Comment personnaliser et filtrer les journaux d’activité d’identité

Les journaux de connexion sont un outil couramment utilisé pour résoudre les problèmes d’accès utilisateur et examiner l’activité de connexion risquée. Les journaux d’audit collectent tous les événements enregistrés dans Microsoft Entra ID et peuvent être utilisés pour enquêter sur les modifications apportées à votre environnement. Vous pouvez choisir parmi plus de 30 colonnes pour personnaliser votre affichage des journaux de connexion dans le centre d’administration Microsoft Entra. Les journaux d’audit et les journaux d’approvisionnement peuvent également être personnalisés et filtrés en fonction de vos besoins.

Cet article vous montre comment personnaliser les colonnes, puis filtrer les journaux pour trouver plus efficacement les informations dont vous avez besoin.

Prérequis

Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro. Pour obtenir la liste complète des rôles, consultez Rôles avec privilèges minimum par tâche.

Journal / Rapport	Rôles	Licences
Journaux d’audit	Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité	Toutes les éditions de Microsoft Entra ID
Journaux de connexion	Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité	Toutes les éditions de Microsoft Entra ID
Journaux de mise en service	Lecteur de rapports Lecteur de sécurité Administrateur d’application Administrateur d’application cloud	Microsoft Entra ID P1 ou P2
Journaux d’audit des attributs de sécurité personnalisés*	Administrateur de journal d’attributs Lecteur de journal d’attributs	Toutes les éditions de Microsoft Entra ID
Intégrité	Lecteur de rapports Lecteur de sécurité Administrateur du support technique	Microsoft Entra ID P1 ou P2
Microsoft Entra ID Protection**	Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général	Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2
Journaux d’activité Microsoft Graph	Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante	Microsoft Entra ID P1 ou P2
Utilisation et insights	Lecteur de rapports Lecteur de sécurité Administrateur de la sécurité	Microsoft Entra ID P1 ou P2

*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.

**Le niveau d’accès et les fonctionnalités de Microsoft Entra ID Protection varient en fonction du rôle et de la licence. Pour plus d’informations, consultez Exigences de licence pour ID Protection.

Comment accéder aux journaux d’activité dans le centre d’administration Microsoft Entra

Vous pouvez toujours accéder à votre propre historique de connexions sur https://mysignins.microsoft.com. Vous pouvez également accéder aux journaux de connexion à partir des applications Utilisateurs et applications d’Entreprise dans Microsoft Entra ID.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant que Lecteur de rapports.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit/Journaux de connexion/Journaux d’approvisionnement.

Journaux d’audit

Grâce aux informations contenues dans les journaux d’audit Microsoft Entra, vous pouvez accéder à tous les enregistrements des activités du système à des fins de conformité. Les journaux d’audit sont accessibles à partir de la section Surveillance et santé de Microsoft Entra ID, où vous pouvez trier et filtrer chaque catégorie et activité. Vous pouvez également accéder aux journaux d’audit dans la zone du centre d’administration du service sur lequel vous enquêtez.

Par exemple, si vous recherchez des modifications apportées aux groupes Microsoft Entra, vous pouvez accéder aux journaux d’audit à partir des groupes>de Microsoft Entra ID. Lorsque vous accédez aux journaux d’audit à partir du service, le filtre est automatiquement ajusté en fonction du service.

Personnaliser la disposition des journaux d’audit

Vous pouvez personnaliser les colonnes des journaux d’audit pour afficher uniquement les informations dont vous avez besoin. Les colonnes Service, Catégorie et Activité étant liées les unes aux autres, ces colonnes doivent toujours être visibles.

Filtrer les journaux d’audit

Lorsque vous filtrez les journaux par Service, les détails de Catégorie et Activité changent automatiquement. Dans certains cas, il peut n’y avoir qu’une seule catégorie ou activité. Pour obtenir un tableau détaillé de toutes les combinaisons potentielles de ces détails, consultez Activités d’audit.

