Partager via

Insights et rapports sur l’accès conditionnel

Le classeur Insights et rapports sur l’accès conditionnel vous permet de comprendre l’impact des stratégies d’accès conditionnel sur votre organisation dans la durée. Lors d’une connexion, une ou plusieurs stratégies d’accès conditionnel peuvent s’appliquer. Celles-ci peuvent accorder l’accès si certains critères d’octroi sont satisfaits ou le refuser dans le cas contraire. Étant donné que plusieurs stratégies d’accès conditionnel peuvent être évaluées lors de chaque connexion, le classeur Insights et rapports vous permet de voir l’impact d’une seule stratégie ou d’un sous-ensemble de stratégies.

Prérequis

Pour activer le classeur Insights et rapports, il faut que votre locataire dispose des éléments suivants :

  • Un espace de travail Log Analytics pour conserver les données des journaux des connexions et accéder à cet espace de travail.
  • Des licences Microsoft Entra ID P1 pour utiliser l’accès conditionnel.

Les utilisateurs doivent détenir au moins le rôle Lecteur de sécurité et les rôles Contributeur de l’espace de travail Log Analytics.

Diffusez en continu les journaux de connexion entre les journaux Microsoft Entra ID et les journaux Azure Monitor

Si vous n’avez pas intégré les journaux Microsoft Entra aux journaux Azure Monitor, vous devez intégrer les journaux Microsoft Entra aux journaux Azure Monitor.

Fonctionnement

Pour accéder au classeur Insights et rapports :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu'au moins Lecteur de sécurité et avec les autorisations appropriées pour l'espace de travail Log Analytics.
  2. Accédez à Entra ID>Accès conditionnel>analyses et création de rapports.

Bien démarrer : Sélectionner les paramètres

Le tableau de bord Insights et rapports vous permet de voir l’impact d’une ou plusieurs stratégies d’accès conditionnel sur une période donnée. Commencez par définir chacun des paramètres situés en haut du classeur.

Capture d’écran montrant le classeur Insights et rapports d’accès conditionnel.

Stratégie d’accès conditionnel : pour évaluer leur impact, sélectionnez une ou plusieurs stratégies d’accès conditionnel. Les stratégies sont séparées en deux groupes : les stratégies activées et les stratégies de rapport uniquement . Par défaut, toutes les stratégies activées sont sélectionnées. Ces stratégies sont les stratégies actuellement appliquées dans votre locataire.

Intervalle de temps : sélectionnez une période comprise entre 4 heures et 90 jours. Si vous sélectionnez un intervalle de temps plus loin que lorsque vous avez intégré les journaux Microsoft Entra à Azure Monitor, seules les connexions après l’heure de l’intégration s’affichent.

Utilisateur : Par défaut, le tableau de bord affiche l’impact des stratégies sélectionnées pour tous les utilisateurs. Pour filtrer par utilisateur, tapez le nom de l’utilisateur en question dans le champ de texte. Pour filtrer l’ensemble des utilisateurs, tapez Tous les utilisateurs dans le champ de texte ou laissez le paramètre vide.

Application : par défaut, le tableau de bord affiche l’impact des stratégies sélectionnées pour toutes les applications. Pour filtrer par application, tapez le nom de l’application en question dans le champ de texte. Pour filtrer l’ensemble des applications, tapez Toutes les applications dans le champ de texte ou laissez le paramètre vide.

Vue de données : indiquez si vous souhaitez que le tableau de bord affiche le nombre d’utilisateurs ou le nombre de connexions. Un même utilisateur peut s’être connecté plusieurs centaines de fois à de nombreuses applications et présenter des résultats très différents au cours d’une période donnée. Si vous sélectionnez la vue de données en tant qu'utilisateurs, un utilisateur peut être inclus dans les nombres de succès et d’échec. Par exemple, s’il y a dix utilisateurs, huit d’entre eux peuvent avoir réussi à se connecter au cours des 30 derniers jours et neuf d’entre eux peuvent avoir échoué au cours de la même période.

