Comment personnaliser et filtrer les journaux d’activité d’identité

Les journaux de connexion sont un outil couramment utilisé pour résoudre les problèmes d’accès utilisateur et examiner l’activité de connexion risquée. Les journaux d'audit collectent tous les événements enregistrés dans Microsoft Entra ID et peuvent être utilisés pour enquêter sur les modifications apportées à votre environnement. Vous pouvez choisir parmi plus de 30 colonnes pour personnaliser votre affichage des journaux de connexion dans le centre d'administration Microsoft Entra. Les journaux d’audit et les journaux d’approvisionnement peuvent également être personnalisés et filtrés en fonction de vos besoins.

Cet article vous montre comment personnaliser les colonnes, puis filtrer les journaux pour trouver plus efficacement les informations dont vous avez besoin.

Prérequis

• Un locataire Microsoft Entra opérationnel avec la licence Microsoft Entra appropriée associée.
  • Pour obtenir la liste complète des exigences en matière de licence, consultez les licences de surveillance et de santé Microsoft Entra.
• Le lecteur de rapports est le rôle le moins privilégié requis pour accéder aux journaux d’activité.
  • Pour obtenir la liste complète des rôles, consultez Rôle privilégié minimum par tâche.

Comment accéder aux journaux d’activité dans le centre d’administration Microsoft Entra

Vous pouvez toujours accéder à votre propre historique de connexions sur https://mysignins.microsoft.com. Vous pouvez également accéder aux journaux de connexion à partir d’applications Utilisateurs et Entreprise dans Microsoft Entra ID.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant que lecteur de rapports au moins.
2. Accédez à ID Entra>Surveillance et santé>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.

Journaux d’audit

Grâce aux informations contenues dans les journaux d'audit Microsoft Entra, vous pouvez accéder à tous les enregistrements des activités du système à des fins de conformité. Les journaux d’audit sont accessibles à partir de la section Surveillance et intégrité de Microsoft Entra ID, où vous pouvez trier et filtrer sur chaque catégorie et activité. Vous pouvez également accéder aux journaux d'audit dans la zone du centre d'administration du service sur lequel vous enquêtez.

Par exemple, si vous examinez les modifications apportées aux groupes Microsoft Entra, vous pouvez accéder aux journaux d'audit à partir de Microsoft Entra ID>Groupes. Lorsque vous accédez aux journaux d’audit à partir du service, le filtre est automatiquement ajusté en fonction du service.

Personnaliser la disposition des journaux d’audit

Vous pouvez personnaliser les colonnes des journaux d’audit pour afficher uniquement les informations dont vous avez besoin. Les colonnes Service, Catégorie et Activité sont liées les unes aux autres. Ces colonnes doivent donc toujours être visibles.

Filtrer les journaux d’audit

Lorsque vous filtrez les journaux de bord par service, les détails de la catégorie et de l’activité changent automatiquement. Dans certains cas, il peut n’y avoir qu’une seule catégorie ou activité. Pour obtenir un tableau détaillé de toutes les combinaisons potentielles de ces détails, consultez les activités d’audit.

• Service : valeur par défaut pour tous les services disponibles, mais vous pouvez filtrer la liste sur une ou plusieurs en sélectionnant une option dans la liste déroulante.

• Catégorie : valeur par défaut pour toutes les catégories, mais peut être filtrée pour afficher la catégorie d’activité, par exemple modifier une stratégie ou activer un rôle Microsoft Entra éligible.

• Activité : en fonction de la sélection de type de ressource de catégorie et d’activité que vous effectuez. Vous pouvez sélectionner une activité spécifique que vous souhaitez voir ou toutes les choisir.

  Vous pouvez récupérer la liste de toutes les activités d’audit en utilisant l’API Microsoft Graph : https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• État : vous permet d’examiner le résultat en fonction de la réussite ou de l’échec de l’activité.

• Cible : vous permet de rechercher la cible ou le destinataire d’une activité. Effectuez une recherche par les premières lettres d’un nom ou d’un nom d’utilisateur principal (UPN). Le nom et le nom d'utilisateur principal cibles sont sensibles à la casse.

• Initié par : vous permet de rechercher par qui a lancé l’activité à l’aide des premières lettres de leur nom ou UPN. Le nom et le nom d'utilisateur principal sont sensibles à la casse.

• Plage de dates : vous permet de définir une période pour les données retournées. Vous pouvez rechercher sur les 7 derniers jours, 24 heures ou une plage personnalisée. Lorsque vous sélectionnez une plage personnalisée, vous pouvez configurer une heure de début et une heure de fin.

Journaux de connexion

Dans la page des journaux de connexion, vous pouvez basculer entre quatre types de journaux de connexion.

• Connexions utilisateur interactives : Connexions où un utilisateur fournit un facteur d’authentification, tel qu’un mot de passe, une réponse via une application MFA, un facteur biométrique ou un code QR.

