Cet article comprend des réponses aux questions fréquemment posées (FAQ) sur la surveillance et l’intégrité de Microsoft Entra. Pour plus d’informations, consultez Vue d’ensemble de la surveillance et de l’intégrité de Microsoft Entra.
Mise en route
Comment obtenir une licence Premium ?
Consultez les licences Microsoft Entra ID pour mettre à niveau votre édition Microsoft Entra.
Combien de temps faut-il attendre pour voir les données du journal d’activité après avoir obtenu une licence Premium ?
Si vous disposez déjà de données de journal d’activité avec une licence gratuite, vous pouvez la voir immédiatement. Si vous n’avez pas de données, cela peut prendre jusqu’à trois jours pour que les données s’affichent dans les rapports.
Puis-je voir les données du mois dernier après avoir obtenu une licence Microsoft Entra ID P1 ou P2 ?
Si vous êtes récemment passé à une version Premium (y compris une version d’essai), vous pouvez voir les données jusqu’à sept jours dans un premier temps. Lorsque les données s’accumulent, vous pouvez voir les données au cours des 30 derniers jours.
Journaux d’activité
Quel rôle dois-je avoir pour voir les journaux d'activité dans le centre d'administration de Microsoft Entra ?
Le rôle moins privilégié pour afficher les journaux d’audit et de connexion est lecteur de rapports. Les autres rôles incluent Lecteur de sécurité et Administrateur de sécurité.
Quels journaux puis-je intégrer à Azure Monitor ?
La connexion, l’audit, l’approvisionnement, la protection d’ID, l’accès réseau et de nombreux autres journaux d’activité peuvent être intégrés à Azure Monitor et à d’autres outils de surveillance et d’alerte. Les événements d’audit liés à B2C ne sont actuellement pas inclus. Pour obtenir la liste complète des journaux Microsoft Entra qui peuvent être intégrés à d’autres points de terminaison, consultez options de journal pour la diffusion en continu vers des points de terminaison.
Puis-je obtenir des informations sur le journal d'activité Microsoft 365 via le centre d'administration Microsoft Entra ou le Portail Azure ?
Les journaux d’activité Microsoft 365 et Microsoft Entra partagent de nombreuses ressources de répertoire. Pour obtenir une vue complète des journaux d’activité de Microsoft 365, accédez au centre d’administration Microsoft 365 pour plus d’informations sur les journaux d’activité d’Office 365. Les API pour Microsoft 365 sont décrites dans l’article API de gestion Microsoft 365.
Combien d'enregistrements puis-je télécharger à partir du centre d'administration Microsoft Entra ?
Plusieurs facteurs déterminent le nombre de journaux que vous pouvez télécharger à partir du centre d’administration Microsoft Entra, comme la taille de mémoire du navigateur, les vitesses réseau et les charges d’API de création de rapports Microsoft Entra. En règle générale, les jeux de données inférieurs à 250 000 pour les journaux d’audit et 100 000 pour les journaux de connexion et d’approvisionnement fonctionnent correctement avec la fonctionnalité de téléchargement du navigateur. Ce nombre peut varier en fonction du nombre de champs que vous avez inclus. Si vous rencontrez des problèmes lors de téléchargements volumineux dans le navigateur, utilisez l’API de création de rapports pour télécharger les données ou envoyez les journaux à un point de terminaison via les paramètres de diagnostic.
L’ensemble spécifique de journaux que vous pouvez télécharger est déterminé par les filtres actifs dans le centre d’administration Microsoft Entra lorsque vous commencez le téléchargement. Par exemple, le filtrage sur un utilisateur spécifique dans le centre d’administration Microsoft Entra signifie que votre téléchargement extrait les journaux pour cet utilisateur spécifique. Les colonnes des journaux téléchargés ne changent pas. La sortie contient tous les détails du journal d’audit ou de connexion, quelles que soient les colonnes que vous avez personnalisées dans le centre d’administration Microsoft Entra.
Pendant combien de temps les journaux d’activité sont-ils stockés dans Microsoft Entra ID ? Qu’est-ce que la conservation des données ?
Selon votre licence, Microsoft Entra ID stocke les journaux d’activité entre 7 et 30 jours. Pour plus d’informations, consultez l’article Stratégies de conservation des données dans les rapports Microsoft Entra.
Journaux d’audit
Comment savoir si un utilisateur a acheté une licence ou activé une licence d’évaluation pour mon locataire ? Je ne vois pas cette activité dans les journaux d’audit.
