Analyser et examiner les journaux de connexion pour résoudre les problèmes d’accès

  • 10 minutes

L'architecture de génération de rapports dans Microsoft Entra ID se compose des composants suivants :

  • Activité

    • Connexions : Il s’agit d’informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
    • Journaux d’audit : Fournissent des informations sur les activités du système liées aux utilisateurs et à la gestion des groupes, les applications gérées et les activités de répertoire.
    • Les journaux de provisionnement : permettent aux clients de superviser l’activité effectuée par le service de provisionnement, telle que la création d’un groupe dans ServiceNow ou l’importation d’un utilisateur à partir de Workday.

  • Sécurité

    • Connexions risquées : une connexion risquée correspond à un indicateur de tentative de connexion d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
    • Utilisateurs avec indicateur de risque : il s’agit d’un compte d’utilisateur susceptible d’être compromis.

Qui peut accéder aux données ?

  • Les utilisateurs ayant les rôles Administrateur de la sécurité, Lecteur Sécurité, Lecteur général et Lecteur de rapports
  • Les administrateurs généraux
  • Tous les utilisateurs (non administrateurs) peuvent accéder à leurs propres connexions

De quelle licence Microsoft Entra avez-vous besoin pour accéder à l'activité de connexion ?

Le rapport relatif à l’activité de connexion est disponible dans toutes les éditions de Microsoft Entra ID, mais également accessible par l’API Microsoft Graph.

Rapport de connexions

Le rapport de connexions des utilisateurs permet de répondre aux questions suivantes :

  • Quel est le modèle de connexion d’un utilisateur ?
  • Combien d’utilisateurs se sont connectés au cours d’une semaine ?
  • Quel est l’état de ces connexions ?

Dans le menu du Portail Azure, sélectionnez Microsoft Entra ID ou recherchez et sélectionnez Microsoft Entra ID dans n’importe quelle page.

Screenshot of the Select Microsoft Entra ID screen, so you can modify the settings.

Sous Surveillance, sélectionnez Connexions pour ouvrir le Rapport de connexions.

Screenshot of the Sign-ins selected from the Monitoring menu. Track what report you want to review.

Deux heures peuvent s'écouler avant que les enregistrements de connexion n'apparaissent dans le portail.

Important

Le rapport des connexions montre seulement les connexions interactives, c’est-à-dire les connexions où un utilisateur se connecte manuellement avec son nom d’utilisateur et son mot de passe. Les connexions non interactives, comme l’authentification de service à service, n’apparaissent pas dans le rapport des connexions.

Un journal de connexions comporte un affichage de liste par défaut qui indique :

  • Date de la connexion

  • Utilisateur associé

  • L’application à laquelle l’utilisateur s’est connecté

  • État de la connexion

  • Status of the risk detection (État de la détection de risque)

  • État de l’exigence de l’authentification multifacteur (MFA)

    Screenshot shows the Office 365 SharePoint Online Sign-ins. Check for activity that might be concerning.

Vous pouvez personnaliser la vue de liste en sélectionnant Colonnes dans la barre d’outils.

Screenshot of the Columns option in the Sign-ins page. Add and remove the content items you need.

La boîte de dialogue Colonnes vous permet d’accéder aux attributs sélectionnables. Dans un rapport de connexion, vous ne pouvez pas avoir de champs qui contiennent plusieurs valeurs pour une demande de connexion donnée sous forme de colonne. C’est par exemple le cas pour les détails d’authentification, les données d’accès conditionnel et l’emplacement réseau.

Screenshot of the Columns dialog box where you can select attributes. The attributes give you troubleshooting information.

Sélectionnez un élément dans la vue sous forme de liste pour obtenir des informations plus détaillées.

Screenshot shows a detailed information view. Get the details from the report on sign-ins.

Les clients peuvent maintenant résoudre les problèmes de stratégies d’accès conditionnel grâce à tous les rapports de connexion. Les clients peuvent examiner l’état de l’accès conditionnel et consulter en détail les stratégies applicables à la connexion et les résultats de chaque stratégie lorsqu’un administrateur sélectionne l’onglet Accès conditionnel pour obtenir un rapport de connexion. Pour en savoir plus, consultez le Forum aux questions sur les informations de l’accès conditionnel dans toutes les connexions.