• Connexions utilisateur non interactives : Connexions effectuées par un client pour le compte d’un utilisateur. Ces connexions ne nécessitent ni interaction, ni facteur d’authentification de la part de l’utilisateur. L’authentification et l’autorisation se font à l’aide de jetons d’accès et d’actualisation ne nécessitent pas que l’utilisateur entre des informations d’identification.

• Connexions du principal de service : Connexions par applications et principaux de service qui n’impliquent aucun utilisateur. Dans ces connexions, l’application ou le service fournit des informations d’identification pour son propre compte afin de s’authentifier ou d’accéder à des ressources.

• Identités managées pour les connexions aux ressources Azure : Connexions par les ressources Azure qui ont des secrets gérés par Azure. Pour plus d’informations, consultez Qu’est-ce que les identités managées pour les ressources Azure ?.

Personnaliser la disposition des journaux de connexion

Vous pouvez personnaliser les colonnes du journal de connexion de l'utilisateur interactif en utilisant plus de 30 options de colonnes. Pour voir plus efficacement le journal de connexion, passez un peu de temps à personnaliser l’affichage en fonction de vos besoins.

1. Sélectionnez Colonnes dans le menu situé en haut du fichier de log.
2. Sélectionnez les colonnes à afficher et sélectionnez le bouton Enregistrer en bas de la fenêtre.

Filtrer les journaux de connexion

Le filtrage des journaux de connexion est un moyen utile de trouver rapidement les journaux qui correspondent à un scénario spécifique. Par exemple, vous pouvez filtrer la liste pour voir uniquement les connexions qui se sont produites dans un emplacement géographique spécifique, à partir d’un système d’exploitation spécifique ou d’un type spécifique d’informations d’identification.

Certaines options de filtre vous invitent à sélectionner d’autres options. Suivez les invites pour faire la sélection dont vous avez besoin pour le filtre. Vous pouvez ajouter plusieurs filtres.

1. Sélectionnez le bouton Ajouter des filtres , choisissez une option de filtre, puis sélectionnez Appliquer.

   

2. Vous pouvez entrer un détail spécifique, tel qu’un ID de requête, ou sélectionner une autre option de filtre.

   

Vous pouvez filtrer sur plusieurs détails. Le tableau suivant décrit certains filtres couramment utilisés. Toutes les options de filtre ne sont pas décrites.

Filtre	Descriptif
ID de demande	Identificateur unique pour une demande de connexion
ID de corrélation	Identificateur unique pour toutes les demandes de connexion qui font partie d’une tentative d’authentification unique
Utilisateur	Nom d’utilisateur principal (UPN) de l’utilisateur
Application	Application ciblée par la demande de connexion
État	Les options sont Réussite, Échec et Interruption
Ressource	Nom du service utilisé pour la connexion
Adresse IP	Adresse IP du client utilisé pour la connexion
Accès conditionnel	Les options ne sont pas appliquées, réussite et échec

Maintenant que votre tableau de journaux de connexion est mise en forme selon vos besoins, vous pouvez analyser plus efficacement les données. Il est possible d’analyser et de conserver davantage les données de connexion en exportant les journaux vers d’autres outils.

La personnalisation des colonnes et l’ajustement du filtre permettent d’examiner les journaux ayant des caractéristiques similaires. Pour examiner les détails d’une connexion, sélectionnez une ligne dans la table pour ouvrir le panneau Détails de l’activité . Il existe plusieurs onglets dans le panneau à explorer. Pour obtenir plus d’informations, consultez les détails de l'activité du journal de connexion.

Filtre d’application cliente

Lorsque vous examinez l’origine d’une connexion, vous devrez peut-être utiliser le filtre de l’application cliente . L’application cliente a deux sous-catégories : les clients d’authentification moderne et les clients d’authentification hérités. Les clients d’authentification moderne ont deux sous-catégories supplémentaires : navigateur et applications mobiles et clients de bureau. Il existe plusieurs sous-catégories pour les clients d’authentification hérités, qui sont définis dans la table des détails du client d’authentification hérité .

Les connexions du navigateur incluent toutes les tentatives de connexion à partir de navigateurs web. Lorsque vous affichez les détails d’une connexion à partir d’un navigateur, l’onglet Informations de base affiche l’application cliente : Navigateur.

Sous l’onglet Informations sur l’appareil , Le navigateur affiche les détails du navigateur web. Le type et la version du navigateur sont répertoriés, mais dans certains cas, le nom du navigateur et la version ne sont pas disponibles. Vous pouvez voir quelque chose comme Rich Client 4.0.0.0.

Détails du client d’authentification héritée

Le tableau suivant fournit les détails de chacune des options du client d’authentification héritée .

