Partage via

Utilisez les journaux de connexion pour consulter les événements d’authentification multifacteur Microsoft Entra

  • Article

Pour passer en revue et comprendre les événements d’authentification multifacteur Microsoft Entra, vous pouvez utiliser les journaux de connexion Microsoft Entra. Ce rapport affiche les détails de l’authentification des événements lorsqu’un utilisateur est invité à utiliser l’authentification multifacteur et si des stratégies d’accès conditionnel ont été utilisées. Pour plus d’informations sur les journaux de connexion, consultez la vue d’ensemble des rapports d’activité de connexion dans Microsoft Entra ID.

Affichez les journaux de connexion Microsoft Entra

Les journaux de connexion vous fournissent des informations sur l’utilisation des applications managées et des activités de connexion utilisateur, qui incluent des informations sur l’utilisation de l’authentification multifacteur. Les données d’authentification multifacteur vous donnent un aperçu du fonctionnement de l’authentification multifacteur dans votre organisation. Il répond à des questions telles que :

  • La connexion a-t-elle été protégée avec l’authentification multifacteur ?
  • Comment l’utilisateur a-t-il effectué l’authentification multifacteur ?
  • Quelles méthodes d’authentification ont été utilisées lors d’une connexion ?
  • Pourquoi l’utilisateur n’a-t-il pas pu terminer le MFA (authentification multifacteur) ?
  • Combien d’utilisateurs sont-ils invités à utiliser l’authentification multifacteur ?
  • Combien d’utilisateurs ne parviennent pas à effectuer le défi MFA ?
  • Quels sont les problèmes d’authentification multifacteur courants rencontrés par les utilisateurs finaux ?

Pour afficher le rapport d’activité de connexion dans le centre d’administration Microsoft Entra , procédez comme suit. Vous pouvez également interroger des données à l’aide de l’API de création de rapports .

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Identité>, puis choisissez Utilisateurs>Tous les utilisateurs dans le menu de gauche.

  3. Dans le menu sur la gauche, sélectionnez Journaux de connexion.

  4. Une liste d’événements de connexion s’affiche, y compris l’état. Vous pouvez sélectionner un événement pour afficher plus de détails.

    L’onglet Accès conditionnel des détails de l’événement vous montre la stratégie ayant déclenché l’invite MFA.

    Capture d’écran des journaux de connexion Microsoft Entra, exemple Capture d’écran montrant un exemple de rapport des journaux de connexions Microsoft Entra

Si elle est disponible, l’authentification s’affiche, telle que le sms, la notification de l’application Microsoft Authenticator ou l’appel téléphonique.

L’onglet Détails de l’authentification fournit les informations suivantes pour chaque tentative d’authentification :

  • Liste des stratégies d’authentification appliquées (telles que l’accès conditionnel, l’authentification multifacteur par utilisateur, les valeurs par défaut de sécurité)
  • Séquence de méthodes d’authentification utilisées pour se connecter
  • Indique si la tentative d’authentification a réussi ou non
  • Détails sur la raison de la réussite ou de l’échec de la tentative d’authentification

Ces informations permettent aux administrateurs de résoudre les problèmes de chaque étape de la connexion d’un utilisateur et de suivre :

  • Volume de connexions protégées par l’authentification multifacteur
  • Taux d’utilisation et de réussite pour chaque méthode d’authentification
  • Utilisation des méthodes d’authentification sans mot de passe (par exemple, connexion par téléphone sans mot de passe, FIDO2 et Windows Hello Entreprise)
  • La fréquence à laquelle les exigences d’authentification sont satisfaites par des revendications de jeton (lorsque les utilisateurs ne sont pas invités de manière interactive à saisir un mot de passe, à entrer un mot de passe à usage unique par SMS, etc.)

Lors de l’affichage des journaux de connexion, sélectionnez l’onglet Détails de l’authentification :

Capture d’écran de l’onglet Détails de l’authentification

Remarque

Le code de vérification OATH est consigné comme méthode d’authentification pour les jetons matériels et logiciels OATH (par exemple, l’application Microsoft Authenticator).

Important

L'onglet des détails de l’authentification peut initialement afficher des données incomplètes ou inexactes, jusqu’à ce que les informations de journal soient entièrement agrégées. Voici quelques exemples connus :

  • Un message Satisfaite par une revendication dans le jeton s’affiche de manière incorrecte lors de la journalisation initiale des événements de connexion.
  • La ligne d'authentification principale n'est pas initialement enregistrée.

Les détails suivants s’affichent dans la fenêtre Détails de l’authentification pour un événement de connexion qui indique si la demande MFA a été satisfaite ou refusée :

  • Si l’authentification multifacteur a été réussie, cette colonne fournit plus d’informations sur la façon dont l’authentification multifacteur a été satisfaite.

