Qu’est-ce que le diagnostic de connexion dans Microsoft Entra ID ?
La détermination de la raison de l’échec de la connexion peut rapidement devenir une tâche difficile. Vous devez analyser ce qui s’est produit lors de la tentative de connexion et rechercher les recommandations disponibles pour résoudre le problème. Dans l’idéal, vous voulez résoudre le problème sans avoir à solliciter d’autres personnes, par exemple le support Microsoft. Si vous vous trouvez dans un cas similaire, vous pouvez utiliser le diagnostic de connexion de Microsoft Entra ID, un outil qui vous aide à analyser les connexions dans Microsoft Entra ID.
Cet article offre une vue d’ensemble du diagnostic de connexion et de la façon dont vous pouvez l’utiliser pour résoudre les erreurs liées à la connexion.
Prérequis
Pour utiliser le diagnostic de connexion :
- Vous devez être connecté comme Lecteur général au minimum.
- Certaines informations de journal de connexion peuvent nécessiter d’autres rôles, tels que l’administrateur de l’accès conditionnel.
- Les événements de connexion marqués d’un indicateur peuvent également être examinés à partir du diagnostic de connexion.
- Les événements de connexion marqués sont capturés après qu'un utilisateur a activé le marquage lors de son expérience de connexion.
- Pour plus d’informations, consultez Connexions marquées d’un indicateur.
Comment cela fonctionne-t-il ?
Dans Microsoft Entra ID, les tentatives de connexion sont contrôlées par :
- L’auteur de la tentative de connexion.
- La méthode employée pour tenter d’établir la connexion.
Par exemple, vous pouvez configurer des stratégies d’accès conditionnel qui permettent aux administrateurs de configurer tous les aspects du locataire lors de la connexion à partir du réseau d’entreprise. En revanche, ce même utilisateur peut très bien être bloqué lorsqu’il se connecte avec le même compte à partir d’un réseau non approuvé.
Compte tenu de la plus grande capacité du système à répondre avec souplesse à une tentative de connexion, vous pouvez vous retrouver dans des scénarios où vous devez résoudre les problèmes de connexion. L’outil de diagnostic de connexion permet de diagnostiquer les problèmes de connexion avec :
- Analyse des données des événements de connexion et des connexions marquées d’un indicateur.
- Affichage d’informations sur ce qui s’est produit.
- Recommandations pour résoudre les problèmes.
Guide pratique pour accéder au diagnostic de connexion
Il existe trois façons d'accéder au diagnostic de connexion dans Microsoft Entra ID. Sélectionnez un onglet pour en savoir plus sur chaque méthode.
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
- Depuis Diagnostiquer et résoudre les problèmes
- Depuis les journaux de connexion
- Depuis une demande de support
Vous pouvez lancer le diagnostic de connexion depuis la zone Diagnostiquer et résoudre les problèmes de Microsoft Entra ID. Depuis Diagnostiquer et résoudre les problèmes, vous pouvez examiner les événements de connexion marqués d’un indicateur ou rechercher un événement de connexion spécifique. Vous pouvez également lancer ce processus depuis la zone Diagnostiquer et résoudre les problèmes de l’accès conditionnel.
Connectez-vous au Centre d’administration Microsoft Entra en tant que Lecteur global.
Accédez à Diagnostiquer et résoudre les problèmes en haut de la navigation de gauche.
- Vous pouvez également accéder à Diagnostiquer et résoudre les problèmes à partir de l’accès conditionnel, des utilisateurs, des groupes, de la protection des identités et de l’authentification multifacteur.
Sélectionnez le lien Résoudre les problèmes dans la vignette Diagnostic de connexion.
Sélectionnez l’onglet Tous les événements de connexion pour lancer une recherche.
- Dans certains cas, le système commence automatiquement à rechercher des événements de connexion marqués d’un indicateur. Si rien n’est trouvé, vous êtes redirigé vers l’onglet Tous les événements de connexion.
Entrez autant de détails que possible dans les champs de recherche.
- Utilisateur : Indiquez le nom ou l’adresse e-mail de l’auteur de la tentative de connexion.
- Application : Indiquez le nom d’affichage de l’application ou son ID.
- correlationId ou requestId : Ces détails se trouvent dans le rapport d’erreur ou dans les détails du journal de connexion.
- Date et heure : Indiquez une date et une heure pour rechercher les événements de connexion qui se sont produits dans un intervalle de 48 heures.
Sélectionnez le bouton Suivant.
Explorez les résultats et prenez les mesures nécessaires.
Comment utiliser les résultats du diagnostic
Une fois que le diagnostic de connexion a terminé sa recherche, quelques éléments s’affichent à l’écran.
