Forum aux questions sur la surveillance et l’intégrité de Microsoft Entra

Consultez les licences Microsoft Entra ID pour mettre à niveau votre édition Microsoft Entra.

Si vous avez déjà des données du journal d’activité sous une licence gratuite, vous pouvez les consulter immédiatement. Si vous n’avez pas de données, l’affichage des données dans les rapports prend jusqu’à trois jours.

Si vous êtes récemment passé à une version Premium (y compris une version d’essai), vous pouvez voir les données jusqu’à sept jours dans un premier temps. Lorsque les données s’accumulent, vous pouvez voir les données au cours des 30 derniers jours.

Le rôle à privilège minimum pour afficher les journaux d’audit et de connexion est Lecteur de rapports. Les autres rôles incluent Lecteur de sécurité et Administrateur de sécurité.

Les journaux de connexion et d’audit sont tous deux disponibles pour le routage via Azure Monitor. Les événements d’audit liés à B2C ne sont actuellement pas inclus. Pour plus d’informations, consultez Intégrations du journal d’activité Microsoft Entra et Vue d’ensemble du journal d’activité API Graph.

Les journaux d’activité Microsoft 365 et Microsoft Entra partagent de nombreuses ressources de répertoire. Pour obtenir une vue complète des journaux d’activité de Microsoft 365, accédez au centre d’administration Microsoft 365 pour plus d’informations sur les journaux d’activité d’Office 365. Les API pour Microsoft 365 sont décrites dans l’article API de gestion Microsoft 365.

Plusieurs facteurs déterminent le nombre de journaux que vous pouvez télécharger à partir du centre d’administration Microsoft Entra, comme la taille de mémoire du navigateur, les vitesses réseau et les charges d’API de création de rapports Microsoft Entra. En règle générale, les jeux de données inférieurs à 250 000 pour les journaux d’audit et 100 000 pour les journaux de connexion et d’approvisionnement fonctionnent correctement avec la fonctionnalité de téléchargement du navigateur. Ce nombre peut varier en fonction du nombre de champs que vous avez inclus. Si vous rencontrez des problèmes lors de téléchargements volumineux dans le navigateur, utilisez l’API de création de rapports pour télécharger les données ou envoyez les journaux à un point de terminaison via les paramètres de diagnostic.

L’ensemble spécifique de journaux que vous pouvez télécharger est déterminé par les filtres actifs dans le centre d’administration Microsoft Entra lorsque vous commencez le téléchargement. Par exemple, le filtrage sur un utilisateur spécifique dans le centre d’administration Microsoft Entra signifie que votre téléchargement extrait les journaux pour cet utilisateur spécifique. Les colonnes des journaux téléchargés ne changent pas. La sortie contient tous les détails du journal d’audit ou de connexion, quelles que soient les colonnes que vous avez personnalisées dans le centre d’administration Microsoft Entra.

Selon votre licence, Microsoft Entra ID stocke les journaux d’activité entre 7 et 30 jours. Pour plus d’informations, consultez l’article Stratégies de conservation des données dans les rapports Microsoft Entra.

La fonctionnalité Rétention du stockage des paramètres de diagnostic est déconseillée. Pour plus d’informations sur cette modification, consultez Migrer de la rétention du stockage des paramètres de diagnostic vers la gestion de cycle de vie du Stockage Azure.

À l'heure actuelle, il n'y a pas d'activité spécifique dans les journaux d'audit pour les achats de licences ou l'activation. Toutefois, vous devriez pouvoir mettre en corrélation l’activité « Intégrer la ressource à PIM » de la catégorie « Gestion des ressources » avec l’achat ou l’activation d’une licence. Cette activité risque de ne pas être disponible tout le temps ou fournir les détails exacts.

Ces modifications sont liées à la façon dont l’authentification multifacteur et certains évènements RGPD sont traités. Des évènements comme la suppression des utilisateurs ou l’exportation de données utilisateur sont capturés dans les journaux d’audit, mais la description de l’activité peut être un peu cryptique. Nous travaillons à améliorer ces étiquettes d’activité. Pour obtenir une liste complète des activités liées au RGPD, consultez Activités d’audit. Ces activités sont associées à la catégorie DirectoryManagement.

