Partage via


Connexions avec un classeur à authentification héritée

Vous êtes-vous déjà demandé comment déterminer si cela pose problème de désactiver l’authentification héritée dans votre locataire ? Les connexions à l’aide du classeur à authentification héritée vous aident à répondre à cette question.

Cet article vous propose une vue d’ensemble du classeur Connexions utilisant une authentification héritée.

Prérequis

Pour utiliser Azure Workbooks pour Microsoft Entra ID, vous avez besoin :

  • D’un locataire Microsoft Entra avec une licence Premium P1
  • D’un espace de travail Log Analytics et d’un accès à cet espace de travail
  • Des rôles appropriés pour Azure Monitor et Microsoft Entra ID

Espace de travail Log Analytics

Vous devez créer un espace de travail Log Analytics avant de pouvoir utiliser les classeurs Microsoft Entra. Plusieurs facteurs déterminent l’accès aux espaces de travail Log Analytics. Vous avez besoin des rôles appropriés pour l’espace de travail et des ressources qui envoient les données.

Pour plus d’informations, consultez Gérer l’accès aux espaces de travail Log Analytics.

Rôles Azure Monitor

Azure Monitor fournit deux rôles intégrés pour l’affichage des données de surveillance et la modification des paramètres de supervision. Le contrôle d’accès en fonction du rôle (RBAC) Azure fournit également deux rôles Log Analytics intégrés qui accordent un accès similaire.

  • Affichage :

    • Lecteur d’analyse
    • Lecteur Log Analytics
  • Afficher et modifier les paramètres :

    • Contributeur de surveillance
    • Contributeur Log Analytics

Rôles Microsoft Entra

L’accès en lecture seule vous permet d’afficher les données du journal Microsoft Entra ID dans un classeur, d’interroger les données de Log Analytics ou de lire les journaux dans le centre d’administration Microsoft Entra. L’accès aux mises à jour ajoute la possibilité de créer et de modifier des paramètres de diagnostic pour envoyer des données Microsoft Entra à un espace de travail Log Analytics.

  • Lecture :

    • Lecteur de rapports
    • Lecteur de sécurité
    • Lecteur général
  • Mettre à jour :

    • Administrateur de la sécurité

Pour plus d’informations sur les rôles intégrés Microsoft Entra, consultez Rôles intégrés Microsoft Entra.

Pour plus d’informations sur les rôles RBAC pour Log Analytics, consultez Rôles intégrés Azure.

Description

Capture d’écran de la miniature du classeur.

Microsoft Entra ID prend en charge plusieurs des protocoles d’authentification et d’autorisation les plus couramment utilisés, y compris l’authentification héritée. L’authentification héritée fait référence à l’authentification de base, qui était une méthode standard largement utilisée pour transmettre les informations de nom d’utilisateur et de mot de passe via un client à un fournisseur d’identité.

Voici des exemples d’applications qui utilisent fréquemment ou uniquement l’authentification héritée :

  • Microsoft Office 2013 ou version antérieure.

  • Les applications utilisant l’authentification traditionnelle avec des protocoles de messagerie tels que POP, IMAP et SMTP AUTH.

L’authentification à facteur unique (par exemple, le nom d’utilisateur et le mot de passe) ne fournit pas le niveau de protection requis pour les environnements informatiques actuels. Les mots de passe ne sont pas bons parce qu’ils sont faciles à deviner et les humains ne savent pas choisir de bons mots de passe.

Malheureusement, l’authentification héritée :

  • Ne prend pas en charge l’authentification multifacteur (MFA) ni d’autres méthodes d’authentification fortes.

  • Empêche votre organisation de passer à l’authentification sans mot de passe.

Pour renforcer la sécurité de votre locataire Microsoft Entra et l’expérience de vos utilisateurs, vous devez désactiver l’authentification héritée. Toutefois, certaines expériences utilisateur importantes de votre locataire peuvent dépendre de l’authentification héritée. Avant d’arrêter l’authentification héritée, vous pouvez trouver ces cas afin de pouvoir les migrer vers une authentification plus sécurisée.

Le classeur Connexions utilisant une authentification héritée vous permet de voir toutes les connexions d’authentification héritées dans votre environnement. Ce classeur vous aide à trouver et à migrer des workflows critiques vers des méthodes d’authentification plus sécurisées avant d’arrêter l’authentification héritée.

Comment accéder au classeur

  1. Connectez-vous au centre d’administration Microsoft Entra à l’aide de la combinaison de rôles appropriée.

  2. Accédez à Identité>Surveillance et intégrité>Classeurs.

  3. Sélectionnez le classeur Connexions utilisant une authentification héritée dans la section Utilisation.

Sections du classeur

Avec ce classeur, vous pouvez faire la distinction entre les connexions interactives et non interactives. Ce classeur met en évidence les protocoles d’authentification hérités utilisés dans votre locataire.

La collecte de données se compose de trois étapes :

  1. Sélectionnez un protocole d’authentification héritée, puis sélectionnez une application pour filtrer selon les utilisateurs qui accèdent à cette application.

  2. Sélectionnez un utilisateur pour afficher toutes les connexions d’authentification héritées à l’application sélectionnée.

  3. Affichez toutes les connexions d’authentification héritées pour que l’utilisateur comprenne comment l’authentification héritée est utilisée.

Filtres

Ce classeur prend en charge plusieurs filtres :

  • Intervalle de temps (jusqu’à 90 jours)

  • Nom d’utilisateur principal

  • Application

  • État de la connexion (succès ou échec)

Options de filtrage

Bonnes pratiques

  • Pour obtenir des conseils sur le blocage de l’authentification héritée dans votre environnement, consultez Bloquer l’authentification héritée à Microsoft Entra ID avec l’accès conditionnel.

  • De nombreux protocoles de messagerie qui reposaient autrefois sur une authentification héritée prennent désormais en charge des méthodes d’authentification modernes plus sûres. Si vous voyez des protocoles d’authentification de messagerie hérités dans ce classeur, envisagez de migrer vers l’authentification moderne pour la messagerie à la place. Pour plus d’informations, consultez Mise hors service de l’authentification de base dans Exchange Online.

  • Certains clients peuvent utiliser l’authentification héritée ou l’authentification moderne en fonction de la configuration du client. Si vous voyez « mobile moderne/client de bureau » ou « navigateur » pour un client dans les journaux Microsoft Entra, cela indique une authentification moderne. Si vous voyez un nom de client ou de protocole spécifique, comme « Exchange ActiveSync », l’authentification héritée est utilisée pour se connecter à Microsoft Entra ID. Les types de clients dans l’accès conditionnel et la page de rapports Microsoft Entra dans le centre d’administration Microsoft Entra délimitent les clients d’authentification moderne et les clients d’authentification héritée pour vous, et seule l’authentification héritée est capturée dans ce classeur.

  • Pour en savoir plus sur Identity Protection, consultez Qu’est-ce qu’Identity Protection ?.

  • Pour plus d’informations sur les classeurs Microsoft Entra, consultez Utilisation des classeurs Microsoft Entra.