Le Récapitulatif d’authentification liste tous les événements qui correspondent aux détails que vous avez fournis. Sélectionnez l’option Afficher les colonnes dans le coin supérieur droit du résumé pour changer l’affichage des colonnes.
Les Résultats de diagnostic décrivent ce qui s’est passé pendant les événements de connexion.
Les scénarios peuvent inclure des exigences MFA d’une stratégie d’accès conditionnel, des événements de connexion pouvant nécessiter l’application d’une stratégie d’accès conditionnel ou un grand nombre de tentatives de connexion infructueuses au cours des dernières 48 heures.
Du contenu connexe et des liens vers des outils de dépannage peuvent être fournis.
Parcourez les résultats pour identifier les mesures que vous pouvez prendre.
La résolution d’un problème sans aide supplémentaire n’étant pas toujours possible, il peut s’avérer souhaitable d’ouvrir un ticket de support.
Scénarios courants
Passez en revue les conseils de la section suivante pour certains scénarios courants où le diagnostic de connexion peut fournir des informations de dépannage utiles.
Accès conditionnel
Les stratégies d’accès conditionnel permettent d’appliquer les contrôles d’accès appropriés pour garantir la sécurité de votre organisation. Étant donné que les stratégies d’accès conditionnel peuvent être utilisées pour octroyer ou bloquer l’accès aux ressources, elles apparaissent souvent dans le diagnostic de connexion.
Bloqué par un accès conditionnel : Vos stratégies d’accès conditionnel ont empêché l’utilisateur de se connecter.
Échec de l’accès conditionnel : Il est possible que vos stratégies d’accès conditionnel soient trop strictes. Passez en revue vos configurations pour obtenir des ensembles complets d’utilisateurs, de groupes et d’applications. Assurez-vous de comprendre les implications de la restriction de l’accès à partir de certains types d’appareils.
Authentification multifacteur (MFA) à partir de l’accès conditionnel : vos stratégies d’accès conditionnel ont déclenché le processus MFA pour l’utilisateur.
Connexion bloquée B2B en raison d’un accès conditionnel : Vous disposez d’une stratégie d’accès conditionnel pour bloquer la connexion des identités externes.
Authentification multifacteur
Il existe plusieurs événements connexes à l’authentification multifacteur (MFA) que vous pouvez résoudre à l’aide de l’outil de diagnostic de connexion.
MFA à partir d’autres exigences : Si les résultats du diagnostic de connexion ont montré la MFA pour une exigence autre que l’accès conditionnel, la MFA peut être activée par l’utilisateur. Nous vous recommandons de convertir la MFA par utilisateur en accès conditionnel. Le diagnostic de connexion fournit des détails sur la source de l’interruption MFA et le résultat de l’interaction.
MFA « proofup » : L’authentification multifacteur a interrompu la tentative de connexion, de sorte que les informations sur « proofup » sont fournies dans les résultats de diagnostic. Cette erreur s’affiche lorsque les utilisateurs configurent l’authentification multifacteur pour la première fois et ne terminent pas l’installation ou que leur configuration n’a pas été effectuée à l’avance.
Identifiants correctes et incorrectes : parfois, il suffit que les utilisateurs entrent des identifiants incorrects. L’outil de diagnostic de connexion peut aider à faire la distinction entre une erreur humaine et d’autres problèmes.
Connexion réussie : Dans certains cas, vous souhaitez savoir si les événements de connexion ne sont pas interrompus par l’accès conditionnel ou l’authentification multifacteur, alors qu’ils devraient l’être. L’outil de diagnostic de connexion fournit des détails sur les événements de connexion qui doivent être interrompus, mais qui ne le sont pas.
Compte bloqué : un utilisateur a trop souvent tenté de se connecter avec des identifiants incorrects. Les résultats de diagnostic aident à déterminer l’origine des tentatives et s’il s’agit de tentatives légitimes de connexion de l’utilisateur ou pas. Des détails sont fournis sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP. Pour plus d’informations, consultez Microsoft Entra Smart Lockout.
Nom d’utilisateur ou mot de passe non valide : lorsqu’un utilisateur tente de se connecter à l’aide d’un nom d’utilisateur ou d’un mot de passe non valide, le diagnostic de connexion fournit des détails sur les applications, le nombre de tentatives, l’appareil utilisé, le système d’exploitation et l’adresse IP. Ces informations permettent de déterminer si l’utilisateur a entré des identifiants incorrects ou si l’application a mis en cache un ancien mot de passe et qu’elle le soumette à nouveau.