À l'heure actuelle, il n'y a pas d'activité spécifique dans les journaux d'audit pour les achats de licences ou l'activation. Toutefois, vous devriez pouvoir mettre en corrélation l’activité « Intégrer la ressource à PIM » de la catégorie « Gestion des ressources » avec l’achat ou l’activation d’une licence. Cette activité risque de ne pas être disponible tout le temps ou fournir les détails exacts.
Journaux d’activité de connexion
J’ai utilisé la ressource signInActivity pour rechercher l’heure de dernière connexion d’un utilisateur, mais elle n’a pas été mise à jour après quelques heures. Quand sera-t-elle mise à jour avec l’heure de la dernière connexion ?
La ressource signInActivity est utilisée pour trouver les utilisateurs inactifs qui ne se sont pas connectés depuis un certain temps. Il ne se met pas à jour en quasi-temps réel. Si vous devez trouver rapidement la dernière activité de connexion de l'utilisateur, vous pouvez utiliser les journaux de connexion Microsoft Entra pour afficher l'activité de connexion en quasi-temps réel pour tous vos utilisateurs.
Quelles sont les données incluses dans le fichier CSV que je peux télécharger à partir des journaux de connexion Microsoft Entra ?
Le fichier CSV contient les journaux de connexion pour le type de connexions que vous avez sélectionné. Les données qui sont représentées sous la forme d’un tableau imbriqué dans l’API Microsoft Graph pour les journaux de connexion ne sont pas incluses. Par exemple, les stratégies d'accès conditionnel et les informations de rapport uniquement ne sont pas incluses. Si vous devez exporter toutes les informations contenues dans vos journaux de connexion, utilisez la fonctionnalité Exporter les paramètres de données.
Il est également important de noter que les colonnes incluses dans les journaux téléchargés ne changent pas, même si vous les avez personnalisées dans le centre d’administration Microsoft Entra.
Je vois .XXX dans le cadre de l’adresse IP ou « PII supprimé » dans les détails de l’appareil d’un utilisateur dans mes journaux de connexion. Que se passe-t-il ?
L’ID Microsoft Entra peut recréer une partie d’un journal de connexion pour protéger la confidentialité des utilisateurs dans les scénarios suivants :
- Pendant les connexions entre locataires, par exemple lorsqu’un technicien CSP se connecte à un locataire géré par CSP.
- Lorsque notre service n’a pas pu déterminer l’identité de l’utilisateur avec une confiance suffisante pour être sûr que celui-ci appartient au locataire affichant les journaux.
- Microsoft Entra ID élimine les informations d'identification personnelle générées par les appareils qui n'appartiennent pas à votre locataire pour s'assurer que ces informations d'identification personnelle ne s'étendent pas au-delà des limites du locataire sans le consentement de l'utilisateur et du propriétaire des données.
Je vois des entrées de connexion en double / plusieurs événements de connexion par requestID. Que se passe-t-il ?
Les entrées de connexion risquent d’être dupliquées dans vos journaux pour plusieurs raisons.
- Si un risque est identifié lors d’une connexion, un autre événement presque identique est publié immédiatement après avec le risque inclus.
- Si des événements MFA liés à une connexion sont reçus, tous les événements associés sont agrégés à la connexion d’origine.
- Si la publication sur un partenaire pour un événement de connexion échoue, comme la publication sur Kusto, une nouvelle tentative de publication d’un lot entier d’événements est effectuée, ce qui risque d’entraîner des doublons.
- Les événements de connexion qui impliquent plusieurs stratégies d’accès conditionnel risquent d’être divisés en plusieurs événements, ce qui peut entraîner au moins deux événements par événement de connexion.
J’examine un événement de connexion à l’aide de Log Analytics, mais l’heure TimeGenerated ne correspond pas à l’heure réelle de la connexion. Que se passe-t-il ?
Le champ TimeGenerated dans Log Analytics est l’heure à laquelle l’entrée a été reçue et publiée par Log Analytics. N’oubliez pas que vos journaux d’activité apparaissent dans Log Analytics, vous devez configurer les paramètres de diagnostic pour envoyer les journaux à l’espace de travail Log Analytics. Ce processus prend du temps. Le champ TimeGenerated peut donc ne pas correspondre à l’heure réelle de la connexion.