Filtrer les activités de connexion

Commencez par réduire les données signalées jusqu’au niveau qui vous convient. Ensuite, filtrez les données de connexions en utilisant le champ de date comme filtre par défaut. Microsoft Entra ID fournit une large gamme de filtres supplémentaires que vous pouvez définir :

Screenshot of the Add filters option. Use the filters to sort through large amounts of data.

ID de requête : ID de la requête qui vous intéresse.

Utilisateur : nom ou nom d’utilisateur principal (UPN) de l’utilisateur qui vous intéresse.

Application : nom de l’application cible.

État : état de connexion qui vous intéresse :

  • Succès
  • Échec
  • Interrompu

Adresse IP : adresse IP de l’appareil utilisé pour se connecter à votre locataire.

Emplacement : emplacement à partir duquel la connexion a été établie :

  • City
  • État/province
  • Pays/région

Ressource : nom du service utilisé pour la connexion.

ID de ressource : ID du service utilisé pour la connexion.

Application cliente : type de l’application cliente utilisée pour se connecter à votre locataire :

Screenshot of the Client app filter. See specific details about your client information.

Nom Authentification moderne Description
SMTP authentifié Utilisé par les clients POP et IMAP pour envoyer des e-mails.
Découverte automatique Utilisé par les clients Outlook et EAS pour rechercher des boîtes aux lettres dans Exchange Online et s’y connecter.
Exchange ActiveSync Ce filtre affiche toutes les tentatives de connexion où le protocole EAS a été utilisé.
Browser Oui Affiche toutes les tentatives de connexion d’utilisateurs à l’aide de navigateurs web.
Exchange ActiveSync Affiche toutes les tentatives de connexion d’utilisateurs avec des applications clientes utilisant Exchange ActiveSync pour se connecter à Exchange Online.
Exchange Online PowerShell Utilisé pour se connecter à Exchange Online à l’aide de PowerShell à distance. Si vous bloquez l’authentification de base pour Exchange Online PowerShell, vous devez utiliser le module Exchange Online PowerShell pour vous connecter.
Exchange Web Services Interface de programmation utilisée par Outlook, Outlook pour Mac et des applications tierces.
IMAP4 Un client de messagerie hérité qui utilise IMAP pour récupérer le courrier électronique.
MAPI sur HTTP Utilisé par Outlook 2010 et versions ultérieures.
Applications mobiles et clients de bureau Oui Affiche toutes les tentatives de connexion d’utilisateurs à l’aide d’applications mobiles et de clients de bureau.
Carnet d’adresses en mode hors connexion Copie des collections de listes d’adresses téléchargées et utilisées par Outlook.
Outlook Anywhere (RPC sur HTTP) Utilisé par Outlook 2016 et versions antérieures.
Service Outlook Utilisé par l’application Courrier et Calendrier pour Windows 10.
POP3 Un client de messagerie hérité qui utilise POP3 pour récupérer le courrier électronique.
Reporting Web Services Utilisé pour récupérer des données de rapports dans Exchange Online.
Autres clients Affiche toutes les tentatives de connexion d’utilisateurs où l’application cliente n’est pas incluse ou connue.

Système d’exploitation : le système d’exploitation s’exécutant sur l’appareil a utilisé l’authentification auprès de votre locataire.

Explorateur d’appareils : si la connexion a été établie à partir d’un navigateur, ce champ vous permet de filtrer par nom de navigateur.

ID de corrélation : ID de corrélation de l’activité.

Accès conditionnel : état des règles d’accès conditionnel appliquées.

  • Non applicable : aucune stratégie n’est appliquée à l’utilisateur et à l’application lors de la connexion.
  • Réussite : une ou plusieurs stratégies d’accès conditionnel sont appliquées à l’utilisateur et à l’application (mais pas nécessairement les autres conditions) lors de la connexion.
  • Échec : la connexion a satisfait à la condition d’utilisateur et d’application d’au moins une stratégie d’accès conditionnel et les contrôles d’octroi ne sont pas satisfaisants ou ne sont pas configurés pour bloquer l’accès.

Télécharger les activités de connexion

Sélectionnez l’option Télécharger pour créer un fichier CSV ou JSON des 250 000 enregistrements les plus récents. Commencez par Télécharger des connexions si vous souhaitez utiliser les données en dehors du portail Azure.