• Service : pour tous les services disponibles par défaut, mais vous pouvez filtrer la liste sur un ou plusieurs services en sélectionnant une option dans la liste déroulante.

• Catégorie : par défaut, toutes les catégories, mais peut être filtrée pour afficher la catégorie d’activité, comme la modification d’une stratégie ou l’activation d’un rôle Microsoft Entra éligible.

• Activité : basé sur la catégorie et le type de ressource d’activité que vous choisissez. Vous pouvez sélectionner une activité spécifique que vous souhaitez voir ou toutes les choisir.

  Vous pouvez récupérer la liste de toutes les activités d’audit en utilisant l’API Microsoft Graph : https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• État : vous permet d’examiner le résultat en fonction de la réussite ou de l’échec de l’activité.

• Cible : vous permet de rechercher la cible ou le destinataire d’une activité. Effectuez une recherche par les premières lettres d’un nom ou d’un nom d’utilisateur principal (UPN). Le nom et le nom d’utilisateur principal cibles sont sensibles à la casse.

• Initié par : vous permet de rechercher en fonction de qui a initié l’activité à l’aide des premières lettres de son nom ou UPN. Le nom et l’UPN sont sensibles à la casse.

• Plage de dates : vous permet de définir un intervalle de temps pour les données renvoyées. Vous pouvez rechercher sur les 7 derniers jours, sur les dernières 24 heures ou sur une plage personnalisée. Lorsque vous sélectionnez une plage personnalisée, vous pouvez configurer une heure de début et une heure de fin.

Journaux de connexion

Dans la page des journaux de connexion, vous pouvez basculer entre quatre types de journaux de connexion.

• Connexions utilisateur interactives : Connexions où un utilisateur fournit un facteur d’authentification, tel qu’un mot de passe, une réponse via une application de MFA, un facteur biométrique ou un code QR.

• Connexions utilisateur non interactives : Connexions établies par un client pour le compte d’un utilisateur. Ces connexions ne nécessitent ni interaction, ni facteur d’authentification de la part de l’utilisateur. L’authentification et l’autorisation se font à l’aide de jetons d’accès et d’actualisation ne nécessitent pas que l’utilisateur entre des identifiants.

• Connexions de principal de service : Connexions établies par des applications et des principaux de service n’impliquant aucun utilisateur. Dans ces connexions, l’application ou le service fournit des informations d’identification pour son propre compte afin de s’authentifier ou d’accéder à des ressources.

• Connexions avec identités managées pour ressources Azure : Connexions établies par des ressources Azure dont les secrets sont gérés par Azure. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?.

Personnaliser la disposition des journaux de connexion

Vous pouvez personnaliser les colonnes du journal de connexion de l’utilisateur interactif en utilisant plus de 30 options de colonnes. Pour voir plus efficacement le journal de connexion, passez un peu de temps à personnaliser l’affichage en fonction de vos besoins.

1. Sélectionnez Colonnes dans le menu en haut du journal.
2. Sélectionnez les colonnes que vous souhaitez afficher, puis sélectionnez le bouton Enregistrer en bas de la fenêtre.

Filtrer les journaux de connexion

Le filtrage des journaux de connexion est un moyen utile de trouver rapidement les journaux qui correspondent à un scénario spécifique. Par exemple, vous pouvez filtrer la liste pour voir uniquement les connexions qui se sont produites dans un emplacement géographique spécifique, à partir d’un système d’exploitation spécifique ou d’un type spécifique d’informations d’identification.

Certaines options de filtre vous invitent à sélectionner d’autres options. Suivez les invites pour faire la sélection dont vous avez besoin pour le filtre. Vous pouvez ajouter plusieurs filtres.

1. Sélectionnez le bouton Ajouter des filtres, choisissez une option de filtre, puis sélectionnez Appliquer.

   

2. Vous pouvez entrer un détail spécifique, tel qu’un ID de requête, ou sélectionner une autre option de filtre.

   

Vous pouvez filtrer sur plusieurs détails. Le tableau suivant décrit certains filtres couramment utilisés. Toutes les options de filtre ne sont pas décrites.