Pour confirmer la date et l’heure correspondant à la connexion, recherchez le champ CreatedDateTime
un peu plus bas dans les résultats log Analytics. Les champs AuthenticationDetails
peuvent également être développés pour voir l’heure exacte de la connexion. L’heure dans Log Analytics s’affiche au format UTC, mais l’heure dans les journaux de connexion du Centre d’administration Microsoft Entra s’affiche dans l’heure locale. Vous devrez peut-être donc faire des ajustements.
Les événements de connexion à risque ont également une heure TimeGenerated différente de l’heure de connexion réelle. L’heure TimeGenerated pour les connexions à risque est l’heure à laquelle le risque a été détecté, et non l’heure de la connexion. Vérifiez l’événement de connexion risquée lui-même pour l’heure d’activité, qui est l’heure réelle de la connexion.
Pourquoi mes connexions non interactives semblent-elles avoir la même date et la même heure ?
Les connexions non interactives peuvent déclencher un grand volume d’événements toutes les heures, de sorte qu’elles sont regroupées dans les journaux.
Dans de nombreux cas, les connexions non interactives présentent les mêmes caractéristiques, à l’exception de la date et de l’heure de la connexion. Si l’agrégat de temps est défini sur 24 heures, les journaux apparaissent pour afficher les connexions en même temps. Chacune de ces lignes groupées peut être développée pour afficher la date et l’heure exactes.
Je vois des ID d’utilisateur / ID d’objet / GUID dans le champ nom d’utilisateur de mon journal de connexion. Que se passe-t-il ?
Les entrées de connexion risquent d’afficher des ID d’utilisateur, des ID d’objet ou des GUID dans le champ nom d’utilisateur pour plusieurs raisons.
- Avec l’authentification sans mot de passe, les ID d’utilisateur apparaissent en tant que nom d’utilisateur. Pour confirmer ce scénario, examinez les détails de l’événement de connexion en question. Le champ authenticationDetail indique sans mot de passe.
- L’utilisateur s’est authentifié mais ne s’est pas encore connecté. Pour confirmer, il existe un code d’erreur 50058 qui correspond à une interruption.
- Si le champ nom d’utilisateur affiche 000000-00000-0000-0000 ou quelque chose de similaire, il peut y avoir des restrictions de locataire en place, empêchant l’utilisateur de se connecter au locataire sélectionné.
- Les tentatives de connexion avec authentification multifacteur sont agrégées avec plusieurs entrées de données, ce qui risque de prendre plus de temps pour s’afficher correctement. L’agrégation complète des données peut prendre jusqu’à deux heures, mais il est rare qu’elle prenne autant de temps.
Je vois une erreur 90025 dans les journaux de connexion. Cela signifie-t-il que mon utilisateur n’a pas pu se connecter ? Mon locataire a-t-il atteint une limitation de requêtes ?
Non. Les erreurs 90025 sont en général résolues par une nouvelle tentative automatique sans que l’utilisateur ait remarqué l’erreur. Cette erreur peut se produire lorsqu’un sous-service Microsoft Entra interne atteint son quota de nouvelles tentatives et n’indique pas que votre locataire est limité. Ces erreurs sont généralement résolues par Microsoft Entra ID en interne. Si l’utilisateur ne parvient pas à se connecter en raison de cette erreur, une nouvelle tentative manuelle devrait résoudre le problème.
Dans les journaux de connexion du principal du service, que signifie « 00000000-0000-0000-0000-000000000000 » ou « » pour l’ID du principal du service ou l’ID du principal du service de ressources dans mes journaux de connexion ?
Si l'ID du principal du service a la valeur « 0000000-0000-0000-0000-000000000000 », c'est qu'il n'existe aucun principal de service pour l'application cliente dans cette instance d'authentification. Microsoft Entra n’émet plus de jetons d’accès sans principal de service client, sauf pour quelques applications Microsoft et non-Microsoft.
Si l’ID du principal du service de ressource a la valeur « 0000000-0000-0000-0000-000000000000 », c’est qu’il n’existe aucun principal de service pour la ressource d’application dans cette instance d’authentification.
Ce comportement est actuellement autorisé uniquement pour un nombre limité d’applications de ressources.
Vous pouvez rechercher des instances d’authentification sans client ou principal de service de ressources dans votre locataire.
- Pour rechercher des instances de journaux de connexion pour votre locataire dans lesquelles un principal de service client est manquant, utilisez la requête suivante :
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
- Pour rechercher des instances de journaux de connexion pour votre locataire dans lesquelles un principal de service de ressources est manquant, utilisez la requête suivante :
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
Vous pouvez également trouver ces journaux de connexion dans le centre d'administration de Microsoft Entra.