La ressource signInActivity est utilisée pour trouver les utilisateurs inactifs qui ne se sont pas connectés depuis un certain temps. Il ne se met pas à jour en quasi-temps réel. Si vous devez trouver rapidement la dernière activité de connexion de l'utilisateur, vous pouvez utiliser les journaux de connexion Microsoft Entra pour afficher l'activité de connexion en quasi-temps réel pour tous vos utilisateurs.

Le fichier CSV contient les journaux de connexion pour le type de connexions que vous avez sélectionné. Les données qui sont représentées sous la forme d’un tableau imbriqué dans l’API Microsoft Graph pour les journaux de connexion ne sont pas incluses. Par exemple, les stratégies d'accès conditionnel et les informations de rapport uniquement ne sont pas incluses. Si vous devez exporter toutes les informations contenues dans vos journaux de connexion, utilisez la fonctionnalité Exporter les paramètres de données.

Il est également important de noter que les colonnes incluses dans les journaux téléchargés ne changent pas, même si vous les avez personnalisées dans le centre d’administration Microsoft Entra.

Il est probable que Microsoft Entra ID élimine une partie d’une adresse IP dans les journaux de connexion pour protéger la confidentialité des utilisateurs si un utilisateur n’appartient potentiellement pas au locataire affichant les journaux. Cette action se produit dans deux cas :

• Lors de connexions interlocataires, par exemple lorsqu’un technicien CSP se connecte à un locataire géré par un CSP.
• Lorsque notre service n’a pas pu déterminer l’identité de l’utilisateur avec une confiance suffisante pour être sûr que celui-ci appartient au locataire affichant les journaux.

Microsoft Entra ID élimine les informations d'identification personnelle générées par les appareils qui n'appartiennent pas à votre locataire pour s'assurer que ces informations d'identification personnelle ne s'étendent pas au-delà des limites du locataire sans le consentement de l'utilisateur et du propriétaire des données.

Les entrées de connexion risquent d’être dupliquées dans vos journaux pour plusieurs raisons.

• Si un risque est identifié lors d’une connexion, un autre événement presque identique est publié immédiatement après avec le risque inclus.
• Si des événements MFA liés à une connexion sont reçus, tous les événements associés sont agrégés à la connexion d’origine.
• Si la publication sur un partenaire pour un événement de connexion échoue, comme la publication sur Kusto, une nouvelle tentative de publication d’un lot entier d’événements est effectuée, ce qui risque d’entraîner des doublons.
• Les événements de connexion qui impliquent plusieurs stratégies d’accès conditionnel risquent d’être divisés en plusieurs événements, ce qui peut entraîner au moins deux événements par événement de connexion.

Les connexions non interactives peuvent déclencher un grand volume d’événements toutes les heures, de sorte qu’elles sont regroupées dans les journaux.

Dans de nombreux cas, les connexions non interactives présentent les mêmes caractéristiques, à l’exception de la date et de l’heure de la connexion. Si l’agrégat de temps est défini sur 24 heures, les journaux apparaissent pour afficher les connexions en même temps. Chacune de ces lignes groupées peut être développée pour afficher la date et l’heure exactes.

Les entrées de connexion risquent d’afficher des ID d’utilisateur, des ID d’objet ou des GUID dans le champ nom d’utilisateur pour plusieurs raisons.

• Avec l’authentification sans mot de passe, les ID d’utilisateur apparaissent en tant que nom d’utilisateur. Pour confirmer ce scénario, examinez les détails de l’événement de connexion en question. Le champ authenticationDetail indique sans mot de passe.
• L’utilisateur s’est authentifié mais ne s’est pas encore connecté. Pour confirmer, il existe un code d’erreur 50058 qui correspond à une interruption.
• Si le champ nom d’utilisateur affiche 000000-00000-0000-0000 ou quelque chose de similaire, il peut y avoir des restrictions de locataire en place, empêchant l’utilisateur de se connecter au locataire sélectionné.
• Les tentatives de connexion avec authentification multifacteur sont agrégées avec plusieurs entrées de données, ce qui risque de prendre plus de temps pour s’afficher correctement. L’agrégation complète des données peut prendre jusqu’à deux heures, mais il est rare qu’elle prenne autant de temps.

