Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les fonctionnalités de surveillance et d’intégrité de Microsoft Entra offrent plusieurs types de journaux de connexions pour vous aider à surveiller l’intégrité de votre locataire. Les connexions utilisateur interactives sont la vue par défaut dans le Centre d’administration Microsoft Entra.
Qu’est-ce qu’une connexion utilisateur interactive ?
Les connexions interactives sont effectuées par un utilisateur. Elles fournissent un facteur d’authentification pour Microsoft Entra ID. Ce facteur d’authentification peut également interagir avec une application d’assistance, telle que l’application Microsoft Authenticator. Les utilisateurs peuvent fournir des mots de passe, des réponses à des demandes MFA, des facteurs biométriques ou des codes QR à Microsoft Entra ID ou à une application auxiliaire. Ce journal comprend également les connexions fédérées des fournisseurs d’identité qui sont fédérés à Microsoft Entra ID.
Détails des journaux
Les exemples suivants montrent le type d’informations capturées dans les journaux de connexion utilisateur interactifs :
- Un utilisateur fournit un nom d’utilisateur et un mot de passe dans l’écran de connexion de Microsoft Entra ID.
- Un utilisateur réussit un défi SMS d'authentification multifacteur.
- Un utilisateur effectue un geste d’identification biométrique pour déverrouiller son PC Windows avec Windows Hello Entreprise.
- Un utilisateur est fédéré à Microsoft Entra ID au moyen d'une assertion AD FS SAML.
En plus des champs par défaut, les journaux des connexions interactives affichent les informations suivantes :
- Emplacement de la connexion
- Le fait que l’accès conditionnel a été appliqué ou non
- Détails de l’accès interlocataire, notamment les ID des locataires d’origine et de ressources
Remarque
Les entrées des journaux de connexion sont générées par le système et ne peuvent être ni changées, ni supprimées.
Considérations spéciales
Accès des partenaires aux ressources des locataires en aval
Les journaux des connexions interactives incluent désormais des informations sur le moment où un partenaire accède aux ressources d’un locataire en aval. En examinant les colonnes Type d’accès entre locataires, ID de locataire d’accueil, et ID de locataire de ressource, qui sont désormais visibles par défaut, vous pouvez voir quand un partenaire se connecte à une ressource d’un locataire en aval.
- Filtrez sur Fournisseur de services dans la colonne Type d’accès interlocataire pour isoler les événements liés aux connexions des partenaires.
- Comparez les détails des colonnes ID du locataire d’origine et ID du locataire de ressources pour identifier les connexions provenant du locataire de votre partenaire à destination du locataire en aval.
Connexions non interactives dans les journaux de connexions interactives
Auparavant, certaines connexions non interactives étaient incluses dans le journal de connexion utilisateur interactive pour une meilleure visibilité. Cette visibilité accrue était nécessaire avant l’introduction des journaux de connexion utilisateur non interactifs en novembre 2020. Les connexions non interactives impliquant des clés FIDO2 ont été précédemment marquées comme des connexions interactives, même si elles étaient techniquement non interactives. À compter du 11 avril 2025, toutes les nouvelles connexions qui obtiennent un jeton d’actualisation avec des clés FIDO2 sont désormais consignées dans les journaux de connexion non interactifs.
Connexions directes
Microsoft Entra ID émet des jetons pour l’authentification et l’autorisation. Dans certaines situations, un utilisateur connecté au locataire Contoso peut tenter d'accéder aux ressources du locataire Fabrikam, auxquelles il n'a pas accès. Un jeton sans autorisation appelé jeton d’authentification directe est émis pour le locataire Fabrikam. Le jeton d’authentification directe n’autorise pas l’utilisateur à accéder à des ressources.
Auparavant, lorsque vous examiniez les journaux d’activité de cette situation, les journaux de connexions du locataire d’origine (dans ce scénario, Contoso) ne présentaient pas les tentatives de connexion, car le jeton ne donnait pas accès à une ressource avec des revendications. Le jeton de connexion a été utilisé uniquement pour afficher le message d’échec approprié.
Les tentatives de connexion directe figurent désormais dans les journaux de connexion du locataire d’origine et tous les journaux de connexion de restriction de locataire appropriés. Cette mise à jour offre une meilleure visibilité des tentatives de connexion de vos utilisateurs et des analyses plus approfondies sur les restrictions de votre locataire.
La propriété crossTenantAccessType affiche désormais passthrough pour différencier les connexions directes et est disponible dans le centre d’administration Microsoft Entra et Microsoft Graph.
Connexions internes du principal de service d’application uniquement
Les journaux de connexion du principal de service n’incluent pas les activités de connexion interne d’application uniquement. Ce type d’activité se produit lorsque les applications de première partie obtiennent des jetons pour une tâche interne chez Microsoft où il n’y a pas de direction ou de contexte d’un utilisateur. Ces journaux étant exclus, les journaux liés aux jetons Microsoft internes au sein de votre locataire ne vous sont pas facturés.
Vous pouvez identifier les événements Microsoft Graph qui ne sont pas en corrélation avec une connexion de principal de service si vous effectuez un routage MicrosoftGraphActivityLogs avec SignInLogs vers le même espace de travail Log Analytics. Cette intégration vous permet de recouper le jeton émis pour l’appel d'API Microsoft Graph avec l’activité de connexion. L’élément UniqueTokenIdentifier pour les journaux de connexion et l’élément SignInActivityId dans les journaux d’activité Microsoft Graph sont alors absents des journaux de connexion du principal de service.
Accès conditionnel
Les connexions qui indiquent Non appliqué pour l’accès conditionnel peuvent être difficiles à interpréter. Si la connexion est interrompue, elle s’affiche dans les journaux d’activité, mais indique Non appliqué pour l’accès conditionnel. Un autre scénario courant consiste à se connecter à Windows Hello Entreprise. Cette connexion n’a pas d’accès conditionnel appliqué, car l’utilisateur se connecte à l’appareil, et non aux ressources cloud protégées par l’accès conditionnel.
Champ TimeGenerated
Si vous intégrez vos journaux de connexion avec les journaux d’activité Azure Monitor et Log Analytics, vous remarquerez peut-être que le champ TimeGenerated dans les journaux ne correspond pas à l’heure à laquelle la connexion s’est produite. Cette différence est due à la façon dont les journaux sont ingérés dans Azure Monitor. Le champ TimeGenerated correspond à l’heure à laquelle l’entrée a été reçue et publiée par Log Analytics, et non à l’heure de connexion. Le champ CreatedDateTime dans les journaux indique l’heure à laquelle la connexion s’est produite.
De même, les événements de connexion à risque affichent également TimeGenerated comme heure à laquelle l’événement à risque a été détecté, et non lorsque la connexion s’est produite. Pour trouver l’heure de connexion réelle, vous pouvez utiliser l'CorrelationId pour rechercher l’événement de connexion dans les journaux et localiser l’heure de connexion.