- Connectez-vous au centre d’administration Microsoft Entra.
- Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
- Sélectionnez Connexions au principal de service.
- Sélectionner une période appropriée dans le champ Date (dernières 24 heures, 7 jours, etc.).
- Ajoutez un filtre et sélectionnez ID du principal de service et indiquez la valeur « 00000000-0000-0000-0000-000000000000 » pour obtenir des instances d’authentification sans principal de service client.
Comment puis-je limiter la connexion (authentification) pour les différentes applications que je vois dans les journaux de connexion du principal de service ?
Si vous souhaitez contrôler le fonctionnement de l'authentification dans votre locataire pour des applications clientes ou des ressources spécifiques, suivez les instructions de l'article Limiter l'application Microsoft Entra à un ensemble d'utilisateurs.
Pourquoi les connexions techniquement non interactives apparaissent-elles dans mes journaux de connexion interactifs ?
Certaines connexions non interactives ont été rendues disponibles avant que les journaux de connexion non interactifs ne soient disponibles en préversion publique. Ces connexions non interactives ont été incluses dans les journaux de connexion interactifs et sont restées dans les journaux de connexion interactifs une fois que les journaux non interactifs sont devenus disponibles. Les connexions à l'aide des clés FIDO2 sont un exemple de connexions non interactives qui apparaissent dans les journaux de connexion interactifs. À ce stade, ces journaux non interactifs sont toujours inclus dans le journal de connexion interactif.
Quelle API de création de rapports utiliser pour les détections de risque Identity Protection, comme les informations d’identification ou de connexion divulguées à partir d’adresses IP anonymes ?
Vous pouvez utiliser l’API Identity Protection relative à la détection des risques pour accéder aux détections de sécurité via Microsoft Graph. Cette API comprend un filtrage avancé et une sélection de champs, tout en normalisant les détections de risques sous un même type pour faciliter l’intégration aux serveurs SIEM et à autres outils de collecte de données.
Accès conditionnel
Quels détails d'accès conditionnel puis-je voir dans les journaux de connexion ?
Vous pouvez résoudre des problèmes de stratégies d’accès conditionnel grâce à tous les journaux de connexion. Examinez l'état de l'accès conditionnel et plongez dans les détails des politiques qui s'appliquent à la connexion et le résultat pour chaque politique.
Pour commencer :
- Connectez-vous au centre d’administration Microsoft Entra.
- Accédez à Identité>Surveillance et intégrité>Journaux d’activité de connexion.
- Sélectionnez la connexion que vous souhaitez dépanner.
- Sélectionnez l’onglet Accès conditionnel pour voir toutes les stratégies qui ont eu un impact sur la connexion et le résultat de chaque stratégie.
Quelles sont toutes les valeurs acceptées par l’état de l’accès conditionnel ?
L’état de l’accès conditionnel peut avoir les valeurs suivantes :
- Non appliqué : aucune stratégie d’accès conditionnel ne s’applique à l’utilisateur et à l’application.
- Réussite : une stratégie d’accès conditionnel s’applique à l’utilisateur et à l’application, et les stratégies d’accès conditionnel ont été respectées.
- Échec : la connexion a satisfait à la condition d’utilisateur et d’application d’au moins une stratégie d’accès conditionnel et les contrôles d’octroi ne sont pas satisfaisants ou ne sont pas configurés pour bloquer l’accès.
Quelles sont toutes les valeurs acceptées par les résultats de la stratégie d’accès conditionnel ?
Une stratégie d’accès conditionnel peut aboutir aux résultats suivants :
- Réussite : La stratégie a été respectée.
- Échec : la stratégie n’a pas été respectée.
- Non appliquée : les conditions de stratégie n’ont probablement pas été remplies.
- Non activée : la stratégie est probablement désactivée.
Le nom de la stratégie dans le journal de connexion ne correspond pas au nom de la stratégie d’accès conditionnel. Pourquoi ?
Le nom de la stratégie dans le journal de connexion est basé sur le nom de la stratégie d’accès conditionnel au moment de la connexion. Le nom peut être incohérent avec le nom de la stratégie dans l'accès conditionnel si vous avez mis à jour le nom de la stratégie après la connexion.
Ma connexion a été bloquée en raison d’une stratégie d’accès conditionnel, mais le journal de connexion indique que la connexion a réussi. Pourquoi ?