Non. Les erreurs 90025 sont en général résolues par une nouvelle tentative automatique sans que l’utilisateur ait remarqué l’erreur. Cette erreur peut se produire lorsqu’un sous-service Microsoft Entra interne atteint son quota de nouvelles tentatives et n’indique pas que votre locataire est limité. Ces erreurs sont généralement résolues par Microsoft Entra ID en interne. Si l’utilisateur ne parvient pas à se connecter en raison de cette erreur, une nouvelle tentative manuelle devrait résoudre le problème.

Si l'ID du principal du service a la valeur « 0000000-0000-0000-0000-000000000000 », c'est qu'il n'existe aucun principal de service pour l'application cliente dans cette instance d'authentification. Microsoft Entra n’émet plus de jetons d’accès sans principal de service client, sauf pour quelques applications Microsoft et non-Microsoft.

Si l’ID du principal du service de ressource a la valeur « 0000000-0000-0000-0000-000000000000 », c’est qu’il n’existe aucun principal de service pour la ressource d’application dans cette instance d’authentification.

Ce comportement est actuellement autorisé uniquement pour un nombre limité d’applications de ressources.

Vous pouvez rechercher des instances d’authentification sans client ou principal de service de ressources dans votre locataire.

• Pour rechercher des instances de journaux de connexion pour votre locataire dans lesquelles un principal de service client est manquant, utilisez la requête suivante :

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Pour rechercher des instances de journaux de connexion pour votre locataire dans lesquelles un principal de service de ressources est manquant, utilisez la requête suivante :

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Vous pouvez également trouver ces journaux de connexion dans le centre d'administration de Microsoft Entra.

• Connectez-vous au centre d’administration Microsoft Entra.
• Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
• Sélectionnez Connexions au principal de service.
• Sélectionner une période appropriée dans le champ Date (dernières 24 heures, 7 jours, etc.).
• Ajoutez un filtre et sélectionnez ID du principal de service et indiquez la valeur « 00000000-0000-0000-0000-000000000000 » pour obtenir des instances d’authentification sans principal de service client.

Si vous souhaitez contrôler le fonctionnement de l'authentification dans votre locataire pour des applications clientes ou des ressources spécifiques, suivez les instructions de l'article Limiter l'application Microsoft Entra à un ensemble d'utilisateurs.

Certaines connexions non interactives ont été rendues disponibles avant que les journaux de connexion non interactifs ne soient disponibles en préversion publique. Ces connexions non interactives ont été incluses dans les journaux de connexion interactifs et sont restées dans les journaux de connexion interactifs une fois que les journaux non interactifs sont devenus disponibles. Les connexions à l'aide des clés FIDO2 sont un exemple de connexions non interactives qui apparaissent dans les journaux de connexion interactifs. À ce stade, ces journaux non interactifs sont toujours inclus dans le journal de connexion interactif.

Vous pouvez utiliser l’API Identity Protection relative à la détection des risques pour accéder aux détections de sécurité via Microsoft Graph. Cette API comprend un filtrage avancé et une sélection de champs, tout en normalisant les détections de risques sous un même type pour faciliter l’intégration aux serveurs SIEM et à autres outils de collecte de données.

Vous pouvez résoudre des problèmes de stratégies d’accès conditionnel grâce à tous les journaux de connexion. Examinez l'état de l'accès conditionnel et plongez dans les détails des politiques qui s'appliquent à la connexion et le résultat pour chaque politique.

Pour commencer :

• Connectez-vous au centre d’administration Microsoft Entra.
• Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
• Sélectionnez la connexion que vous souhaitez dépanner.
• Sélectionnez l’onglet Accès conditionnel pour voir toutes les stratégies qui ont eu un impact sur la connexion et le résultat de chaque stratégie.

