Afficher les détails de l’accès conditionnel dans les journaux d’activité Microsoft Entra

Les stratégies d’accès conditionnel vous permettent de contrôler la façon dont vos utilisateurs accèdent à vos ressources Azure et Microsoft Entra. En tant qu’administrateur de locataire, vous devez être en mesure de déterminer l’effet de vos stratégies d’accès conditionnel sur les connexions à votre locataire afin de pouvoir prendre des mesures si nécessaire. Vous aurez peut-être également besoin d’afficher les journaux d’audit pour les modifications récentes apportées aux stratégies d’accès conditionnel.

Cet article explique comment afficher les stratégies d’accès conditionnel appliquées dans les journaux d’activité Microsoft Entra.

Prérequis

Pour voir les stratégies d’accès conditionnel appliquées dans les journaux, les administrateurs doivent disposer des autorisations nécessaires pour afficher les journaux et les stratégies. Le rôle intégré le moins privilégié qui octroie ces deux autorisations est le rôle Lecteur de sécurité. En guise de meilleure pratique, vous devriez ajouter le rôle Lecteur de sécurité aux comptes d’administrateur concernés.

Les rôles intégrés suivants octroient des autorisations pour lire les stratégies d’accès conditionnel :

• Lecteur de sécurité
• Administrateur de la sécurité
• Administrateur de l’accès conditionnel

Les rôles intégrés suivants octroient l’autorisation de consulter les journaux d’activité :

• Lecteur de rapports
• Lecteur de sécurité
• Administrateur de la sécurité

autorisations

Si vous utilisez une application cliente ou le module Microsoft Graph PowerShell pour extraire les journaux d’activité à partir de Microsoft Graph, votre application a besoin d’autorisations pour recevoir la ressource appliedConditionalAccessPolicy de Microsoft Graph. En guise de bonne pratique, octroyez l’autorisation Policy.Read.ConditionalAccess, car il s’agit de l’autorisation la moins privilégiée.

Les autorisations suivantes permettent à une application cliente d’accéder aux journaux d’activité et aux stratégies d’accès conditionnel dans ces journaux via Microsoft Graph :

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Pour utiliser le module Microsoft Graph PowerShell, vous devez également avoir les autorisations avec privilège minimum suivantes avec l’accès requis :

• Pour consentir aux autorisations nécessaires, utilisez : Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Pour consulter les journaux de connexion : Get-MgAuditLogSignIn
• Pour afficher les journaux d’audit : Get-MgAuditLogDirectoryAudit

Pour plus d’informations, consultez Get-MgAuditLogSignIn et Get-MgAuditLogDirectoryAudit.

Scénarios d’accès conditionnel et de journal de connexion

En tant qu’administrateur Microsoft Entra, vous pouvez utiliser les journaux de connexion pour :

• Résoudre les problèmes de connexion.
• Vérifier les performances de fonctionnalités.
• Évaluer la sécurité d’un locataire.

Certains scénarios obligent à comprendre comment les stratégies d’accès conditionnel ont été appliquées à un événement de connexion. Voici quelques exemples communs :

• Des administrateurs du support technique qui doivent examiner les stratégies d’accès conditionnel appliquées pour comprendre si l’une d’elles est la cause racine d’un ticket de support ouvert par un utilisateur.
• Des administrateurs de locataires qui doivent vérifier que les stratégies d’accès conditionnel ont l’effet prévu sur les utilisateurs d’un locataire.

Vous pouvez accéder aux journaux de connexion à l'aide du centre d'administration Microsoft Entra, du portail Azure, de Microsoft Graph et de PowerShell.

Comment consulter les stratégies d’accès conditionnel

Centre d'administration Microsoft Entra

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

Les détails d’activité des journaux de connexion contiennent plusieurs onglets. Sous l’onglet Accès conditionnel, vous voyez la liste de stratégies d’accès conditionnel appliquées à cet événement de connexion.

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
3. Sélectionnez un élément d'inscription dans le tableau pour afficher le volet des détails de l'inscription.
4. Sélectionnez l’onglet Accès conditionnel.

Si vous ne voyez pas les stratégies d’accès conditionnel, vérifiez que vous utilisez un rôle qui fournit l’accès aux journaux de connexion et aux stratégies d’accès conditionnel.

API Microsoft Graph

Suivez ces instructions pour afficher les stratégies d’accès conditionnel et les détails du journal à l’aide de l’API Microsoft Graph dans Afficheur Graph.

1. Connectez-vous à l’Afficheur Graph.

2. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

3. Sélectionnez la version de l’API sur v1.0.

4. Pour obtenir la liste des tentatives de connexion où l’accès conditionnel a échoué pendant une période spécifique, ajoutez la requête suivante et sélectionnez Exécuter la requête.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Pour consulter une stratégie d’accès conditionnel spécifique, ajoutez l’ID de stratégie.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Pour plus d’informations, reportez-vous aux ressources suivantes :

• type de ressource conditionalAccessPolicy
• type de ressource signIn

Microsoft Graph PowerShell

Suivez ces étapes pour répertorier les rôles Microsoft Entra à l’aide de PowerShell.

1. Ouvrez une fenêtre PowerShell. Si nécessaire, utilisez Install-Module pour installer Microsoft Graph PowerShell. Pour plus d'informations, consultez Prérequis pour utiliser PowerShell ou de l'Afficheur Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Dans une fenêtre PowerShell, utilisez Connect-McGraph pour vous connecter à votre locataire.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Utilisez Get-MgIdentityConditionalAccessPolicy pour obtenir toues les stratégies d’accès conditionnel.

   Get-MgIdentityConditionalAccessPolicy
   

4. Pour mettre en forme les résultats sous forme de liste, utilisez la commande suivante :

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

La commande suivante peut être utilisée pour exporter les journaux d’activité vers un fichier CSV mis en forme pour mettre en évidence les détails associés à l’accès conditionnel.

1. Définissez le chemin d’accès au fichier CSV.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Récupérez les journaux d’activité, filtrés à partir d’une date spécifiée et exportez-les vers le fichier CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Scénarios de journal d’audit et d’accès conditionnel

Les journaux d’audit Microsoft Entra contiennent des informations sur les modifications apportées aux stratégies d’accès conditionnel. Vous pouvez utiliser les journaux d’audit pour savoir quand une stratégie a été créée, mise à jour ou supprimée.

Pour voir quand une stratégie d’accès conditionnel existante a été mise à jour :

1. Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
2. Accédez à Identité>Surveillance et intégrité>Journaux d’audit.
3. Définissez le filtre Service sur Accès conditionnel.
4. Définissez le filtre Catégorie sur Stratégie.
5. Définissez le filtre Activité pour Mettre à jour la stratégie d’accès conditionnel.

Vous devrez peut-être ajuster la date pour voir les modifications que vous recherchez. La colonne Cible affiche le nom de la stratégie d’accès conditionnel qui a été mise à jour.

Pour comparer la stratégie actuelle à la stratégie précédente, sélectionnez l’entrée du journal d’audit, puis sélectionnez l’onglet Propriétés modifiées.

Contenu connexe

• Résoudre les problèmes de connexion liés à l'accès conditionnel
• Consultez la FAQ sur les journaux de connexion à l’accès conditionnel
• En savoir plus sur le journaux de connexion