Actuellement, le journal de connexion risque de ne pas afficher des résultats exacts pour les scénarios Exchange ActiveSync quand un accès conditionnel est appliqué. Il peut y avoir des cas où le résultat de la connexion dans le rapport indique une connexion réussie, mais la connexion a en fait échoué en raison d'une stratégie.
Pourquoi la connexion Windows ou Windows Hello Entreprise s’affiche-t-elle comme « hors portée » ou « non applicable » sous l’onglet Accès conditionnel dans les détails du journal de connexion ?
Les stratégies d’accès conditionnel ne s’appliquent pas à la connexion Windows ou à Windows Hello Entreprise. Les stratégies d’accès conditionnel protègent les tentatives de connexion aux ressources cloud, et non le processus de connexion Windows.
API Microsoft Graph
J’utilise actuellement les API de point de terminaison `https://graph.windows.net/<tenant-name>/reports/` pour tirer (pull) programmatiquement des rapports d’audit Microsoft Entra et des rapports d’utilisation des applications intégrées dans nos systèmes de création de rapports. Que dois-je utiliser à présent ?
Consultez la Référence sur les API pour savoir comment utiliser les API dans le but d’accéder aux rapports d’activité. Ce point de terminaison comporte deux rapports (un d’audit et un autre sur les connexions) qui fournissent toutes les données dont vous disposiez dans l’ancien point de terminaison d’API. Ce nouveau point de terminaison comporte également un rapport sur les connexions, relatif à la licence Microsoft Entra ID P1 ou P2, que vous pouvez utiliser pour obtenir des informations sur l’utilisation des applications, l’utilisation des appareils et les connexions utilisateur.
J’utilise actuellement les API de point de terminaison `https://graph.windows.net/<tenant-name>/reports/` pour tirer (pull) programmatiquement des rapports de sécurité Microsoft Entra (concernant certains types de détections, tels que les fuites d’informations d’identification ou les connexions à partir d’adresses IP anonymes) dans nos systèmes de création de rapports. Que dois-je utiliser à présent ?
Vous pouvez utiliser l’API Identity Protection relative à la détection des risques pour accéder aux détections de sécurité via Microsoft Graph. Ce nouveau format offre une plus grande flexibilité dans la façon dont vous pouvez interroger les données. Le format fournit un filtrage avancé, une sélection de champs, et standardise les détections de risques sous un même type pour faciliter l'intégration aux serveurs SIEM et à d'autres outils de collecte de données. Étant donné que les données ont différents formats, vous ne pouvez pas remplacer vos anciennes requêtes par une nouvelle requête. Toutefois, la nouvelle API utilise Microsoft Graph, qui est désormais la plateforme standard de Microsoft pour les API telles que Microsoft 365 et Microsoft Entra ID. Le travail nécessaire peut donc développer vos investissements Microsoft Graph actuels ou vous aider à démarrer la transition vers cette nouvelle plateforme standard.
J’obtiens toujours des erreurs d’autorisations quand j’exécute des requêtes. Je pensais avoir le rôle approprié.
Vous devrez probablement vous connecter à Microsoft Graph autrement que depuis le centre d’administration Microsoft Entra. Sélectionnez votre icône de profil dans le coin supérieur droit et connectez-vous à l’annuaire approprié. Vous essayez probablement d’exécuter une requête pour laquelle vous n’avez pas d’autorisations. Sélectionnez Modifier les autorisations, puis sélectionnez le bouton Consentement. Suivez les invites de connexion.
Pourquoi existe-t-il des événements « MicrosoftGraphActivityLogs » qui ne sont pas corrélés à une connexion de principal de service ?
Chaque fois qu'un jeton est utilisé pour appeler un point de terminaison Microsoft Graph, les MicrosoftGraphActivityLogs
sont mis à jour avec cet appel. Certains de ces appels sont des appels internes, d'application uniquement, qui ne sont pas publiés dans les journaux de connexion du principal de service. Lorsqu'un MicrosoftGraphActivityLogs
affiche un uniqueTokenIdentifier
que vous ne pouvez pas localiser dans les journaux de connexion, l'identifiant du jeton fait référence à un jeton d'application de première partie uniquement.
Recommandations
Pourquoi une recommandation qui était « terminée » est-elle redevenue « active »?
Si le service détecte une activité liée à cette recommandation pour un élément marqué comme « terminé », il revient automatiquement à « actif ».