Screenshot of the Download button. Use this dialog to get a CSV or JSON file of your sign-in data.

Important

Le nombre d'enregistrements que vous pouvez télécharger est limité par les politiques de rétention de rapport Microsoft Entra ID.

Raccourcis vers les données de connexions

Microsoft Entra ID et le Portail Azure vous offrent d’autres points d’entrée pour accéder aux données de connexions :

  • Identity Protection dans Microsoft Entra ID – Sécurité – Identity Protection
  • Utilisateurs
  • Groupes
  • Applications d’entreprise

Données des connexions des utilisateurs dans Identity Protection

Le graphique des connexions des utilisateurs figurant sur la page de présentation Identity Protection affiche les agrégations hebdomadaires des connexions. La période par défaut est de 30 jours.

Screenshot of a graph of Sign-ins over a month. Visual representation can help you see potential issues.

Lorsque vous sélectionnez un jour dans le graphique des connexions, vous obtenez une liste détaillée des activités de connexion correspondantes.

Chaque ligne de la liste des activités de connexion affiche :

  • Qui s’est connecté ?
  • Quelle application a été la cible de la connexion ?
  • Quel est l’état de la connexion ?
  • Quel est l’état MFA de la connexion ?

Lorsque l’administrateur sélectionne un lien, vous obtenez plus d’informations sur l’opération de connexion :

  • ID d'utilisateur

  • Utilisateur

  • Nom d’utilisateur

  • ID de l'application

  • Application

  • Client

  • Emplacement

  • Adresse IP

  • Date

  • MFA obligatoire

  • État de la connexion

    Notes

    Les adresses IP sont émises de manière à ce qu’il n’existe aucune connexion définitive entre une adresse IP et l’endroit où se trouve physiquement l’ordinateur avec cette adresse. Le mappage des adresses IP est compliqué par le fait que les fournisseurs mobiles et les VPN qui émettent des adresses IP à partir de pools centraux sont souvent très éloignés de l’endroit où l’appareil client est réellement utilisé. Pour le moment, la conversion de l’adresse IP en un emplacement physique constitue la meilleure solution pour les suivis, les données de registre, les recherches inversées et d’autres informations dans les rapports Microsoft Entra.

Sur la page Utilisateurs, vous obtenez une vue d’ensemble complète de toutes les connexions des utilisateurs en sélectionnant Connexions dans la section Activité.

Screenshot of the Activity section where you can select Sign-ins. Pick the activity you need to review.

Utilisation des applications gérées

En disposant d’une vue centrée sur les applications de vos données de connexion, vous pouvez répondre aux questions telles que :

  • Qui utilise mes applications ?
  • Quelles sont les trois principales applications dans mon organisation ?
  • Comment fonctionne mon application la plus récente ?

Le point d’entrée de ces données correspond aux trois principales applications de votre organisation. Les données sont contenues dans le rapport sur les 30 derniers jours dans la section Vue d’ensemble sous Applications d’entreprise.

Screenshot of the dialog where you can select Overview. You can then pick usage data and other graphs.

Les graphiques d’utilisation des applications affiche les agrégations hebdomadaires des connexions pour vos trois principales applications au cours d’une période donnée. La valeur par défaut de cette période est de 30 jours.

Screenshot of the App usage for a one month period. Select a time period to review the data.

Si vous le souhaitez, vous pouvez définir la focalisation sur une application spécifique.

Screenshot of the Reporting screen. Use this to select the details you want to report on and review.

Lorsque vous sélectionnez un jour dans le graphique d’utilisation des applications, vous obtenez une liste détaillée des activités de connexion.

L’option Connexions vous fournit une vue d’ensemble complète de tous les événements de connexion à vos applications.

Journaux d’activité Microsoft 365

Vous pouvez consulter les journaux d’activité Microsoft 365 dans le centre d’administration Microsoft 365. Les journaux d’activité de Microsoft 365 et de Microsoft Entra partagent un nombre important de ressources de l’annuaire. Seul le centre d’administration Microsoft 365 fournit une vue complète des journaux d’activité d’Microsoft 365.

Vous pouvez également accéder par programme aux journaux d’activité de Microsoft 365 en utilisant les API de gestion Microsoft 365.