Filter	Description
ID de demande	Identificateur unique pour une demande de connexion
ID de corrélation	Identificateur unique pour toutes les demandes de connexion qui font partie d’une tentative d’authentification unique
Utilisateur	Nom d’utilisateur principal (UPN) de l’utilisateur
Application	Application ciblée par la demande de connexion
État	Les options sont Réussite, Échec et Interrompu
Ressource	Nom du service utilisé pour la connexion
Adresse IP	Adresse IP du client utilisé pour la connexion
Accès conditionnel	Les options sont Non applicable, Réussite et Échec

Maintenant que votre tableau de journaux de connexion est mis en forme selon vos besoins, vous pouvez analyser plus efficacement les données. Il est possible d’analyser davantage et de conserver les données de connexion en exportant les journaux vers d’autres outils.

La personnalisation des colonnes et l’ajustement du filtre permettent d’examiner les journaux ayant des caractéristiques similaires. Pour examiner les détails d’une connexion, sélectionnez une ligne dans le tableau pour ouvrir le panneau Détails de l’activité. Il existe plusieurs onglets dans le panneau à explorer. Pour plus d’informations, consultez Détails de l’activité du journal de connexion.

Filtre d’application cliente

Lorsque vous vérifiez l’origine d’une connexion, vous devrez peut-être utiliser le filtre de l’application cliente. L’application cliente a deux sous-catégories :Clients d’authentification moderne et Clients d’authentification hérités. Les clients d’authentification modernes ont deux sous-catégories supplémentaires : Navigateur et Applications mobiles et clients de bureau. Il existe plusieurs sous-catégories pour les clients d’authentification hérités, qui sont définies dans la table des Détails du client d’authentification héritée.

Les connexions Navigateur incluent toutes les tentatives de connexion à partir de navigateurs web. Lorsque vous affichez les détails d’une connexion à partir d’un navigateur, l’onglet Informations de base affiche Application client : Navigateur.

Sous l’onglet Informations sur l’appareil, Navigateur affiche les détails du navigateur web. Le type et la version du navigateur sont répertoriés, mais dans certains cas, le nom du navigateur et la version ne sont pas disponibles. Vous pourriez voir quelque chose comme Rich Client 4.0.0.0.

Détails du client d’authentification héritée

La table suivante fournit les détails de chacune des options Client d’authentification héritée.

Nom	Description
SMTP authentifié	Utilisé par les clients POP et IMAP pour envoyer des e-mails.
Découverte automatique	Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
Exchange ActiveSync	Ce filtre affiche toutes les tentatives de connexion pour lesquelles le protocole EAS a été utilisé.
Exchange ActiveSync	Affiche toutes les tentatives de connexion d’utilisateurs avec des applications clientes utilisant Exchange ActiveSync pour se connecter à Exchange Online
Exchange Online PowerShell	Utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter. Pour obtenir des instructions, consultez Se connecter à Exchange Online PowerShell à l’aide de l’authentification multifacteur.
Exchange Web Services	Interface de programmation utilisée par Outlook, Outlook pour Mac et des applications non Microsoft.
IMAP4	Un client de messagerie hérité qui utilise IMAP pour récupérer le courrier électronique.
MAPI sur HTTP	Utilisé par Outlook 2010 et versions ultérieures.
Carnet d’adresses en mode hors connexion	Copie des collections de listes d’adresses téléchargées et utilisées par Outlook.
Outlook Anywhere (RPC sur HTTP)	Utilisé par Outlook 2016 et versions antérieures.
Service Outlook	Utilisé par l’application Courrier et Calendrier pour Windows 10.
POP3	Un client de messagerie hérité qui utilise POP3 pour récupérer le courrier électronique.
Reporting Web Services	Utilisé pour récupérer des données de rapports dans Exchange Online.
Autres clients	Affiche toutes les tentatives de connexion d’utilisateurs où l’application cliente n’est pas incluse ou connue.