Applications d’entreprise
Dans les applications d’entreprise, des problèmes peuvent se produire avec la configuration de l’application du fournisseur d’identité (Microsoft Entra ID) ou le fournisseur de services (service d’application, également appelé configuration d’application SaaS)
Fournisseur de services d’applications d’entreprise : si la connexion a échoué en raison d’un problème avec le côté fournisseur de services (application) du flux de connexion, le problème est résolu en corrigeant les problèmes sur le service d’application. Vous devez vous connecter à l’autre service et modifier une configuration conformément aux instructions de diagnostic.
Configuration des applications d’entreprise : si la connexion a échoué en raison d’un problème de configuration du côté Microsoft Entra ID de l’application, vous devez examiner et mettre à jour la configuration de l’application dans les applications d’entreprise.
Paramètres de sécurité par défaut
Les événements de connexion peuvent être interrompus en raison des paramètres de sécurité par défaut. Les paramètres de sécurité par défaut appliquent les meilleures pratiques en matière de sécurité pour votre organisation. Une meilleure pratique consiste à exiger la configuration de l’authentification multifacteur (MFA) et son utilisation pour empêcher les pulvérisations de mots de passe, les attaques par rejeu et les tentatives d’hameçonnage d’aboutir.
Pour plus d’informations, consultez Que sont les paramètres de sécurité par défaut ?.
Aperçus du code d’erreur
Lorsqu'un événement ne dispose pas d'une analyse contextuelle dans le diagnostic de connexion, une explication mise à jour du code d'erreur et un contenu pertinent peuvent être affichés. Les insights du code d’erreur contiennent du texte détaillé sur le scénario, comment corriger le problème et tout le contenu à lire concernant le problème.
Authentification héritée
Ce scénario implique un événement de connexion qui a été bloqué ou interrompu parce que le client tentait d’utiliser l’authentification héritée (ou de base).
Il est recommandé d’empêcher la connexion d’authentification héritée pour des raisons de sécurité. Les protocoles d’authentification hérités, tels que POP, SMTP, IMAP et MAPI, ne peuvent pas appliquer l’authentification multifacteur (MFA), ce qui en fait des points d’entrée privilégiés pour les personnes malveillantes qui cherchent à attaquer votre organisation.
Pour plus d’informations, consultez Comment bloquer l’authentification héritée sur Microsoft Entra ID avec l’accès conditionnel.
Connexion bloquée B2B due à un Accès conditionnel
Ce scénario de diagnostic détecte une connexion bloquée ou interrompue, car l’utilisateur appartient à une autre organisation. Par exemple, une connexion B2B, où une stratégie d’accès conditionnel exige que l’appareil du client soit joint au locataire de ressources.
Pour plus d’informations, voir Accès conditionnel pour les utilisateurs de collaboration B2B.
Bloqué par la stratégie de risque
Dans ce scénario, la stratégie de protection de l’identité bloque une tentative de connexion en raison de la tentative de connexion identifiée comme risquée.
Pour plus d’informations, consultez Comment configurer et activer les stratégies de risque.
Authentification directe
Étant donné que l’authentification directe est une intégration des technologies d’authentification locale et cloud, il peut être difficile de déterminer où se trouve le problème. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.
Ce scénario de diagnostic identifie les problèmes de connexion spécifiques à l’utilisateur lorsque la méthode d’authentification utilisée est l’authentification directe (PTA, pass through authentication) et qu’il y a une erreur spécifique à cette authentification. Des erreurs liées à d’autres problèmes, même lorsque l’authentification PTA est utilisée, seront quand même diagnostiquées correctement.
Les résultats du diagnostic affichent des informations contextuelles sur l’échec et la connexion de l’utilisateur. Les résultats peuvent indiquer d’autres raisons pour lesquelles la connexion a échoué et les actions recommandées par l’administrateur pour résoudre le problème. Pour plus d’informations, consultez Microsoft Entra Connect : Résolution des problèmes d’authentification directe.
Authentification unique homogène
L’authentification unique transparente intègre l’authentification Kerberos à l’authentification cloud. Comme ce scénario implique deux protocoles d’authentification, vous pouvez avoir du mal à déterminer à quel niveau se situe le point d’échec en cas de problèmes de connexion. Ce diagnostic est conçu pour rendre ces scénarios plus faciles à diagnostiquer et à résoudre.
Ce scénario de diagnostic examine le contexte de l’échec de connexion et la cause de l’échec spécifique. Les résultats du diagnostic peuvent inclure des informations contextuelles sur la tentative de connexion et des actions suggérées que l’administrateur peut effectuer. Pour plus d’informations, consultez Résoudre des problèmes d’authentification unique transparente Microsoft Entra.