Nom	Descriptif
SMTP authentifié	Utilisé par les clients POP et IMAP pour envoyer des e-mails.
Découverte automatique	Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
Exchange ActiveSync	Ce filtre affiche toutes les tentatives de connexion pour lesquelles le protocole EAS a été utilisé.
Exchange ActiveSync	Affiche toutes les tentatives de connexion d’utilisateurs avec des applications clientes utilisant Exchange ActiveSync pour se connecter à Exchange Online
Exchange Online PowerShell	Utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.
Services Web Exchange	Interface de programmation utilisée par Outlook, Outlook pour Mac et des applications non Microsoft.
IMAP4	Un client de messagerie hérité qui utilise IMAP pour récupérer le courrier électronique.
MAPI sur HTTP	Utilisé par Outlook 2010 et versions ultérieures.
Carnet d’adresses en mode hors connexion	Copie des collections de listes d’adresses téléchargées et utilisées par Outlook.
Outlook Anywhere (RPC sur HTTP)	Utilisé par Outlook 2016 et versions antérieures.
Service Outlook	Utilisé par l’application Courrier et Calendrier pour Windows 10.
POP3	Un client de messagerie hérité qui utilise POP3 pour récupérer le courrier électronique.
Services Web de Rapport	Utilisé pour récupérer des données de rapports dans Exchange Online.
Autres clients	Affiche toutes les tentatives de connexion d’utilisateurs où l’application cliente n’est pas incluse ou connue.

Journaux d’approvisionnement

Pour afficher plus efficacement le journal d’approvisionnement, passez quelques instants à personnaliser l’affichage en fonction de vos besoins. Vous pouvez spécifier les colonnes à inclure et filtrer les données pour affiner les choses.

Personnaliser la disposition

Le journal d’approvisionnement a une vue par défaut, mais vous pouvez personnaliser les colonnes.

1. Sélectionnez Colonnes dans le menu situé en haut du fichier de log.
2. Sélectionnez les colonnes à afficher et sélectionnez le bouton Enregistrer en bas de la fenêtre.

Filtrer les résultats

Lorsque vous filtrez vos données d’approvisionnement, certaines valeurs de filtre sont remplies dynamiquement en fonction de votre locataire. Par exemple, si vous n’avez pas d’événements « créer » dans votre client, l’option de filtre Créer n’est pas disponible.

Le filtre d’identité vous permet de spécifier le nom ou l’identité dont vous vous souciez. Cette identité peut être un utilisateur, un groupe, un rôle ou un autre objet.

Vous pouvez effectuer une recherche par nom ou ID de l’objet. L’ID varie selon le scénario.

• Si vous approvisionnez un objet de Microsoft Entra ID vers Salesforce, l’ID source est l’ID d’objet de l’utilisateur dans l’ID Microsoft Entra. L’ID cible est l’ID de l’utilisateur sur Salesforce.
• Si vous approvisionnez de Workday à Microsoft Entra ID, l’ID source est l’ID de l'employé Workday. L’ID cible est l’ID de l’utilisateur dans Microsoft Entra ID.
• Si vous approvisionnez des utilisateurs pour la synchronisation entre locataires, l’ID source correspond à celui de l’utilisateur dans le locataire d'origine. L’ID cible est l’ID de l’utilisateur dans le locataire cible.

Notes

Le nom de l’utilisateur peut ne pas toujours être présent dans la colonne Identité . Il y aura toujours un ID.

Le filtre Date vous permet de définir une période pour les données retournées. Les valeurs possibles sont les suivantes :

• Un mois
• Sept jours
• 30 jours
• 24 heures
• Intervalle de temps personnalisé (configurer une date de début et une date de fin)

Le filtre d’état vous permet de sélectionner :

• Tous
• Succès
• Échec
• Ignoré

Le filtre Action vous permet de filtrer ces actions :

• Créer
• Mise à jour
• DELETE
• Désactiver
• Autres

En plus des filtres de l’affichage par défaut, il est possible de définir les suivants.

• ID de tâche : un ID de tâche unique est associé à chaque application pour laquelle vous avez activé la configuration.

• ID de cycle : l’ID de cycle identifie de façon unique le cycle d’approvisionnement. Vous pouvez partager cet ID avec le support produit pour rechercher le cycle dans lequel cet événement s’est produit.

• ID de modification : l’ID de modification est un identificateur unique pour l’événement d’approvisionnement. Vous pouvez partager cet ID avec le support produit pour rechercher l’événement de provisionnement.

• Système source : vous pouvez spécifier l’emplacement d’approvisionnement de l’identité. Par exemple, lorsque vous provisionnez un objet de Microsoft Entra ID vers ServiceNow, le système source est Microsoft Entra ID.

• Système cible : vous pouvez spécifier l’emplacement auquel l’identité est provisionnée. Par exemple, lorsque vous provisionnez un objet de Microsoft Entra ID vers ServiceNow, le système cible est ServiceNow.

• Application : vous pouvez afficher uniquement les enregistrements d’applications avec un nom d’affichage ou un ID d’objet qui contient une chaîne spécifique. Pour la synchronisation entre locataires, utilisez l’ID d’objet de la configuration et non l’ID d’application.

Contenu connexe

• Analyser une erreur de connexion
• Résoudre les erreurs de connexion
• Explorer toutes les catégories et activités du journal d’audit