L’état de l’accès conditionnel peut avoir les valeurs suivantes :

• Non appliqué : aucune stratégie d’accès conditionnel ne s’applique à l’utilisateur et à l’application.
• Réussite : une stratégie d’accès conditionnel s’applique à l’utilisateur et à l’application, et les stratégies d’accès conditionnel ont été respectées.
• Échec : la connexion a satisfait à la condition d’utilisateur et d’application d’au moins une stratégie d’accès conditionnel et les contrôles d’octroi ne sont pas satisfaisants ou ne sont pas configurés pour bloquer l’accès.

Une stratégie d’accès conditionnel peut aboutir aux résultats suivants :

• Réussite : La stratégie a été respectée.
• Échec : la stratégie n’a pas été respectée.
• Non appliquée : les conditions de stratégie n’ont probablement pas été remplies.
• Non activée : la stratégie est probablement désactivée.

Le nom de la stratégie dans le journal de connexion est basé sur le nom de la stratégie d’accès conditionnel au moment de la connexion. Le nom peut être incohérent avec le nom de la stratégie dans l'accès conditionnel si vous avez mis à jour le nom de la stratégie après la connexion.

Actuellement, le journal de connexion risque de ne pas afficher des résultats exacts pour les scénarios Exchange ActiveSync quand un accès conditionnel est appliqué. Il peut y avoir des cas où le résultat de la connexion dans le rapport indique une connexion réussie, mais la connexion a en fait échoué en raison d'une stratégie.

Les stratégies d’accès conditionnel ne s’appliquent pas à la connexion Windows ou à Windows Hello Entreprise. Les stratégies d’accès conditionnel protègent les tentatives de connexion aux ressources cloud, et non le processus de connexion Windows.

Consultez la Référence sur les API pour savoir comment utiliser les API dans le but d’accéder aux rapports d’activité. Ce point de terminaison comporte deux rapports (un d’audit et un autre sur les connexions) qui fournissent toutes les données dont vous disposiez dans l’ancien point de terminaison d’API. Ce nouveau point de terminaison comporte également un rapport sur les connexions, relatif à la licence Microsoft Entra ID P1 ou P2, que vous pouvez utiliser pour obtenir des informations sur l’utilisation des applications, l’utilisation des appareils et les connexions utilisateur.

Vous pouvez utiliser l’API Identity Protection relative à la détection des risques pour accéder aux détections de sécurité via Microsoft Graph. Ce nouveau format offre une plus grande flexibilité dans la façon dont vous pouvez interroger les données. Le format fournit un filtrage avancé, une sélection de champs, et standardise les détections de risques sous un même type pour faciliter l'intégration aux serveurs SIEM et à d'autres outils de collecte de données. Étant donné que les données ont différents formats, vous ne pouvez pas remplacer vos anciennes requêtes par une nouvelle requête. Toutefois, la nouvelle API utilise Microsoft Graph, qui est désormais la plateforme standard de Microsoft pour les API telles que Microsoft 365 et Microsoft Entra ID. Le travail nécessaire peut donc développer vos investissements Microsoft Graph actuels ou vous aider à démarrer la transition vers cette nouvelle plateforme standard.

Vous devrez probablement vous connecter à Microsoft Graph autrement que depuis le centre d’administration Microsoft Entra. Sélectionnez votre icône de profil dans le coin supérieur droit et connectez-vous à l’annuaire approprié. Vous essayez probablement d’exécuter une requête pour laquelle vous n’avez pas d’autorisations. Sélectionnez Modifier les autorisations, puis sélectionnez le bouton Consentement. Suivez les invites de connexion.

Chaque fois qu'un jeton est utilisé pour appeler un point de terminaison Microsoft Graph, les MicrosoftGraphActivityLogs sont mis à jour avec cet appel. Certains de ces appels sont des appels internes, d'application uniquement, qui ne sont pas publiés dans les journaux de connexion du principal de service. Lorsqu'un MicrosoftGraphActivityLogs affiche un uniqueTokenIdentifier que vous ne pouvez pas localiser dans les journaux de connexion, l'identifiant du jeton fait référence à un jeton d'application de première partie uniquement.

Si le service détecte une activité liée à cette recommandation pour un élément marqué comme « terminé », il revient automatiquement à « actif ».