Résumé de l’impact

Une fois les paramètres définis, le résumé impact se charge. Ce résumé indique, sur une période donnée, le nombre d’utilisateurs ou de connexions ayant obtenu comme résultat Réussite, Échec, Action de l’utilisateur nécessaire ou Non appliqué, lors de l’évaluation des stratégies sélectionnées.

Capture d’écran montrant un exemple de résumé de l’impact dans le classeur d’accès conditionnel.

Total : Au cours d’une période donnée, nombre d’utilisateurs ou de connexions pour lesquels au moins une des stratégies sélectionnées a été évaluée.

Réussite : au cours d’une période donnée, nombre d’utilisateurs ou de connexions ayant obtenu comme résultat des stratégies sélectionnées une combinaison de Réussite ou Rapport seul : Réussite.

Échec : au cours d’une période donnée, nombre d’utilisateurs ou de connexions ayant obtenu, pour au moins une stratégie sélectionnée, le résultat Échec ou Rapport seul : Échec.

Action de l’utilisateur requise : au cours d’une période donnée, nombre d’utilisateurs ou de connexions ayant obtenu, pour les stratégies sélectionnées, le résultat Rapport seul : action de l’utilisateur requise. Une action de l’utilisateur est nécessaire quand un contrôle d’octroi interactif, tel qu’une authentification multifacteur, est exigé. Étant donné que les contrôles d’octroi interactifs ne sont pas appliqués par les stratégies Rapport seul, il est impossible de déterminer si la stratégie a réussi ou échoué.

Non applicable : Au cours d’une période donnée, nombre d’utilisateurs ou de connexions pour lesquels aucune des stratégies sélectionnées n’a été appliquée.

Comprendre l’impact

Capture d’écran montrant une répartition du classeur par condition et état.

Affichez la répartition des utilisateurs (ou connexions) pour chacune des conditions. Vous pouvez filtrer les connexions d’un résultat donné (par exemple, Réussite ou Échec) en sélectionnant l’une des vignettes récapitulatives situées en haut du classeur. Vous pouvez voir la répartition des connexions pour chacune des conditions d’accès conditionnel : état de l’appareil, plateforme de l’appareil, application cliente, emplacement, application et risque de connexion.

Détails de la connexion

Capture d’écran montrant les détails de connexion au classeur.

Vous pouvez également examiner les connexions d’un utilisateur en particulier, en recherchant des connexions en bas du tableau de bord. La requête affiche les utilisateurs les plus fréquents. Sélection d’un utilisateur qui filtre la requête.

Remarque

Lorsque vous téléchargez les journaux de connexion, choisissez le format JSON pour inclure les résultats en mode rapport uniquement de la stratégie d’accès conditionnel.

Améliorer les performances du classeur

Le rapport et les analyses standard d'accès conditionnel peuvent recueillir une grande quantité de données avec les paramètres par défaut. La quantité de données capturées peut affecter les performances du classeur, de sorte que certaines requêtes peuvent prendre plus de temps pour charger ou même expirer. Pour améliorer les performances, vous pouvez créer une transformation dans Azure Monitor.

Avant de passer à cette étape facultative, consultez l’article Transformation dans Azure Monitor pour obtenir une vue d’ensemble générale et des considérations relatives aux coûts.

Pour identifier les résultats à conserver ou exclure de la transformation, utilisez la requête Kusto suivante dans Log Analytics :

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

La requête examine spécifiquement les stratégies d’accès conditionnel qui entraînent un succès ou un échec. D’autres valeurs que vous pouvez inclure dans la requête incluent notApplied, reportOnlySuccess, reportOnlyFailure, reportOnlyNotApplied, et notEnabled.

Pour créer la règle de collecte de données (DCR) pour les journaux de connexion :

  1. Connectez-vous au Portail Microsoft Azure en tant que contributeur Monitoring au moins.
  2. Accédez aux espaces de travail Log Analytics et sélectionnez votre espace de travail.
  3. Accédez à Paramètres>Tables>, sélectionnez SignInLogs.
  4. Ouvrez le menu à droite et sélectionnez Créer une transformation.
  5. Suivez les invites pour créer la transformation, en sélectionnant l'Éditeur de transformation pour modifier l'un des détails inclus dans la transformation.