Journaux d’approvisionnement

Pour afficher plus efficacement le journal d’approvisionnement, passez quelques instants à personnaliser l’affichage en fonction de vos besoins. Vous pouvez spécifier les colonnes à inclure et filtrer les données pour affiner les choses.

Personnaliser la mise en page

Le journal d’approvisionnement a une vue par défaut, mais vous pouvez personnaliser les colonnes.

1. Sélectionnez Colonnes dans le menu en haut du journal.
2. Sélectionnez les colonnes que vous souhaitez afficher, puis sélectionnez le bouton Enregistrer en bas de la fenêtre.

Filtrer les résultats

Lorsque vous filtrez vos données d’approvisionnement, certaines valeurs de filtre sont remplies dynamiquement en fonction de votre client. Par exemple, si votre client n’a aucun évènement de type « créer », l’option de filtre= Créer n’est pas proposée.

Le filtre Identité vous permet de spécifier le nom ou l’identité qui vous intéresse. Cette identité peut être un utilisateur, un groupe, un rôle ou un autre objet.

Vous pouvez effectuer une recherche par nom ou ID de l’objet. L’ID varie selon le scénario.

• Si vous provisionnez un objet de Microsoft Entra ID vers Salesforce, l’ID source est l’ID d’objet de l’utilisateur dans Microsoft Entra ID. L’ID cible est l’ID de l’utilisateur dans Salesforce.
• Si vous effectuez un provisionnement depuis Workday vers Microsoft Entra ID, l’ID source est l’ID d’employé Workday. L’ID cible est l’ID de l’utilisateur dans Microsoft Entra ID.
• Si vous approvisionnez des utilisateurs pour la synchronisation inter-clients, l’ID source est l’ID de l’utilisateur dans le client source. L’ID cible est l’ID de l’utilisateur dans le client cible.

Remarque

Il se peut que le nom de l’utilisateur ne soit pas toujours présent dans la colonne Identité. Il y aura toujours un ID.

Le filtre Date vous permet de définir un intervalle de temps pour les données renvoyées. Les valeurs possibles sont les suivantes :

• Un mois
• Sept jours
• 30 jours
• 24 heures
• Intervalle de temps personnalisé (configurer une date de début et une date de fin)

Le filtre État vous permet de sélectionner les états suivants :

• Tous
• Opération réussie
• Échec
• Ignoré

Le filtre Action permet de filtrer les actions suivantes :

• Créer
• Update
• Supprimer
• Désactiver
• Autre

En plus des filtres de l’affichage par défaut, il est possible de définir les filtres suivants.

• ID de tâche : un ID de tâche unique est associé à chacune des applications pour lesquelles vous avez activé l’approvisionnement.

• ID de cycle : l’ID de cycle identifie de façon unique le cycle d’approvisionnement. Vous pouvez partager cet ID avec le support produit pour rechercher le cycle dans lequel cet événement s’est produit.

• ID de modification : l’ID de modification est un identificateur unique de l’événement d’approvisionnement. Vous pouvez partager cet ID avec le support produit pour rechercher l’événement d’approvisionnement.

• Système source : vous pouvez spécifier l’emplacement à partir duquel l’identité est provisionnée. Par exemple, lorsque vous approvisionnez un objet de Microsoft Entra ID vers ServiceNow, le système source est Microsoft Entra ID.

• Système cible : vous pouvez spécifier l’emplacement vers lequel l’identité est provisionnée. Par exemple, lorsque vous provisionnez un objet de Microsoft Entra ID vers ServiceNow, le système cible est ServiceNow.

• Application : vous pouvez montrer seulement les enregistrements des applications dont le nom d’affichage ou l’ID d’objet contient une chaîne spécifique. Pour la synchronisation inter-clients, utilisez l’ID d’objet de la configuration et non pas l’ID d’application.

Étapes suivantes

• Analyser une erreur de connexion
• Résoudre les erreurs de connexion
• Explorer toutes les catégories et activités du journal d’audit