    • terminé dans le cloud
    • a expiré en raison des politiques configurées pour le locataire
    • inscription demandée
    • satisfaite par une revendication dans le jeton
    • satisfait par la revendication fournie par un fournisseur externe
    • satisfait par une authentification forte
    • ignorée, car le flux testé était un flux d’ouverture de session de répartiteur de service Windows
    • ignorée en raison de mot de passe
    • ignorée en raison d’emplacement
    • ignorée en raison de l’appareil enregistré
    • ignorée en raison de l’appareil mémorisé
    • Terminé avec succès

  • Si l’authentification multifacteur a été refusée, cette colonne fournit la raison de refus.

    • authentification en cours
    • tentative d’authentification en double
    • Saisie d’un code incorrect trop de fois
    • Authentification non valide
    • code de vérification d’application mobile non valide
    • configuration erronée
    • appel téléphonique passé à la messagerie vocale
    • le numéro de téléphone a un format non valide
    • erreur de service
    • impossible d’atteindre le téléphone de l’utilisateur
    • impossible d’envoyer la notification de l’application mobile à l’appareil
    • impossible d’envoyer la notification de l’application mobile
    • l’utilisateur a refusé l’authentification
    • l’utilisateur n’a pas répondu à la notification d’application mobile
    • l’utilisateur n’a pas de méthodes de vérification inscrites
    • l’utilisateur a entré du code incorrect
    • l’utilisateur a entré un code confidentiel incorrect
    • l’utilisateur a suspendu l’appel téléphonique sans réussir l’authentification
    • l’utilisateur est bloqué
    • l’utilisateur n’a jamais entré le code de vérification
    • utilisateur introuvable
    • code de vérification déjà utilisé une fois

Création de rapports PowerShell sur les utilisateurs inscrits pour MFA

Tout d'abord, vérifiez que vous avez installé le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

Identifiez les utilisateurs qui se sont inscrits auprès de MFA à l’aide du code PowerShell qui suit. Cet ensemble de commandes exclut les utilisateurs désactivés, car ces comptes ne peuvent pas s’authentifier auprès de Microsoft Entra ID :

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identifiez les utilisateurs qui ne sont pas inscrits pour l’authentification multifacteur en exécutant les commandes PowerShell suivantes. Cet ensemble de commandes exclut les utilisateurs désactivés, car ces comptes ne peuvent pas s’authentifier auprès de Microsoft Entra ID :

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identifier les utilisateurs et les méthodes de sortie inscrites :

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Rapports MFA supplémentaires

Les informations et rapports supplémentaires suivants sont disponibles pour les événements MFA, notamment ceux du serveur MFA :

Rapport Emplacement Description
Historique des utilisateurs bloqués Microsoft Entra ID > Security > MFA > Bloquer/débloquer des utilisateurs Affiche l’historique des requêtes pour bloquer ou débloquer des utilisateurs.
Utilisation des composants locaux Microsoft Entra ID > Sécurité > MFA > Rapport d'activité Fournit des informations sur l’utilisation globale du serveur MFA. Les journaux AD FS et de l’extension NPS pour l’activité MFA cloud sont désormais inclus dans les journaux de connexion et ne sont plus publiés dans ce rapport.
Historique de l'utilisateur contourné Microsoft Entra ID > Sécurité > Authentification Multi-facteurs (MFA) > Contournement à usage unique Fournit un historique des demandes du serveur MFA pour contourner l’authentification multifacteur pour un utilisateur.
État du serveur Microsoft Entra ID > Sécurité > Authentification multifacteur (MFA) > État du serveur Affiche l’état des serveurs MFA associés à votre compte.

Les événements de connexion Cloud MFA à partir de l'adaptateur AD FS local ou de l'extension NPS n'ont pas tous les champs des journaux de connexion complétés en raison des données limitées retournées par le composant local. Vous pouvez identifier ces événements grâce au resourceID adfs ou radius figurant dans leurs propriétés. Il s’agit notamment des éléments suivants :

  • resultSignature
  • appID (identifiant de l'application)
  • détail de l'appareil
  • statut d'accès conditionnel
  • contexte d'authentification
  • estInteractif
  • tokenIssuerName
  • Détails du risque, Niveau de risque agrégé, Niveau de risque pendant la connexion, État du risque, Types d'événements de risque, Types d'événements de risque_v2
  • protocole d'authentification
  • incomingTokenType

Les organisations qui exécutent la dernière version de l’extension NPS ou qui utilisent Microsoft Entra Connect Health auront une adresse IP d’emplacement dans les événements.

Étapes suivantes

Cet article vous a présenté le rapport d’activité de connexions. Pour plus d’informations sur ce que contient ce rapport, consultez rapports d’activité de connexion dans Microsoft Entra ID.