surveillance et intégrité>Journaux de connexion, et sélectionnez un événement de connexion.

   • Vous pouvez filtrer votre liste pour trouver plus facilement des événements de connexion spécifiques.

2. Dans la fenêtre Détails de l’activité qui s’ouvre, sélectionnez le lien Lancer le diagnostic de connexion.

   

3. Explorez les résultats et prenez les mesures nécessaires.

Depuis une demande de support

Si vous êtes en train de créer une demande de support et que les options que vous avez sélectionnées sont liées à l'activité de connexion, vous êtes appelé à exécuter les diagnostics de connexion pendant le processus de demande de support.

1. Accédez à Diagnostiquer et résoudre les problèmes.

2. Sélectionnez les champs appropriés, le cas échéant. Par exemple :

   • Type de service : connexion Microsoft Entra et authentification multifacteur
   • Type de problème : authentification multifacteur
   • Sous-type de problème : impossible de se connecter à une application en raison de l’authentification MFA

3. Explorez les résultats et prenez les mesures nécessaires.

Comment utiliser les résultats du diagnostic

Une fois que le diagnostic de connexion a terminé sa recherche, quelques éléments s’affichent à l’écran.

Le Récapitulatif d’authentification liste tous les événements qui correspondent aux détails que vous avez fournis. Sélectionnez l’option Afficher les colonnes dans le coin supérieur droit du résumé pour changer l’affichage des colonnes.

Les Résultats de diagnostic décrivent ce qui s’est passé pendant les événements de connexion.

• Les scénarios peuvent inclure des exigences MFA d’une stratégie d’accès conditionnel, des événements de connexion pouvant nécessiter l’application d’une stratégie d’accès conditionnel ou un grand nombre de tentatives de connexion infructueuses au cours des dernières 48 heures.

• Du contenu connexe et des liens vers des outils de dépannage peuvent être fournis.

• Parcourez les résultats pour identifier les mesures que vous pouvez prendre.

• La résolution d’un problème sans aide supplémentaire n’étant pas toujours possible, il peut s’avérer souhaitable d’ouvrir un ticket de support.

  

Scénarios courants

Passez en revue les conseils de la section suivante pour certains scénarios courants où le diagnostic de connexion peut fournir des informations de dépannage utiles.

Accès conditionnel

Les stratégies d’accès conditionnel permettent d’appliquer les contrôles d’accès appropriés pour garantir la sécurité de votre organisation. Étant donné que les stratégies d’accès conditionnel peuvent être utilisées pour octroyer ou bloquer l’accès aux ressources, elles apparaissent souvent dans le diagnostic de connexion.

• Bloqué par un accès conditionnel : Vos stratégies d’accès conditionnel ont empêché l’utilisateur de se connecter.

• Échec de l’accès conditionnel : Il est possible que vos stratégies d’accès conditionnel soient trop strictes. Passez en revue vos configurations pour obtenir des ensembles complets d’utilisateurs, de groupes et d’applications. Assurez-vous de comprendre les implications de la restriction de l’accès à partir de certains types d’appareils.

• Authentification multifacteur (MFA) à partir de l’accès conditionnel : vos stratégies d’accès conditionnel ont déclenché le processus MFA pour l’utilisateur.

• Connexion bloquée B2B en raison d’un accès conditionnel : Vous disposez d’une stratégie d’accès conditionnel pour bloquer la connexion des identités externes.

Authentification multifacteur

Il existe plusieurs événements connexes à l’authentification multifacteur (MFA) que vous pouvez résoudre à l’aide de l’outil de diagnostic de connexion.

• MFA à partir d’autres exigences : Si les résultats du diagnostic de connexion ont montré la MFA pour une exigence autre que l’accès conditionnel, la MFA peut être activée par l’utilisateur. Nous vous recommandons de convertir la MFA par utilisateur en accès conditionnel. Le diagnostic de connexion fournit des détails sur la source de l’interruption MFA et le résultat de l’interaction.

• MFA « proofup » : L’authentification multifacteur a interrompu la tentative de connexion, de sorte que les informations sur « proofup » sont fournies dans les résultats de diagnostic. Cette erreur s’affiche lorsque les utilisateurs configurent l’authentification multifacteur pour la première fois et ne terminent pas l’installation ou que leur configuration n’a pas été effectuée à l’avance.

  

• Identifiants correctes et incorrectes : parfois, il suffit que les utilisateurs entrent des identifiants incorrects. L’outil de diagnostic de connexion peut aider à faire la distinction entre une erreur humaine et d’autres problèmes.

• Connexion réussie : Dans certains cas, vous souhaitez savoir si les événements de connexion ne sont pas interrompus par l’accès conditionnel ou l’authentification multifacteur, alors qu’ils devraient l’être. L’outil de diagnostic de connexion fournit des détails sur les événements de connexion qui doivent être interrompus, mais qui ne le sont pas.

• Compte bloqué : un utilisateur a trop souvent tenté de se connecter avec des identifiants incorrects. Les résultats de diagnostic aident à déterminer l’origine des tentatives et s’il s’agit de tentatives légitimes de connexion de l’utilisateur ou pas. Des détails sont fournis sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP. Pour plus d’informations, consultez Microsoft Entra Smart Lockout.