Une fois la transformation créée et déployée avec succès, les analyses d’accès conditionnel et le tableau de bord des rapports doivent être chargés plus rapidement. La transformation s’applique uniquement aux nouveaux journaux de connexion ingérés après la création de la transformation. D'autres classeurs qui tirent également de cette table sont impactés par la transformation.

N’oubliez pas que si vous excluez certains résultats de stratégie de la transformation, vous ne verrez aucun de ces résultats dans le classeur une fois la transformation en cours d’exécution.

Configurer une stratégie d’accès conditionnel en mode Rapport seul

Pour configurer une stratégie d’accès conditionnel en mode Rapport uniquement :

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
  2. Accédez à Entra ID>Accès conditionnel>Politiques.
  3. Sélectionnez une stratégie existante ou créez-en une.
  4. Sous Activer la stratégie, définissez le mode Rapport uniquement.
  5. Sélectionnez Enregistrer.

Conseil

La modification de l’état Activer la stratégie d’une stratégie d’Activé en Rapport seul désactive l’application de la stratégie.

Dépannage

Pourquoi les requêtes échouent-elles en raison d’une erreur d’autorisation ?

Pour accéder au classeur, vous devez disposer des autorisations appropriées dans Microsoft Entra ID et Log Analytics. Pour vérifier si vous disposez des autorisations appropriées pour l’espace de travail, exécutez un exemple de requête Log Analytics :

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant que Lecteur de sécurité.
  2. Accédez à Entra ID>Monitoring & health>Log Analytics.
  3. Saisissez SigninLogs dans la zone de requête et sélectionnez Exécuter.
  4. Si la requête ne retourne aucun résultat, votre espace de travail n’est peut-être pas configuré correctement.

Capture d’écran montrant comment résoudre les requêtes défaillantes.

Pour plus d’informations sur la diffusion en continu des journaux de connexion Microsoft Entra vers un espace de travail Log Analytics, consultez l’article Intégrer des journaux Microsoft Entra avec aux journaux d’activité Azure Monitor.

Pourquoi les requêtes dans le classeur échouent-elles ?

Des clients remarquent que des requêtes échouent parfois si un espace de travail erroné ou plusieurs espaces de travail sont associés au classeur. Pour résoudre ce problème, sélectionnez Modifier en haut du classeur, puis sur l’engrenage paramètres. Sélectionnez et supprimez les espaces de travail qui ne sont pas associés au classeur. Il ne doit y avoir qu’un seul espace de travail associé à chaque classeur.

Pourquoi le paramètre de stratégies d’accès conditionnel est-il vide ?

La liste des stratégies est générée en examinant les stratégies évaluées pour l’événement de connexion le plus récent. S’il n’existe aucune connexion récente dans votre locataire, vous devrez peut-être attendre pendant quelques minutes que le classeur charge la liste des stratégies d’accès conditionnel. L’obtention de résultats vides peut se produire immédiatement après la configuration de Log Analytics ou si un locataire n’a aucune activité de connexion récente.

Pourquoi le classeur met-il longtemps à se charger ou à renvoyer zéro résultat ?

Selon l’intervalle de temps sélectionné et la taille de votre locataire, le classeur peut avoir à évaluer un nombre important d’événements de connexion. Pour les locataires de grande taille, le volume des connexions peut dépasser la capacité de requête de Log Analytics. Essayez de limiter l’intervalle de temps à quatre heures, puis vérifiez si le chargement du classeur réussit. Consultez la section Améliorer les performances du classeur pour plus d’informations sur l’amélioration des performances.

Puis-je enregistrer mes sélections de paramètres ou personnaliser le classeur ?

Vous pouvez enregistrer vos sélections de paramètres et personnaliser le classeur en haut du classeur. Accédez à Entra ID>, Suivi et santé>, Classeur>, et Perspectives et rapports d’accès conditionnel. Vous y trouvez le modèle du classeur. Celui-ci vous permet de modifier le classeur et d’en enregistrer une copie dans votre espace de travail (y compris les sélections de paramètres), dans Mes rapports ou Rapports partagés. Pour modifier les requêtes, sélectionnez Modifier en haut du classeur.

Contenu connexe

  • Last updated on