• Nom d’utilisateur ou mot de passe non valide : lorsqu’un utilisateur tente de se connecter à l’aide d’un nom d’utilisateur ou d’un mot de passe non valide, le diagnostic de connexion fournit des détails sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP. Ces informations permettent de déterminer si l’utilisateur a entré des identifiants incorrects ou si l’application a mis en cache un ancien mot de passe et qu’elle le soumette à nouveau.

Applications d’entreprise

Dans les applications d’entreprise, des problèmes peuvent se produire avec la configuration de l’application du fournisseur d’identité (Microsoft Entra ID) ou le fournisseur de services (service d’application, également appelé configuration d’application SaaS)

• Fournisseur de services d’applications d’entreprise : si la connexion a échoué en raison d’un problème avec le côté fournisseur de services (application) du flux de connexion, le problème est résolu en corrigeant les problèmes sur le service d’application. Vous devez vous connecter à l’autre service et modifier une configuration conformément aux instructions de diagnostic.

• Configuration des applications d’entreprise : si la connexion a échoué en raison d’un problème de configuration du côté Microsoft Entra ID de l’application, vous devez examiner et mettre à jour la configuration de l’application dans les applications d’entreprise.

Paramètres de sécurité par défaut

Les événements de connexion peuvent être interrompus en raison des paramètres de sécurité par défaut. Les paramètres de sécurité par défaut appliquent les meilleures pratiques en matière de sécurité pour votre organisation. Une meilleure pratique consiste à exiger la configuration de l’authentification multifacteur (MFA) et son utilisation pour empêcher les pulvérisations de mots de passe, les attaques par rejeu et les tentatives d’hameçonnage d’aboutir.

Pour plus d’informations, consultez Que sont les paramètres de sécurité par défaut ?

Aperçus du code d’erreur

Lorsqu’un événement ne dispose pas d’une analyse contextuelle dans le diagnostic de connexion, une explication mise à jour du code d’erreur et un contenu pertinent peuvent être affichés. Les insights du code d’erreur contiennent du texte détaillé sur le scénario, comment corriger le problème et tout le contenu à lire concernant le problème.

Authentification héritée

Ce scénario implique un événement de connexion qui a été bloqué ou interrompu parce que le client tentait d’utiliser l’authentification héritée (ou de base).

Empêcher l’ouverture de session par l’ancienne authentification est recommandé comme meilleure pratique en matière de sécurité. Les protocoles d’authentification hérités, comme POP, SMTP, IMAP et MAPI, ne peuvent pas appliquer l’authentification multifacteur (MFA), ce qui en fait des points d’entrée privilégiés pour les personnes malveillantes qui cherchent à attaquer votre organisation.

Pour plus d’informations, consultez Comment bloquer l’authentification héritée sur Microsoft Entra ID avec l’accès conditionnel.

Connexion bloquée B2B en raison de l’accès conditionnel

Ce scénario de diagnostic détecte une connexion bloquée ou interrompue, car l’utilisateur appartient à une autre organisation. Par exemple, une connexion B2B, dans laquelle une stratégie d’accès conditionnel exige que l’appareil du client soit joint au client de ressources.

Pour plus d’informations, voir Accès conditionnel pour les utilisateurs de B2B Collaboration.

Bloqué par la stratégie de risque

Dans ce scénario, la stratégie de protection de l’identité bloque une tentative de connexion en raison de la tentative de connexion identifiée comme risquée.

Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.

Authentification directe

Étant donné que l’authentification directe est une intégration des technologies d’authentification locale et cloud, il peut être difficile de déterminer où se trouve le problème. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.

Ce scénario de diagnostic identifie les problèmes de connexion spécifiques à l’utilisateur lorsque la méthode d’authentification utilisée est l’authentification directe (PTA) et qu’il existe une erreur spécifique à cette authentification. Des erreurs liées à d’autres problèmes, même lorsque l’authentification PTA est utilisée, seront quand même diagnostiquées correctement.

Les résultats du diagnostic affichent des informations contextuelles sur la défaillance et la connexion de l’utilisateur. Les résultats peuvent indiquer d’autres raisons pour lesquelles la connexion a échoué et les actions recommandées par l’administrateur pour résoudre le problème. Pour plus d’informations, consultez Microsoft Entra Connect : Résolution des problèmes d’authentification directe.

Authentification unique transparente

L’authentification unique transparente intègre l’authentification Kerberos à l’authentification cloud. Comme ce scénario implique deux protocoles d’authentification, vous pouvez avoir du mal à déterminer à quel niveau se situe le point de défaillance en cas de problèmes de connexion. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.

Ce scénario de diagnostic examine le contexte de la défaillance de connexion et la cause de la défaillance spécifique. Les résultats du diagnostic peuvent inclure des informations contextuelles sur la tentative de connexion et des actions suggérées que l’administrateur peut effectuer. Pour plus d’informations, consultez Résoudre des problèmes d’authentification unique transparente Microsoft Entra.

Contenu connexe

• Diagnostics de connexion pour les scénarios Microsoft Entra
• En savoir plus sur les connexions marquées d’un indicateur
• Résoudre les erreurs de connexion